vulhub中Apache Solr RemoteStreaming 文件读取与SSRF漏洞复现

Apache Solr 是一个开源的搜索服务器。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取。

访问`http://your-ip:8983`即可查看Apache Solr后台

1.访问`http://your-ip:8983/solr/admin/cores?indexInfo=false\&wt=json\`获取数据库名:

2.发送如下数据包,修改数据库`demo`的配置,开启`RemoteStreaming`:

3.再通过`stream.url`读取任意文件:

相关推荐
码界奇点9 分钟前
Apache IoTDB 架构特性与 PrometheusGrafana 监控体系部署实践
架构·apache·grafana·prometheus·iotdb
一个天蝎座 白勺 程序猿13 小时前
Apache IoTDB(7):设备模板管理——工业物联网元数据标准化的破局之道
数据库·apache·时序数据库·iotdb
惜.己13 小时前
apache启动失败Failed to start The Apache HTTP Server.
apache
一个天蝎座 白勺 程序猿1 天前
Apache IoTDB(8):时间序列管理——从创建到分析的实战指南
数据库·apache·时序数据库·iotdb
SelectDB1 天前
更高效的数据处理解决方案:基于 MinIO 部署 Apache Doris 存算分离版本实践
数据库·数据分析·apache
Wang's Blog1 天前
Linux小课堂: Apache虚拟主机配置之基于IP与域名的服务器部署指南
linux·服务器·apache
Wang's Blog1 天前
Linux小课堂: Apache服务在CentOS上的安装与基础配置指南
linux·centos·apache
DolphinScheduler社区2 天前
小白指南:Apache DolphinScheduler 补数据功能实操演示
java·大数据·开源·apache·海豚调度·大数据工作流调度
北邮-吴怀玉2 天前
3.1.1.1 大数据方法论与实践指南-开源工具说明-Apache NiFi
大数据·开源·apache
Apache Flink2 天前
理想汽车基于 Hologres + Flink 构建万亿级车联网信号实时分析平台
阿里云·flink·apache