2. 程式人生 > 其它 >CVE-2021-35042 Django order_by SQL注入 漏洞復現和分析

CVE-2021-35042 Django order_by SQL注入 漏洞復現和分析

阿新 發佈:2022-04-02

CVE-2021-35042 Django order_by SQL注入 漏洞復現和分析

目錄

0 簡介

在特定限制條件下,Django的order_by方法會導致SQL注入

  • 影響版本:3.1.x < 3.1.13, 3.2.x < 3.2.5

  • 條件:

    • Debug=True
    • 介面使用order_by方法

  • 復現/分析環境:

    • python 3.8.1
    • Django 3.2.4
    • MySQL 5.7.26

1 漏洞復現

order_by

的傳入引數中包含.時,可進行SQL注入,但需要正確的列名,可以通過猜測id, _id或輸入錯誤的列名,從報錯資訊中得到列名

如果傳入錯誤的列名,會因為列明不存在而產生Exception退出,進入不到執行SQL注入語句的部分

利用updatexml.id);select%20updatexml(1,%20concat(0x7e,(select%20database())),1)%23即可進行報錯注入

2 漏洞分析

Demo

# views.py 省略import
def vul(request):
    query = request.GET.get('order', default='id')
    q = Collection.objects.order_by(query)
	return HttpResponse(q.values())
    
    
# models.py view.py中呼叫的Collection定義
from django.db import models


class Collection(models.Model):
    name = models.CharField(max_length=128)

傳入poc,打斷點除錯:

  • 先經過初始化,建立了QuerySet例項,(db:資料庫,model:模型,ordered:是否已排序,query:sql語句)
  • 進入django.db.models.query line 1143 QuerySet.order_by方法,objself複製得到的物件

  • 跟進line 1149 add_ordering(poc)->line 1960 add_ordering()

  • 傳入的poc為字串,且其中包含.,所以直接continue跳出for迴圈(傳入的order_by引數只有一個,for迴圈只有一次),沒有進入到names_to_path

    方法,之後執行self.order_by += ordering

    引數ordering是我們傳入的poc

    此時的SQL語句是SELECT vuln_collection.id, vuln_collection.nameFROMvuln_collection ORDER BY (``.id);select updatexml(1, concat(0x7e,(select database())),1)#) ASC,因為這裡的QuerySet._querysql.Query例項化物件,會根據引數自動更新SQL語句

    def add_ordering(self, *ordering):
        errors = []
        for item in ordering:
            if isinstance(item, str):
                if '.' in item:
                    warnings.warn(
                        'Passing column raw column aliases to order_by() is '
                        'deprecated. Wrap %r in a RawSQL expression before '
                        'passing it to order_by().' % item,
                        category=RemovedInDjango40Warning,
                        stacklevel=3,
                    )
                    continue
                if item == '?':
                    continue
                if item.startswith('-'):
                    item = item[1:]
                if item in self.annotations:
                    continue
                if self.extra and item in self.extra:
                    continue
                # names_to_path() validates the lookup. A descriptive
                # FieldError will be raise if it's not.
                self.names_to_path(item.split(LOOKUP_SEP), self.model._meta)
            elif not hasattr(item, 'resolve_expression'):
                errors.append(item)
            if getattr(item, 'contains_aggregate', False):
                raise FieldError(
                    'Using an aggregate in order_by() without also including '
                    'it in annotate() is not allowed: %s' % item
                )
        if errors:
            raise FieldError('Invalid order_by arguments: %s' % errors)
        if ordering:
            self.order_by += ordering
        else:
            self.default_ordering = False

