Python代碼審計方法多種多樣，但是總而言之是根據前人思路的遷移融合擴展而形成。目前Python代碼審計思路，呈現分散和多樣的趨勢。Python微薄研發經驗以及結合實際遇到的思路和技巧進行總結，以便于朋友們的學習和參考。

[[285489]]

SQL注入和ORM注入

這兩者注入相似度較高，所以打算放在一起分析和總結。它們所用原理OWASP TOP TEN 中的描述非常合適，“將不受信任的數據作為命令或查詢的一部分發送到解析器時，會產生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數據可以誘使解析器在沒有適當授權的情況下執行非預期命令或訪問數據。”。

1. SQL注入

Python 中常見存在風險SQL語句，在id或者Name可控的情況下存在安全隱患?？煽貐悼梢詫⒃勖雌谕麍绦械拇a按照語法進行拼接，從而執行原本預期之外的代碼。

sql = "select id,name from user_table where id = %s and name = %s" % (id, name) 
cur.execute(sql) 

然而在實際案例中，這種執行SQL語句并不多，比較典型的案例。實例代碼如下：

import urllib 
import MySQLdb 
import SocketServer 
from SimpleHTTPServer import SimpleHTTPRequestHandler 
class MyHandler(SimpleHTTPRequestHandler): 
    def _set_headers(self): 
        self.send_response(200) 
        self.send_header('Content-type', 'text/html') 
        self.end_headers() 
    def do_GET(self): 
        print("got get request %s" % (self.path)) 
        hql = urllib.splitquery(self.path)[1] 
        uri_c = str(hql) 
        print('cmd===%s' % (uri_c)) 
        sql = "select id from user_table where id = %s" % uri_c 
        db = MySQLdb.connect("localhost", "testuser", "test123", "TESTDB", charset='utf8') 
        cursor = db.cursor() 
        cursor.execute(sql) 
        data = cursor.fetchone() 
        self.wfile.write(data) 
def start_server(): 
    httpd = SocketServer.TCPServer(("127.0.0.1", 8090), MyHandler) 
    print('Starting httpd...') 
    httpd.serve_forever() 
if __name__ == "__main__": 
    start_server() 

這是一個簡單的HTTP服務器，目前在Python2中可以正常運行。通過urllib.splitquery獲取GET請求的參數，uri_c 里面為請求參數的值。用值傳遞到SQL語句中拼接，從而產生注入問題。這是比較簡單的一種，正常情況下調用鏈可能會比較長，長短取決于平臺的設計架構。

2. ORM注入

(1) sqlalchemy ORM注入(CNVD-2019-17301)

考慮到的理解上比較容易，用模塊進行舉例，并不涉及到框架。ORM注入是SQL注入的一種特殊情況，ORM模塊將SQL語句進行模板化，所以找SQL語句字符串的辦法不好用了。那么應該怎么辦?根據模塊來找尋執行方法，如果模塊存在問題和未妥善過濾或轉義、存在可控變量則可能會產生問題。如何去發現和查找Python ORM模塊，展現朋友們搜索技能的時候到了，不再老生常談。下面進入案例：

from sqlalchemy import create_engine 
from sqlalchemy.orm import sessionmaker 
import sqlalchemy 
print("sqlalchemy_version:",sqlalchemy.__version__) 
engine = create_engine('mysql://root:123456@192.168.56.101:3306/mysql?charset=utf8') 
DB_Session = sessionmaker(bind=engine) 
session = DB_Session() 
session.execute('use mysql;') 
print( 
        session.execute( 
            """ 
                select * from user where User='root' and 11=1; 
            """ 
    ).fetchall() 
) 

這個是使用sqlalchemy的ORM注入，它存在任意執行SQL語句的接口。道理上講這個是功能，實際情況大多數程序員都會認為ORM是能夠防御SQL注入，這個可能會成為漏洞。通過轉義可以更好的解決問題，但是官方可能并不重視。另外還有sqlalchemy幾個問題利用order_by注入、利用”limit”和”offset”關鍵詞向”select()”函數傳遞注入等等，方法一樣利用模塊過濾不嚴，暫不多論。

(2) Django JSON SQL注入(CVE-2019-14234)

咱們繼續看來 Django JSON SQL注入，關于這個漏洞已經有前人分析過了。這個分析有些難度需要咱們了解Django和PostgreSQL，如果感覺吃力不妨先去學習一番。了解在PostgreSQL之中關于JSON數據的查詢主要使用ArrayField、JSONField、HStoreField，通過Django如何進行查詢PostgreSQL，Json.objects.filter()和QuerySet.filter()實現，準備工作就緒。

查詢使用方法如下：

# 查詢方法 
# 查詢data數據下名稱為test的內容為'user'的整個字段 
Json.objects.filter(data__test='user') 
or 
Json.objects.filter(**{"data__test":'user'}) 

通過補丁判斷實現方法使用了 self.key_name ，QuerySet.filter()的調用和self.key_name傳遞有關。

緊接著發現類 KeyTransformFactory 調用了 KeyTransform 傳入了 self.key_name ，后續是字符串拼接。這里不多詳細闡述感興趣的朋友跟下流程。

class KeyTextTransform(KeyTransform): 
    operator = '->>' 
    ... 
    # 字符串拼接 
    (%s %s %s)" % (lhs, self.operator, lookup) 

結合注入的知識進行實施測試，結果如下。

# 使用注入 
# 拼接補全SQL語法 
Json.objects.filter(**{"""data__breed'='"a"') OR 11=1 OR('d""":'x',}) 

總結

本次總結Python的SQL注入和ORM注入的挖掘方法和相關案例，SQL注入方面沒有找到對應的實際案例，咱們編寫簡單的案例作為參考。ORM注入為兩個案例，分別是關于模塊和框架。綜合作為實戰挖掘的參考，個人之力，恐有疏漏，盼斧正。