追洞小組 | 實戰CVE-2020-7471漏洞

出品｜MS08067實驗室（www.ms08067.com)

本文作者：守拙（Ms08067實驗室追洞小組成員）

一、漏洞名稱：

通過StringAgg（分隔符）的潛在SQL注入漏洞

二、漏洞編號：

CVE-2020-7471

三、漏洞描述：

Django 1.11.28之前的1.11.x、2.2.10之前的2.2.x和3.0.3之前的3.0.x版本允許SQL注入，如果不受信任的數據用作StringAgg分隔符（例如，在存在多行數據下載的Django應用程序中，使用用戶指定的列分隔符進行下載的場景）。通過向contrib.postgres.aggregates.StringAgg實例傳遞一個精心構造的分隔符，可能會破壞轉義並注入惡意SQL。

四、影響版本：

Django 1.11.x < 1.11.28
Django 2.2.x < 2.2.10
Django 3.0.x < 3.0.3

五、漏洞分析

聚合函數StringAgg的delimiter參數未經任何轉義就嵌入到sql語句中，導致sql注入

六、實驗環境及准備：

1.數據庫：postgresql，版本無所謂，本文中使用kali虛擬機中自帶的數據庫，允許外部連接

• 修改如下文件，監聽所有端口

/etc/postgresql/12/main/postgresql.conf

• 修改如下文件，允許外部連接

/etc/postgresql/12/main/pg_hba.conf

• 重啟服務后，連接數據庫並創建測試數據庫

登陸：psql -U postgres -h [kali主機的IP]
創建測試數據庫：CREATE DATABASE test，后面poc中會用到
其他postgresql語法可以參考菜鳥教程

2.POC: https://github.com/Saferman/CVE-2020-7471，運行環境django3.0.2

• 安裝django3.0.2
  pip installdjango==3.0.2
• 使用pycharm調試POC代碼，參考POC中的readme文檔

• 初始化數據庫后可以用pgadmin連接看下，test數據庫中應該有如下表

• Vul_app_info表中應該如下字段和數據

七、復現步驟：

POC測試腳本中有兩個函數query()和query_with_evil()，前者用於模糊測試，后者用於注入點證明

1.模糊測試

• 通過運行query()函數的異常捕獲可以知道有兩個特殊字符讓程序產生了報錯（%和’）
• 將程序中異常捕獲注釋掉，payload使用%和’單獨測試

• 通過報錯可以看出分號沒有轉義導致sql語句報錯，並直接在報錯信息返回了拼接后的sql語句。將斷點打在執行sql語句並產生報錯的代碼塊去看完整的sql

• 得到程序運行的實際sql語句

SELECT "vul_app_info"."gender", STRING_AGG("vul_app_info"."name", \'\'\') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 21

2.注入點證明

• 通過注入sql語句使查詢結果區別與程序原本的查詢結果來證明注入點的可用
• 程序原本執行的sql語句，最后是limit 21

SELECT "vul_app_info"."gender", STRING_AGG("vul_app_info"."name", \'- \') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 21

• 注入后的 sql 語句，最后是 limit 1，只返回一行數據

SELECT "vul_app_info"."gender", STRING_AGG("vul_app_info"."name", \'- \') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 1 OFSET 1 --

• 運行結果驗證

八、其他思考：

1. 漏洞利用場景

• Django 應用返回聚合數據的場景
• 用於聚合的字符用戶可控
• 數據庫得是 postgresql 數據庫
• 好像不容易存在這種場景...

2. 漏洞挖掘思路

• 針對可能存在問題的函數，構建測試環境
• 針對該函數進行模糊測試，看是否有 sql 語句報錯信息
• 如果模糊測試成功讓 sql 語句報錯，進行注入點利用驗證

3. 漏洞修復

• 在django的git倉庫的提交記錄中可以看到django官方的修復方案
• https://github.com/django/django/commit/eb31d845323618d688ad429479c6dda973056136

• 新版本中將delimiter 參數用Value函數處理了一下，再傳遞到sql中

• 升級django版本（3.1.6）再debug一下

• 分割符的地方用了%s，沒有直接拼接進去，根據Value函數的注釋說法是將參數放到sql的參數列表中，最終以下面的方式執行，則不存在sql注入風險

sql="SELECT * FROM user_contacts WHERE username = %s"
user='zhugedali'
cursor.execute(sql,[user])

4.同類型函數

• 在postgresql數據庫中和StringAgg函數一樣可以傳遞分隔符參數的函數還有

array_to_string(array_agg(name),'-')

• 但是django中沒有找到這個函數的API（沒有提供或者是我太菜了沒找到..）

 
 
 

轉載請聯系作者並注明出處！

Ms08067安全實驗室專注於網絡安全知識的普及和培訓。團隊已出版《Web安全攻防：滲透測試實戰指南》，《內網安全攻防：滲透測試實戰指南》，《Python安全攻防：滲透測試實戰指南》，《Java代碼安全審計（入門篇）》等書籍。
團隊公眾號定期分享關於CTF靶場、內網滲透、APT方面技術干貨，從零開始、以實戰落地為主，致力於做一個實用的干貨分享型公眾號。
官方網站：https://www.ms08067.com/

掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群，內部微信群永久有效！