文章目录
- 漏洞简介
- 漏洞影响版本
- 一、漏洞原理分析
- 二、相关说明
- 三、复现
- 总结
漏洞简介
2020年2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义符号(\)并注入恶意SQL语句。
漏洞影响版本
一、漏洞原理分析
在 Github 仓库查找 django 的 commit 记录,发现官方对其的修复:
从这里我们知道几个信息,漏洞函数位于下面的模块之中:
python">from django.contrib.postgres.aggregates import StringAgg
官方对 delimiter 使用Value(str(delimiter))处理后进行防御,Value处理过的参数会被加到sql的参数列表里,之后会被diango内置的过滤机制过滤,从而防范SQL漏洞。
二、相关说明
POC脚本如下(可到https://github.com/Saferman/CVE-2020-7471下载):
initdb()函数
给管理器添加初始测试数据[(‘li’,‘male’),(‘zhao’,‘male’),(‘zhang’,‘female’)];
query()函数
进行模糊测试,找出当delimiter 的值为哪些字符时,会让程序运行出现错误(即使用哪些字符可能会干扰SQL语句的执行(将delimiter 输入的字符带入了SQL语句,破坏原有语句)),测试结果得出是单引号和百分号
query_with_evil()函数
进行注入点证明测试时,payload前后两个不同的赋值,是为了得到两个不同的结果,前一个使用正确的分隔符-,后一个是使用同样的分隔符-,但是后面带有SQL语句:
python">') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 1 OFFSET 1 --
数据库进行查询时,使得整个查询语句变为了:
python">SELECT "vul_app_info"."gender", STRING_AGG("vul_app_info"."name", '-') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 1 OFFSET 1 --
这里的payload = ‘-\’) AS … LIMIT 1 OFFSET 1 – ‘中的\’,反斜杠的作用只是在payload字符串赋值时转义单引号,payload中的-’),使得STRING_AGG(“vul_app_info”.“name”, ‘-’)右括号闭合了,导致了后面的SQL语句的执行,因为输出只出现一条,是因为使用了LIMIT,证明该SQL语句确实被执行了。
三、复现
1.使用pip命令安装有漏洞版本的django。
2.安装postgresql
3.下载CVE-2020-7471到本地
4.创建测试数据库test,初次安装postgres 数据库,系统会创建一个数据库超级用户 postgres,密码为空。使用命令(sudo -i -u postgres)进入postgres数据库,并创建测试数据库(test)。
5.修改配置文件
修改文件…/CVE-2020-7471/sqlvul_projects/settings.py 里面的第78列下的数据库配置,如果之前安装postgres数据库使用的默认配置(包括密码),就无需修改任何任何配置,可以跳过这一步,我更改了初始密码故需要更改。
python">DATABASES = {
'default': {
'ENGINE': 'django.db.backends.postgresql',
'NAME': 'test', # 数据库名称
'USER': 'postgres',
'PASSWORD': '123', # 数据库用户密码
'HOST': '127.0.0.1', # 数据库地址
'PORT': '5432',
}
}
6.利用CVE中的代码初始化测试数据库test中的表
python">python3 manage.py migrate
python3 manage.py makemigrations vul_app
python3 manage.py migrate vul_app
7.运行 POC 脚本(CVE-2020-7471.py)查看结果
注入后的输出只出现一条,是因为使用了LIMIT,证明注入成功,实际正常应该输出两条。
总结
如果遇到真实环境中有 django 开发的服务返回一些查询的聚合内容,并且允许用户指定哪种连接符的时候,应该多加思考是否该服务未更新为最新版本,以便尽快更新。
