前言
最近在看CNVD時無意間看到兩條關于Django的最新漏洞通告����,隨即打開看了一下,大概意思是說Django在2.2.28?版本之前的2.2版本����、3.2.13版本之前的3.2版本、4.0.4版本之前的4.0版����,本使用QuerySet.annotate() aggregate() extra()數(shù)據(jù)聚合函數(shù)時會導致SQL注入問題。由于筆者平時開發(fā)一些平臺多半也是使用Django����,所以便嘗試進行分析了一下,如有描述不當之處���,還望提出建議修改斧正���。
影響版本
Django Django >=2.2,<2.2.28
Django Django >=3.2�����,<3.2.13
Django Django >=4.0����,<4.0.4
?
環(huán)境構建
Python: 3.7.9
Django: 3.2.11
?
目錄結構
models.py
views.py
urls.py
settings.py
或者使用筆者構建好的環(huán)境:
https://github.com/DeEpinGh0st/CVE-2022-28346
?
漏洞復現(xiàn)
初始化項目
1.python manage.py makemigrations
2.python manage.py migrate
3.訪問http://x.x.x.x:8000/ 初始化數(shù)據(jù)
觸發(fā)
訪問
http://x.x.x.x:8000/demo?field=demo.name" FROM "demo_user" union SELECT "1",sqlite_version(),"3" --
?
漏洞分析
老規(guī)矩,分析前可以先看看官方在修復的commit中有沒有給出測試用例
在https://github.com/django/django/commit/2044dac5c6968441be6f534c4139bcf48c5c7e48中看到官方在測試組件中給出了基本的測試用例���。
我們可以根據(jù)官方給出的代碼編寫相應的代碼進行調試和分析。
在views.py的annotate打入斷點后���,來到db.models.query.py:__init__����,進行QuerySet的初始化�����。
在初始化QuerySet后����,會來到db.models.query.py:annotate開始執(zhí)行聚合流程���,在annotate中首先會調用_annotate并傳入kwargs����。
annotate在完成對kwargs.values()合法性校驗等一系列操作后,將kwargs更新到annotations中,隨后遍歷annotations中的元素調用add_annotation進行數(shù)據(jù)聚合����。
跟進add_annotation(print是筆者為了分析自己加入的)���。
add_annotation繼續(xù)調用resolve_expression解析表達式,在此處并沒有對傳入的聚合參數(shù)進行相應的檢查。在經過一系列調用后,最終會來到db.models.sql.query.py:resolve_ref
resolve_ref會獲取annotations中的元素,并將其轉換后帶入到查詢的條件中���,最后其結果通過transform_function聚合到一個Col對象中�����,可以看到聚合之后的結果����。
返回到db.models.query.py:_annotate可以看到具體聚合后數(shù)據(jù)值�����,以及執(zhí)行的sql語句����。
最后將結果返回到QuerySet中進行展示。
?
修復
在漏洞公開后����,Django官方隨即對項目進行了修復。
在add_annotation中加入了check_alias對聚合參數(shù)進行檢查。
?
參考
https://github.com/django/django/commit/2044dac5c6968441be6f534c4139bcf48c5c7e48
https://www.cnvd.org.cn/flaw/show/CNVD-2022-31838
云天安全訂閱號
云天安全服務號