漏洞成因就是上面程式碼第13行的continue,修復方法也很簡單,去掉continue,確保每一個引數進入到names_to_path即可

names_to_path為引數合理性檢驗的方法,對order_by傳入的列名進行檢驗,以下為部分程式碼

  • 對於order_by傳入的每一個引數,通過model模型獲取對應欄位,如果欄位不存在,且不是註釋欄位,不是_filtered_relations(可用於join連線),則會報錯,並返回可選欄位
    def names_to_path(self, names, opts, allow_many=True, fail_on_missing=False):
        path, names_with_path = [], []
        for pos, name in enumerate(names):
            cur_names_with_path = (name, [])
            if name == 'pk':
                name = opts.pk.name

            field = None
            filtered_relation = None
            try:
                field = opts.get_field(name)
            except FieldDoesNotExist:
                if name in self.annotation_select:
                    field = self.annotation_select[name].output_field
                elif name in self._filtered_relations and pos == 0:
                    filtered_relation = self._filtered_relations[name]
                    if LOOKUP_SEP in filtered_relation.relation_name:
                        parts = filtered_relation.relation_name.split(LOOKUP_SEP)
                        filtered_relation_path, field, _, _ = self.names_to_path(
                            parts, opts, allow_many, fail_on_missing,
                        )
                        path.extend(filtered_relation_path[:-1])
                    else:
                        field = opts.get_field(filtered_relation.relation_name)
            if field is not None:
                if field.is_relation and not field.related_model:
                    raise FieldError(
                        "Field %r does not generate an automatic reverse "
                        "relation and therefore cannot be used for reverse "
                        "querying. If it is a GenericForeignKey, consider "
                        "adding a GenericRelation." % name
                    )
                try:
                    model = field.model._meta.concrete_model
                except AttributeError:
                    model = None
            else:
                pos -= 1
                if pos == -1 or fail_on_missing:
                    available = sorted([
                        *get_field_names_from_opts(opts),
                        *self.annotation_select,
                        *self._filtered_relations,
                    ])
                    raise FieldError("Cannot resolve keyword '%s' into field. "
                                     "Choices are: %s" % (name, ", ".join(available)))
                break

以下部分為後續程式碼執行過程,與漏洞成因無關

  • 返回到order_by方法,完成obj物件的封裝並返回 (上層還有manager_method()方法,通過反射來呼叫對應函式,直接略過了)
  • 執行完q = Collection.objects.order_by(query)即完成了QuerySet物件的封裝,之後的q.values()才會執行SQL語句
  • 繼續跟進django.db.models.query valuese()方法 ,可以看到fieldsexpressions都為空
    • self_values(*fields, **expressions)又是一次物件拷貝

  • 跟進clone._iterable_class = ValuesIterable

    • 該語句執行後,return clone,返回的是可迭代物件,本身並沒有值,而且也並沒有執行SQL語句,當獲取可迭代物件的值時,才會執行

      所以除錯時,需要進入到HttpResponse的self.content = content時才會觸發SQL注入

    • 一直到yield語句,SQL語句執行

3 參考

相關推薦

CVE-2021-35042 Django order_by SQL注入 漏洞復現分析

CVE-2021-35042 Django order_by SQL注入 漏洞復現分析 目錄 CVE-2021-35042 Django order_by SQL注入 漏洞復現分析

Django GIS SQL注入漏洞復現CVE-2020-9402)

漏洞概述: DjangoDjango基金會的一套基於Python語言的開源Web應用框架。該框架包括面向物件的對映器、檢視系統、模板系統等。 Django 1.11.29之前的1.11.x版本、2.2.11之前的2.2.x版本3.0.4之前的3.0.x

vulhub漏洞復現-Django JSONField SQL注入漏洞復現CVE-2019-14234)

Django JSONField SQL注入漏洞復現CVE-2019-14234) 漏洞概述: Django通常搭配postgresql資料庫,而JSONField是該資料庫的一種資料型別。該漏洞的出現的原因在於Django中JSONField類的實現,Django的mode

CVE-2021-35042 Django SQL注入漏洞復現

搭建環境: git clone https://github.com/YouGina/CVE-2021-35042.gitcd CVE-2021-35042 再執行./setup.sh

Django JSONField/HStoreField SQL 注入漏洞 (CVE-2019-14234)

一.漏洞描述 該漏洞需要開發者使用了JSONField/HStoreField,且使用者可控queryset查詢時的鍵名,在鍵名的位置注入SQL語句。

Drupal<7.32“Drupalgeddon”SQL注入漏洞CVE-2014-3704)

