Django debug page XSS漏洞(CVE-2017-12794)
0x01漏洞概述
因为官方说明是500页面中出现的BUG,所以我们重点关注的就是django/views/debug.py。Github上有Django的仓库,下载下来,用1.11.4和1.11.5进行比较:
git clone https://github.com/django/django.git
cd django
git diff 1.11.4 1.11.5 django/views/debug.py
可见,外部关闭了全局转义,然后在这两个地方增加了强制转义。那么,漏洞肯定是在这个位置触发的。
0x02影响版本
1.11.5之前的版本
0x03漏洞环境
1、启动漏洞环境
┌──(root💀kali)-[/home/kali/vulhub/django/CVE-2017-12794]
└─# docker-compose up -d
2、访问漏洞环境
http://your-ip:8000
3、复现完成删除靶场环境
┌──(root💀kali)-[/home/kali/vulhub/django/CVE-2017-12794]
└─# docker-compose down
0x04复现过程
经过我的测试,我发现在使用Postgres数据库并触发异常的时候,psycopg2会将字段名和字段值全部抛出。那么,如果字段值中包含我们可控的字符串,又由于0x02中说到的,这个字符串其实就会被设置成__cause__
,最后被显示在页面中。
所以我们假设有如下场景:
1、用户注册页面,未检查用户名
2、注册一个用户名为alert(1)的用户
3、再次注册一个用户名为alert(1)的用户
4、触发duplicate key异常,导致XSS漏洞
我将上述流程整理成vulhub的一个环境:
https://github.com/phith0n/vulhub/tree/master/django/CVE-2017-12794
访问:
http://your-ip:8000/create_user/?username=<script>alert(1)</script>
成功创建了一个用户,再次访问该链接,触发异常,复现成功。