vulhub中Apache Solr RemoteStreaming 文件读取与SSRF漏洞复现

余生有个小酒馆2024-04-07 23:10

Apache Solr 是一个开源的搜索服务器。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取。

访问`http://your-ip:8983`即可查看Apache Solr后台

1.访问`http://your-ip:8983/solr/admin/cores?indexInfo=false\&wt=json\`获取数据库名:

2.发送如下数据包,修改数据库`demo`的配置,开启`RemoteStreaming`:

3.再通过`stream.url`读取任意文件:

相关推荐
云计算老刘2 小时前
Keepalived + LVS(DR)+ Apache + NFS
apache·lvs
羑悻的小杀马特2 小时前
工业时序数据库选型:从数据模型与存储引擎看 Apache IoTDB
apache·时序数据库·iotdb
Jermy Li2 小时前
HugeGraph 正式晋升 Apache 顶级项目:重塑「图 + AI」底座
数据库·人工智能·apache·知识图谱·database·hugegraph·knowledge graph
可涵不会debug2 小时前
时序数据库选型深度指南:Apache IoTDB——大数据时代的优选方案
apache·时序数据库·iotdb
切糕师学AI3 小时前
Apache Solr 详解:企业级搜索平台的核心特性与架构
架构·apache·solr
大白菜和MySQL19 小时前
apache服务器部署简记
运维·服务器·apache
水无痕simon1 天前
1 Solr入门到放弃
solr·lucene
大尚来也3 天前
告别“字符串拼接”:在.NET中用LINQ重塑数据查询
.net·solr·linq
Zhu7583 天前
【容器镜像打包】Apache Seatunnel打包容器镜像
apache
Zhu7583 天前
【软件部署】用docker部署Apache Kafka 集群架构isolated模式带SSL
docker·kafka·apache
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03GitHub 镜像站点04基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南05GPT-6核心能力解析及与现有主流大模型对比06免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手07从限购到畅通:GLM-5.1 Coding Plan接入攻略08AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析09LLM Wiki:让大模型替你打理知识库的完整指南10Oh My Codex 快速使用指南