漏洞描述:
Django是一个大而全的Web框架,其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于Postgresql了,Django官方也建议配合Postgresql一起使用。
Django在2019年8月1日发布了一个安全更新,修复了在JSONField、HStoreField两个模型字段中存在的SQL注入漏洞。该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。Django自带的后台应用Django-Admin中就存在这样的写法,我们可以直接借助它来复现漏洞。
环境搭建:
环境搭建,环境启动后,访问http://your-ip:8000即可看到Django默认首页。
漏洞复现:
首先登陆后台http://your-ip:8000/admin/,用户名密码为admin、a123123123
登陆后台后,进入模型Collection的管理页面http://your-ip:8000/admin/vuln/collection/:
然后在GET参数中构造detail__a’b=123提交,其中detail是模型Collection中的JSONField:
http://your-ip:8000/admin/vuln/collection/?detail__a%27b=123
可见,单引号已注入成功,SQL语句报错:
此时,后端执行的代码其实就是:
Collection.objects.filter(**dict(“detail__a’b”: ‘1’)).all()。
参考链接:https://www.leavesongs.com/PENETRATION/django-jsonfield-cve-2019-14234.html