CVE-2020-7471原理分析及复现

最新推荐文章于 2024-06-04 17:04:07 发布
最新推荐文章于 2024-06-04 17:04:07 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 软件安全 文章标签: 安全 python 数据库 postgresql 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyujiale/article/details/112433399
版权

文章目录

漏洞简介

2020年2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义符号(\)并注入恶意SQL语句。

漏洞影响版本

在这里插入图片描述
在这里插入图片描述

一、漏洞原理分析

在 Github 仓库查找 django 的 commit 记录,发现官方对其的修复:
在这里插入图片描述

从这里我们知道几个信息,漏洞函数位于下面的模块之中:

from django.contrib.postgres.aggregates import StringAgg

官方对 delimiter 使用Value(str(delimiter))处理后进行防御,Value处理过的参数会被加到sql的参数列表里,之后会被diango内置的过滤机制过滤,从而防范SQL漏洞。

二、相关说明

在这里插入图片描述
POC脚本如下(可到https://github.com/Saferman/CVE-2020-7471下载):
在这里插入图片描述
initdb()函数
给管理器添加初始测试数据[(‘li’,‘male’),(‘zhao’,‘male’),(‘zhang’,‘female’)];

query()函数
进行模糊测试,找出当delimiter 的值为哪些字符时,会让程序运行出现错误(即使用哪些字符可能会干扰SQL语句的执行(将delimiter 输入的字符带入了SQL语句,破坏原有语句)),测试结果得出是单引号和百分号

query_with_evil()函数
进行注入点证明测试时,payload前后两个不同的赋值,是为了得到两个不同的结果,前一个使用正确的分隔符-,后一个是使用同样的分隔符-,但是后面带有SQL语句:

') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 1 OFFSET 1 --

数据库进行查询时,使得整个查询语句变为了:

SELECT "vul_app_info"."gender", STRING_AGG("vul_app_info"."name", '-') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 1 OFFSET 1 --

这里的payload = ‘-\’) AS … LIMIT 1 OFFSET 1 – ‘中的\’,反斜杠的作用只是在payload字符串赋值时转义单引号,payload中的-’),使得STRING_AGG(“vul_app_info”.“name”, ‘-’)右括号闭合了,导致了后面的SQL语句的执行,因为输出只出现一条,是因为使用了LIMIT,证明该SQL语句确实被执行了。

三、复现

1.使用pip命令安装有漏洞版本的django。
2.安装postgresql
3.下载CVE-2020-7471到本地

在这里插入图片描述
4.创建测试数据库test,初次安装postgres 数据库,系统会创建一个数据库超级用户 postgres,密码为空。使用命令(sudo -i -u postgres)进入postgres数据库,并创建测试数据库(test)。
5.修改配置文件
修改文件…/CVE-2020-7471/sqlvul_projects/settings.py 里面的第78列下的数据库配置,如果之前安装postgres数据库使用的默认配置(包括密码),就无需修改任何任何配置,可以跳过这一步,我更改了初始密码故需要更改。

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.postgresql',
        'NAME': 'test',         # 数据库名称
        'USER': 'postgres',
        'PASSWORD': '123', # 数据库用户密码
        'HOST': '127.0.0.1',    # 数据库地址
        'PORT': '5432',
    }
}

在这里插入图片描述
6.利用CVE中的代码初始化测试数据库test中的表

python3 manage.py migrate
python3 manage.py makemigrations vul_app
python3 manage.py migrate vul_app

