CVE-2019-14234笔记

Django JSONField/HStoreField SQL注入漏洞(CVE-2019-14234)

参考
https://www.leavesongs.com/PENETRATION/django-jsonfield-cve-2019-14234.html
https://www.cnblogs.com/LaoMuJi/p/11216394.html
练习靶场
https://github.com/vulhub/vulhub/tree/master/django/CVE-2019-14234

分析:

http://ip:port/admin/vuln/collection/
传参
?detail__a%27b=1
报错
CVE-2019-14234笔记_第1张图片
说明可以构造查询字段
比如
id_contains=admin
name_contains=admin
flag_contains=flag{

你可能感兴趣的:(CVE-2019-14234笔记)