Django CVE-2018-14574

Django CVE-2018-14574

版本说明

开发环境使用的Python版本为Python3.5.1,使用的Django版本为Django2.0。

注意:打开Django2.0官网,可以发现其上方提示Django2.0是一个不安全的版本(这是发甚了什么事)。

在这里插入图片描述

去Vulhub一搜,果然有Django2.0版本的漏洞,编号为CVE-2018-14574:
Django CVE-2018-14574_第1张图片

涉及到的版本为:Django1.11.15之前的1.11.x版本以及Django2.0.8之前的Django2.0.x版本。

有漏洞的组件是Django的CommonMiddleware中间件存在重定向漏洞,攻击者可以利用该漏洞将用户重定向到任意网站。

这时候,由于自己安装的就是Django2.0版本,那岂不是…

直接翻开Django2.0的源码,找到CommonMiddleware组件:

Django CVE-2018-14574_第2张图片

一上来,好家伙,直接继承自MiddlewareMixin父类,写Python框架的都这么喜欢用Mixin设计模式嘛。。。又要抽点时间学习一波了。

先不看MiddlewareMixin,直接打开注释,阅读一波。

注释大概的意思就是:

  • 你可以在settings下定义一个DISALLOWED_USER_AGENTS变量,然后这个变量存放User-Agent黑名单,如果客户端请求时带上了其中的User-Agent访问,则会被拦截。
  • URL重写功能,依赖于APPEND_SLASHPREPEND_WWW设置。如果设置了APPEND_SLASH为True,并且用户访问的url末尾没有带/,然后这个url又和你在urlpatterns中定义的url都匹配不上,那么django就会在这个url后面添加上一个/,如果添加/之后的url可以在urlpatterns中找到,则django会返回一个重定向给用户,重定向的url就是它给你加上/的那个url。
  • 如果想要定制url重写功能,可以继承CommonMiddleware,然后覆盖response_redirect_class属性,默认的response_redirect_class为HttpResponsePermanentRedirect类,该类把状态码设置为301,即永久重定向。

从注释的第二点可以看出,假如你开发的网站域名为:maple.com,网站后端定义的urlpatterns如下:

urlpatterns = [
	url('/login', LoginView.as_view()),
    url('/logout/', LogoutView.as_view())
]

并且在配置中开启了APPEND_SLASH,那么用户访问maple.com/login时会跳转到正常的视图函数中。

如果用户访问的是maple.com/logout,django首先在urlpatterns中没有找到匹配的,于是在url末尾加上一个/把url变成了/logout/,然后给你返回重定向,重定向的url为/logout/

如果我们的urlpatterns是按照添加顺序就url进行查找时,会不会有人在urlpatterns列表的末尾加上一个访问除了上面定义的这些路径,其他路径都给你跳转到404页面的想法呢?

就比如:

urlpatterns = [
	url('/login', LoginView.as_view()),
	...  网站所有能够访问的url
	url(r'^(.*)/$', 404View.as_view())
]

这样,访问不存在的路径,例如:maple.com/sfodsfdsfdsf路径在urlpatterns中找不到,加上/后就能够匹配上最后一个了,于是给你返回重定向。

假设这个重定向的路径是钓鱼网站,例如:www.diaoyu.com/,则原始输入给django的路径就要是:www.diaoyu.com,但是把路径和域名一拼接,发现少了个/,加上去之后就是maple.com/www.diaoyu.com

万事俱备,只欠复现漏洞了。

漏洞复现

1、创建django项目:django-admin startproject django_vul_demo

2、进入django_vul_demo目录中,创建app:python manage.py startapp demo

3、pycharm打开项目,由于CommonMiddleware中间件默认就是开启的,我们只需要在settings.py最后加上一行即可:

APPEND_SLASH = True

4、在demo/views.py编写视图函数:

# -*- coding: utf-8 -*-
from django.views import View
from django.http import HttpResponse


class ErrorView(View):
    def get(self, request, *args, **kwargs):
        return HttpResponse('404')


class LoginView(View):
    def get(self, request):
        return HttpResponse('login')

5、在urls.py中注册url:

from django.conf.urls import url, re_path
from django.contrib import admin

from demo.views import LoginView, ErrorView

urlpatterns = [
    url(r'^admin/', admin.site.urls),
    url(r'^login/', LoginView.as_view()),
    re_path(r'^(.*)/$', ErrorView.as_view())
]

6、命令行启动项目:py -3 manage.py runserver

7、先访问:localhost:8000/login,OK没问题:

Django CVE-2018-14574_第3张图片

8、再访问:localhost:8000/sfsoeife,也没问题:

Django CVE-2018-14574_第4张图片

9、打开F12抓包,发现重定向的路径有问题:

Django CVE-2018-14574_第5张图片

Django返回的是/sfsoeife/,浏览器会认为其是相对路径,于是就去访问127.0.0.1:8000/sfsoeife/了。

如果想让浏览器将其当做是绝对路径,还需要加上一个/,我们访问的路径就应该是:127.0.0.1:8000//sfsoeife

修改url后再访问并抓包:

Django CVE-2018-14574_第6张图片

这次成功了,浏览器直接去访问http://sfsoeife/网站了,于是我们将url改造成127.0.0.1//www.baidu.com,看看是不是能够成功重定向到百度首页。

Django CVE-2018-14574_第7张图片

成功复现。慢着,这篇文章不是要讲Django使用的吗???这么跑偏了???

Django CVE-2018-14574_第8张图片

Sorry,Django使用只能下篇再见了。

你可能感兴趣的:(Django,django,CVE-2018-14574)