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

7.运行 POC 脚本(CVE-2020-7471.py)查看结果
注入后的输出只出现一条,是因为使用了LIMIT,证明注入成功,实际正常应该输出两条。

在这里插入图片描述
在这里插入图片描述

总结

如果遇到真实环境中有 django 开发的服务返回一些查询的聚合内容,并且允许用户指定哪种连接符的时候,应该多加思考是否该服务未更新为最新版本,以便尽快更新。

无知亦乐
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-7471漏洞复现及浅析
qq_29365787的博客
09-15 1082
CVE-2020-7471漏洞复现及浅析 一、 CVE-2020-7471介绍 2020年2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义符号(\)并注入恶意SQL语句。 受影响版本: • Django 1.11.x < 1.11.28 • Django 2.2.x < 2.2.1
【漏洞复现】Django _2.0.8_任意URL跳转漏洞(CVE-2018-14574)
过期的秋刀鱼
11-05 518
​ Django是一个广泛使用的Python web框架,它有很多方便和强大的功能。但是,像任何其他软件一样,Django也可能存在安全漏洞,这个漏洞在Django的CommonMiddleware中可能导致开放重定向。的情况下,Django没做处理,导致浏览器认为目的地址是绝对路径,最终造成任意URL跳转漏洞。​ Django默认配置下,如果匹配上的URL路由中最后一位是。,Django默认会跳转到带/的请求中。Django版本
Django及Flask漏洞合集
小小猪的博客
08-20 3304
Django漏洞 Django任意代码执行 poc: import os os.environ.setdefault('DJANGO_SETTINGS_MODULE','settings') from django.conf import settings from django.core import signing from django.contrib.sessions.backends import signed_cookies class
框架漏洞-CVE复现-Node.JS+Jquery+Django+Flask
xiaoheizi的博客
07-18 766
Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。访问:/admin/vuln/collection/?描述:Node.js-systeminformation是用于获取各种信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数注入payload执行系统命令。添加请求路径:/static/../../../a/../../../../etc/passwd 成功获取敏感信息。
Django -CSRF漏洞
二进制杯莫停的博客
02-08 552
    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 1 CSR...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
CVE-2020-8163:CVE-2020-8163-在Rails中远程执行用户提供的本地名称的代码
03-09
CVE-2020-8163 CVE-2020-8163-在Rails中远程执行用户提供的本地名称的代码 在Rails <5.0.1中远程执行用户提供的本地名称 5.0.1之前的Rails版本中存在一个漏洞,该漏洞将允许攻击者控制render调用的locals参数。 ...
cve-2020-2551_poc.py
03-12
cve-2020-2551_poc.py
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
python框架漏洞
weixin_68408599的博客
12-10 1273
此博客讲述的是基于python框架的各种漏洞复现以及原理,包括sql注入以及ssti模板注入进行复现的过程,以及造成漏洞形成的粗略原理,靶场环境来自vulhub。
【漏洞复现】Django_debug page_XSS漏洞(CVE-2017-12794)
过期的秋刀鱼
11-05 577
1.11.5版本,修复了500页面中存在的一个XSS漏洞。Django 1.11.5版本。再次刷新页面触发XSS。
CVE-2021-3156
weixin_48300170的博客
07-09 184
CVE-2021-3156 Linux sudo权限提升漏洞 复现漏洞简介漏洞信息漏洞原理环境搭建漏洞复现漏洞修复 复现) 漏洞简介       linux kernel一般指Linux内核。Linux是一种开源电脑操作系统内核。它是一个用C语言写成,符合POSIX标准的类Unix操作系统。       overlayfs文件系统实现中存在一个权限检查漏洞,本地普通用户可以获取管理员权限。
python框架漏洞_Django框架的一些漏洞
weixin_39642761的博客
12-14 743
首先我们先来了解一下python中的序列号模板 pickle 这里以一段代码为例子import base64import pickleclass cmd(object):def __reduce__(self):import osreturn (os.system, ('whoami', ))sersize=base64.b64encode(pickle.dumps(cmd()))print se...
Django JSONField SQL注入漏洞 复现 & 原理分析
sGanYu
05-04 2360
关于这个漏洞前几天看了很多的文章,其实大部分payload是一样的,都是如何去构造,或者去命令执行复现一下,我一开始也是这样去做的,但是这个漏洞是怎么形成的,对我来说可能一知半解,或者说完全不了解,在后面学习的过程中感觉吃力又去补习了别的知识,比如Django的两个基类,ArrayField、JSONField,Json.objects.filter()和QuerySet相关的知识,包括ORM注入等等 1/漏洞原理 PostgreSQL、SQLite3、MySQL、Oracle,在大部分情况下,以上四种
Django SQL 注入漏洞 (CVE-2022-28346) 复现
RestoreJustice的博客
03-16 436
​ Django 是用 Python 开发的一个免费开源的 Web 框架,几乎囊括了 Web 应用的方方面面,可以用于快速搭建高性能、优雅的网站,Django 提供了许多网站后台开发经常用到的模块,使开发者能够专注于业务部分。
利用漏洞django-cve_2019_14234
MGwhhyq的博客
05-13 802
步骤如下: 一,爆破密码 1,打开链接输入用户名:admin密码随便 2,打开burp设置代理后进行抓包 3,对用户名和密码选中右键点击选项一,进入lntruder页面,点击payload,打开load,使用弱密码文件进行爆破 4,结果中对于status列中位302的选项即为密码 二,打开链接 1,打开链接。 2,在网址后方输入admin后单击回车。 3,进入后在users选项上单击add添加用户 4,输入用户名和密码。 5,输入个人信息。 ...
CVE-2022-34265 &CVE-2019-14234 sql注入
Aiwin的博客
07-13 2483
Django之CVE-2022-34265&CVE-2019-14234复现
安全生产月”专题报道:AI智能监控技术如何助力安全生产
最新发布
TSINGSEE青犀视频官方技术博客
06-04 905
方案能够通过对人员行为的识别和分析,判断是否存在安全隐患。这些功能的实现,有助于企业提高安全管理水平,减少因人为因素导致的安全事故。
CVE-2020-16875复现
09-14
为了复现CVE-2020-16875漏洞,您可以按照以下步骤进行操作: 1. 首先,您需要获取漏洞的POC代码。根据引用提供的信息,您可以从https://srcincite.io/pocs/cve-2020-16875.py.txt下载POC代码。 2. 在获得POC代码后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值