一、漏洞概述

Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
在 2.2.28 之前的 Django 2.2、3.2.13 之前的 3.2 和 4.0.4 之前的 4.0 中发现了一个问题。QuerySet.annotate()、aggregate() 和 extra() 方法会通过精心制作的字典（带有字典扩展）作为传递的 **kwargs 在列别名中进行 SQL 注入。

二、影响范围

2.2.28 之前的版本 Django 2.2

3.2.13 之前的版本 Django 3.2

4.0.4 之前的版本 Django 4.0

三、访问页面

四、漏洞复现

1、访问任意不存在的目录路径报错，提示存在demo接口

2、访问/demo/，提示有一个name参数

3、对接口参数进行fuzz（实战思路），vulfocus已经给出了/demo?field=demo.name

4、对接口进行SQL注入测试（单引号，双引号等），发现双引号报错，页面直接返回了flag

5、sql注入查询，回显位置是sqlite_version()

/demo/?field=demo.name"%20FROM%20"demo_user"%20union%20SELECT%20"1",sqlite_version(),"3"%20--

五、漏洞复用

1、sql注入 到 webshell