vulhub中Apache Solr RemoteStreaming 文件读取与SSRF漏洞复现

余生有个小酒馆2024-04-07 23:10

Apache Solr 是一个开源的搜索服务器。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取。

访问`http://your-ip:8983`即可查看Apache Solr后台

1.访问`http://your-ip:8983/solr/admin/cores?indexInfo=false\&wt=json\`获取数据库名:

2.发送如下数据包,修改数据库`demo`的配置,开启`RemoteStreaming`:

3.再通过`stream.url`读取任意文件:

相关推荐
C182981825751 小时前
restTemplate/Feign(Spring Cloud)或OKHttp Apache HttpClient 这几个关系与底层实现
spring cloud·okhttp·apache
可涵不会debug7 小时前
时序数据库选型指南:Apache IoTDB,大数据时代的时序数据管理利器
apache·时序数据库·iotdb
阿里云云原生7 小时前
AgentScope x RocketMQ:打造企业级高可靠 A2A 智能体通信基座
云原生·apache·rocketmq
小技工丨9 小时前
【01】Apache Flink 2025年技术现状与发展趋势
大数据·flink·apache
byte轻骑兵11 小时前
2025时序数据库选型指南:从大数据视角看Apache IoTDB的核心优势
大数据·apache·时序数据库
鸠摩智首席音效师12 小时前
如何在 CentOS 上设置 Apache Worker MPM ?
linux·centos·apache
x3c12 小时前
Apache Tika XXE注入漏洞(CVE-2025-66516)
apache·cve
小技工丨12 小时前
【02】Apache Flink 物化表与流批一体处理
大数据·flink·apache
羑悻的小杀马特12 小时前
破局IoT与大数据协同难题!Apache IoTDB用硬核性能打底、强生态护航,成行业新宠!
大数据·物联网·ai·apache·iotdb
Pocker_Spades_A12 小时前
时序数据库选型指南:用工程视角理解 Apache IoTDB
数据库·apache·时序数据库·iotdb
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04【AutoGLM部署】本地私有化部署AI手机Agent05在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)06Open-AutoGLM Windows 安装部署教程07Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser08BongoCat - 跨平台键盘猫动画工具09安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)10Labelme从安装到标注:零基础完整指南