一、漏洞簡介 Drupal 是一款用量龐大的CMS,其7.0~7.31版本中存在一處無需認證的SQL漏洞。通過該漏洞,攻擊者可以執行任意SQL語句,插入、修改管理員資訊,甚至執行任意程式碼。

Apache Log4j2 lookup JNDI 注入漏洞復現CVE-2021-44228)

今年的末尾水一篇部落格 漏洞簡介 Apache Log4j 2 是Java語言的日誌處理套件,使用極為廣泛。在其2.0到2.14.1版本中存在一處JNDI注入漏洞,攻擊者在可以控制日誌內容的情況下,通過傳入類似於${jndi:ldap://evil

CVE-2020-21378 SeaCMS v10.1 後臺SQL注入漏洞

0x00 漏洞介紹 SeaCMS 10.1 (2020.02.08)存在SQL注入漏洞。攻擊者可通過對admin_members_group.php的編輯操作中的id引數利用該漏洞進行SQL注入攻擊。

Django SQL注入漏洞

一、漏洞簡介   Django是一個開放原始碼的Web應用框架,由Python寫成。採用了MVC的框架模式,即模型M,檢視V控制器C。它最初是被開發來用於管理勞倫斯出版集團旗下的一些以新聞內容為主的網站的,即是CMS(內容管

zabbix latest.php SQL注入漏洞CVE-2016-10134)

zabbix是一款伺服器監控軟體,其由server、agent、web等模組組成,其中web模組由PHP編寫,用來顯示資料庫中的結果。

SQL注入漏洞過程例項及解決方案

程式碼示例: public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login(\"aaa\' OR \' \",\"1651561\");//若已知使用者名稱,用這種方式便可不用知道密碼就可登陸成功

SQL注入漏洞的解決PreparedStetament

JDBCUtil 工具集 package com.imooc.jdbc.utils; import java.io.IOException; import java.io.InputStream;

Web安全-Joomla核心SQL注入漏洞利用

實驗宣告:本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!

SQL注入漏洞--報錯注入

報錯注入 報錯注入在沒法用union聯合查詢時用,但前提還是不能過濾一些關鍵的函式。

SQL注入漏洞--盲注寬位元組注入

盲注是注入的一種,指的是在不知道資料庫返回值的情況下對資料中的內容進行猜測,實施SQL注入。盲注一般分為布林盲注基於時間的盲注報錯的盲注。

【從入門到放棄系列學習筆記8】web應用安全基礎整理-SQL注入漏洞利用

一、SQL簡介   結構化查詢語言(structured Query language),是一種特殊的程式語言,用於資料庫中的標準資料查詢。

基於機器學習的 SQL 注入漏洞挖掘技術的 分析與實現——論文研究學習

論文研究學習 總體介紹概括 這篇文章,首先從介紹SQL注入的背景入手,這裡點到了產生原因、影響、攻擊型別傳統的漏洞注入技術。然後提出基於機器學習的 SQL 注入漏洞挖掘方法,這裡的指的是利用S

可怕的漏洞SQL注入漏洞實戰演習

簡介 在owasp釋出的top10排行榜裡,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞裡面首當其衝的就是資料庫注入漏洞(在最新的型別中:命令注入、程式碼注入、xss注入sql注入等已經合併統稱注入漏洞)。一個

CVE-2020-15778 OpenSSH命令注入漏洞復現

技術標籤:滲透測試 CVE-2020-15778 OpenSSH命令注入漏洞復現 漏洞描述 OpenSSH是用於使用SSH協議進行遠端登入的一個開源實現。通過對互動的流量進行加密防止竊聽,連線劫持以及其他攻擊。OpenSSH由OpenBSD專案的

徹底幹掉噁心的 SQL 注入漏洞, 一網打盡!

來源: b1ngz b1ngz.github.io/java-sql-injection-note/ 簡介 文章主要內容包括: Java 持久層技術/框架簡單介紹 不同場景/框架下易導致 SQL 注入的寫法 如何避免修復 SQL 注入