ORM Injection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
이 게시물에서는 예를 들어 다음과 같은 코드를 사용하여 Django ORM을 취약하게 만드는 방법을 설명합니다:
모든 request.data(이는 json이 될 것입니다)가 데이터베이스에서 객체를 필터링하는 데 직접 전달되는 방식에 주목하십시오. 공격자는 예상보다 더 많은 데이터를 유출하기 위해 예상치 못한 필터를 보낼 수 있습니다.
예시:
로그인: 간단한 로그인에서 내부에 등록된 사용자의 비밀번호를 유출하려고 시도합니다.
비밀번호를 무차별 대입하여 유출될 때까지 시도할 수 있습니다.
관계 필터링: 예상치 못한 열에서 정보를 유출하기 위해 관계를 탐색할 수 있습니다. 예를 들어, 다음과 같은 관계를 가진 사용자가 생성한 기사를 유출할 수 있다면: Article(created_by
) -[1..1]-> Author (user
) -[1..1]-> User(password
).
모든 기사를 작성한 사용자의 비밀번호를 찾는 것이 가능합니다.
다대다 관계 필터링: 이전 예제에서는 기사를 작성하지 않은 사용자의 비밀번호를 찾을 수 없었습니다. 그러나 다른 관계를 따라가면 가능합니다. 예를 들어: Article(created_by
) -[1..1]-> Author(departments
) -[0..*]-> Department(employees
) -[0..*]-> Author(user
) -[1..1]-> User(password
).
이 경우, 우리는 기사를 작성한 사용자들의 부서에서 모든 사용자를 찾고 그들의 비밀번호를 유출할 수 있습니다 (이전 json에서는 사용자 이름만 유출하고 있지만, 이후에는 비밀번호를 유출할 수 있습니다).
사용자와의 Django 그룹 및 권한 다대다 관계 악용: 게다가, AbstractUser 모델은 Django에서 사용자를 생성하는 데 사용되며, 기본적으로 이 모델은 Permission 및 Group 테이블과의 다대다 관계를 가지고 있습니다. 이는 기본적으로 같은 그룹에 있거나 동일한 권한을 공유하는 경우 한 사용자에서 다른 사용자에 접근하는 방법입니다.
필터 제한 우회: 동일한 블로그 게시물은 articles = Article.objects.filter(is_secret=False, **request.data)
와 같은 일부 필터링을 우회할 것을 제안했습니다. is_secret=True인 기사를 덤프하는 것이 가능하며, 관계에서 Article 테이블로 다시 루프를 돌 수 있기 때문에 비밀 기사를 비밀이 아닌 기사에서 유출할 수 있습니다. 결과가 조인되고 is_secret 필드가 비밀이 아닌 기사에서 확인되는 동안 비밀 기사에서 데이터가 유출됩니다.
관계를 악용하면 표시되는 데이터를 보호하기 위한 필터를 우회할 수 있습니다.
오류/시간 기반 ReDoS: 이전 예제에서는 필터링이 작동하는지 여부에 따라 다른 응답을 기대했으며, 이를 오라클로 사용했습니다. 그러나 데이터베이스에서 어떤 작업이 수행되고 응답이 항상 동일할 수 있습니다. 이 시나리오에서는 데이터베이스 오류를 발생시켜 새로운 오라클을 얻을 수 있습니다.
같은 게시물에서 이 벡터에 대한 내용:
SQLite: 기본적으로 regexp 연산자가 없음 (서드파티 확장 로드 필요)
PostgreSQL: 기본 regex 타임아웃이 없으며 백트래킹에 덜 취약함
MariaDB: regex 타임아웃이 없음
다음은 이 게시물에서 추출한 트릭입니다.
전체 찾기 제어:
전체 자바스크립트 본문이 prisma에 전달되어 쿼리를 수행하는 것을 볼 수 있습니다.
원래 게시물의 예에서, 이는 누군가에 의해 생성된 모든 게시물을 확인하며 (각 게시물은 누군가에 의해 생성됨) 그 누군가의 사용자 정보 (사용자 이름, 비밀번호 등)도 반환합니다.
다음은 비밀번호가 있는 사용자가 생성한 모든 게시물을 선택하고 비밀번호를 반환합니다:
전체 where 절 제어:
공격자가 where
절을 제어할 수 있는 경우를 살펴보겠습니다:
사용자의 비밀번호를 직접 필터링하는 것이 가능합니다:
startsWith
와 같은 연산을 사용하면 정보를 leak할 수 있습니다.
다대다 관계 필터링 우회:
Category
-[*..*]-> Article
간의 다대다 관계를 통해 공개되지 않은 기사를 유출할 수 있습니다:
모든 사용자를 유출하는 것도 가능하다, 일부 루프백 다대다 관계를 악용하여:
Error/Timed queries: 원본 게시물에서는 시간 기반 페이로드로 정보를 유출하기 위해 수행된 매우 광범위한 테스트 세트를 읽을 수 있습니다. 이는:
Where the {CONTAINS_LIST}
는 올바른 leak이 발견되었을 때 응답이 지연되도록 하기 위해 1000개의 문자열로 구성된 목록입니다.
이러한 트릭은 이 게시물에서 발견되었습니다.
Ransack 4.0.0.0은 이제 검색 가능한 속성과 연관성에 대한 명시적 허용 목록 사용을 강제합니다.
취약한 예:
참고로 쿼리는 공격자가 보낸 매개변수에 의해 정의됩니다. 예를 들어, 다음과 같이 리셋 토큰을 무차별 대입 공격할 수 있었습니다:
무차별 대입 공격과 잠재적인 관계를 통해 데이터베이스에서 더 많은 데이터를 유출할 수 있었습니다.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)