动手实验Django debug page XSS漏洞复现

Posted 2021-04-29 i春秋

近期，Django发布了新版本1.11.5，修复了500页面中可能存在的一个XSS漏洞，在其1.11.4版本中，我们重点关注的就是django/views/debug.py。此文件存在XSS漏洞，恶意访问者可利用其漏洞获取敏感信息，甚至可以威胁到服务器安全。

Django是一个开放源代码的Web应用框架，由Python写成。采用了MVC的框架模式，即模型M，视图V和控制器C。

Django 项目是一个python定制框架，它源自一个在线新闻 Web 站点，于 2005 年以开源的形式被释放出来。Django 框架的核心组件有：

1.用于创建模型的对象关系映射

2.为最终用户设计的完美管理界面

3.一流的 URL 设计

4.设计者友好的模板语言

5.缓存系统。

今天让我们学习一下Django debug page XSS漏洞原理、如何利用漏洞、及其修复方法吧~

实验环境

操作机：Windows XP

目标机：Ubuntu

实验目的

学习漏洞原理

掌握漏洞简单的利用方法

学习如何对漏洞进行修复以及防御措施

实验内容

漏洞介绍

Django是一个开放源代码的Web应用框架，由Python写成。采用了MVC的框架模式，即模型M，视图V和控制器C，Django也是CMS（内容管理系统）软件。

近期，Django发布了新版本1.11.5，修复了500页面中可能存在的一个XSS漏洞，在其1.11.4版本中，我们重点关注的就是django/views/debug.py此文件存在XSS漏洞，访问者可利用其漏洞获取敏感信息，甚至可以威胁到服务器安全。

影响版本

1.11.4版本

实验步骤

步骤1：了解原理

我们首先对比1.11.4和1.11.5版本的差异：

1.11.4 

1.11.5

可见，外部关闭了全局转义，然后在这两个地方增加了强制转义。那么，漏洞肯定是在这个位置触发的。

如果要触发这两个输出点，就必须进入这个if语句：{% ifchanged frame.exc_cause %}{% if frame.exc_cause %}。 我们可以做个简单的测试，在Django命令行下，我们创建一个username为phith0n的用户，然后再次创建一个用户，则会抛出一个IntegrityError异常：

见上图，原因是触发了数据库的Unique异常。

为什么Django会引入这样一个异常机制？这是为了方便开发者进行SQL错误的调试，因为Django的模型最终是操作数据库，数据库中具体出现什么错误，是Django无法100%预测的。那么，为了方便开发者快速找到是哪个操作触发了数据库异常，就需要将这两个异常回溯栈关联到一块。

我们可以看看代码，django/db/utils.py的__exit__函数：

def __exit__(self, exc_type, exc_value, traceback):    if exc_type is None:        return    for dj_exc_type in (            DataError,            OperationalError,            IntegrityError,            InternalError,            ProgrammingError,            NotSupportedError,            DatabaseError,            InterfaceError,            Error,    ):        db_exc_type = getattr(self.wrapper.Database, dj_exc_type.__name__)        if issubclass(exc_type, db_exc_type):            dj_exc_value = dj_exc_type(*exc_value.args)            dj_exc_value.__cause__ = exc_value            if not hasattr(exc_value, '__traceback__'):                exc_value.__traceback__ = traceback            # Only set the 'errors_occurred' flag for errors that may make            # the connection unusable.            if dj_exc_type not in (DataError, IntegrityError):                self.wrapper.errors_occurred = True            six.reraise(dj_exc_type, dj_exc_value, traceback)

其中exc_type是异常，如果其类型是DataError,OperationalError,IntegrityError,InternalError,ProgrammingError,NotSupportedError,DatabaseError,InterfaceError,Error之一，则抛出一个同类型的新异常，并设置其__cause__和__traceback__为此时上下文的exc_value和traceback。

exc_value是上一个异常的说明，traceback是上一个异常的回溯栈。这个函数其实就是关联了上一个异常和当前的新异常。

最后在500页面中，__cause__被输出。

步骤2：漏洞利用

经过技术人员测试，我发现在使用Postgres数据库并触发异常的时候，psycopg2会将字段名和字段值全部抛出。那么，如果字段值中包含我们可控的字符串，又由于0x02中说到的，这个字符串其实就会被设置成__cause__，最后被显示在页面中。

所以我们假设有如下场景：

(1) 用户注册页面，未检查用户名

(2) 注册一个用户名为[removed]alert(1)[removed]的用户

(3) 再次注册一个用户名为[removed]alert(1)[removed]的用户

(4) 触发duplicate key异常，导致XSS漏洞

172.16.12.2:8000/create_user/?username=＜script＞alert(1)＜/script＞

再次访问：

172.16.12.2:8000/create_user/?username=＜script＞alert(1)＜/script＞

如上图，Postgres抛出的异常为

duplicate key value violates unique constraint "xss_user_username_key"DETAIL:  Key (username)=([removed]alert(1)[removed]) already exists.

这个异常被拼接进The above exception ({{ frame.exc_cause }}) was the direct cause of the following exception，最后触发XSS，成功触发漏洞。

实验结果分析与总结

本次实验我们学习了Django debug page XSS漏洞（CVE-2017-12794）的原理，了解了他的漏洞利用手法。

戳阅读原文，更多精彩等你哟~