Mybatis中SQL注入攻擊的3種方式,真是防不勝防!
作者?|?sunnyf
來源?|?https://www.freebuf.com/vuls/240578.html
前言
SQL注入漏洞作為WEB安全的最常見的漏洞之一,在java中隨著預(yù)編譯與各種ORM框架的使用,注入問題也越來越少。新手代碼審計(jì)者往往對Java Web應(yīng)用的多個(gè)框架組合而心生畏懼,不知如何下手,希望通過Mybatis框架使用不當(dāng)導(dǎo)致的SQL注入問題為例,能夠拋磚引玉給新手一些思路。
一、Mybatis的SQL注入
Mybatis的SQL語句可以基于注解的方式寫在類方法上面,更多的是以xml的方式寫到xml文件。Mybatis中SQL語句需要我們自己手動編寫或者用generator自動生成。編寫xml文件時(shí),MyBatis支持兩種參數(shù)符號,一種是#,另一種是$。比如:
<select?id="queryAll"??resultMap="resultMap">
??SELECT?*?FROM?NEWS?WHERE?ID?=?#{id}
</select>
#使用預(yù)編譯,$使用拼接SQL。
Mybatis框架下易產(chǎn)生SQL注入漏洞的情況主要分為以下三種:
1、模糊查詢
Select?*?from?news?where?title?like?‘%#{title}%’
在這種情況下使用#程序會報(bào)錯(cuò),新手程序員就把#號改成了$,這樣如果java代碼層面沒有對用戶輸入的內(nèi)容做處理勢必會產(chǎn)生SQL注入漏洞。
正確寫法:
select?*?from?news?where?tile?like?concat(‘%’,#{title},?‘%’)
2、in 之后的多個(gè)參數(shù)
in之后多個(gè)id查詢時(shí)使用# 同樣會報(bào)錯(cuò),
Select?*?from?news?where?id?in?(#{ids})
正確用法為使用foreach,而不是將#替換為$
id?in
<foreach?collection="ids"?item="item"?open="("separatosr=","?close=")">
#{ids}
</foreach>
3、order by 之后
這種場景應(yīng)當(dāng)在Java層面做映射,設(shè)置一個(gè)字段/表名數(shù)組,僅允許用戶傳入索引值。這樣保證傳入的字段或者表名都在白名單里面。需要注意的是在mybatis-generator自動生成的SQL語句中,order by使用的也是$,而like和in沒有問題。
二、實(shí)戰(zhàn)思路
我們使用一個(gè)開源的cms來分析,java sql注入問題適合使用反推,先搜索xml查找可能存在注入的漏洞點(diǎn)-->反推到DAO-->再到實(shí)現(xiàn)類-->再通過調(diào)用鏈找到前臺URL,找到利用點(diǎn),話不多說走起
1、idea導(dǎo)入項(xiàng)目
Idea首頁 點(diǎn)擊Get from Version Control,輸入https://gitee.com/mingSoft/MCMS.git
下載完成,等待maven把項(xiàng)目下載完成
2、搜索$關(guān)鍵字
Ctrl+shift+F 調(diào)出Find in Path,篩選后綴xml,搜索$關(guān)鍵字
根據(jù)文件名帶Dao的xml為我們需要的,以IContentDao.xml為例,雙擊打開,ctrl +F 搜索$,查找到16個(gè)前三個(gè)為數(shù)據(jù)庫選擇,跳過,
繼續(xù)往下看到疑似order by 暫時(shí)擱置
繼續(xù)往下看發(fā)現(xiàn)多個(gè)普通拼接,此點(diǎn)更容易利用,我們以此為例深入,只查找ids從前端哪里傳入
3、搜索映射對象
Mybatis 的select id對應(yīng)要映射的對象名,我們以getSearchCount為關(guān)鍵字搜索映射的對象
搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java,分別對應(yīng)映射的對象,對象的實(shí)現(xiàn)類和前端controler,直接跳轉(zhuǎn)到controler類
發(fā)現(xiàn)只有categoryIds與目標(biāo)參數(shù)ids相似,需進(jìn)一步確認(rèn),返回到IContentDao.java按照標(biāo)準(zhǔn)流繼續(xù)反推
找到ids為getSearchCount的最后一個(gè)參數(shù),alt+f7查看調(diào)用鏈
調(diào)轉(zhuǎn)到ContentBizImpl,確認(rèn)前臺參數(shù)為categoryIds
返回到McmsAction,參數(shù)由BasicUtil.getString接收,
跟進(jìn)BasicUtil.getString
繼續(xù)跳到SpringUtil.getRequest(),前端未做處理,sql注入實(shí)錘
4、漏洞確認(rèn)
項(xiàng)目運(yùn)行起來,構(gòu)造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27,驗(yàn)證注入存在。
三、總結(jié)
以上就是mybatis的sql注入審計(jì)的基本方法,我們沒有分析的幾個(gè)點(diǎn)也有問題,新手可以嘗試分析一下不同的注入點(diǎn)來實(shí)操一遍,相信會有更多的收獲。當(dāng)我們再遇到類似問題時(shí)可以考慮:
1、Mybatis框架下審計(jì)SQL注入,重點(diǎn)關(guān)注在三個(gè)方面like,in和order by;
2、xml方式編寫sql時(shí),可以先篩選xml文件搜索$,逐個(gè)分析,要特別注意mybatis-generator的order by注入;
3、Mybatis注解編寫sql時(shí)方法類似;
4、java層面應(yīng)該做好參數(shù)檢查,假定用戶輸入均為惡意輸入,防范潛在的攻擊。
往期推薦
Java中定時(shí)任務(wù)的6種實(shí)現(xiàn)方式,你知道幾種?
《跟二師兄學(xué)Nacos》02篇 Nacos的臨時(shí)與持久化實(shí)例,傻傻分不清?
Protocol Buffers,一款比xml快100倍的序列化框架!
如果你覺得這篇文章不錯(cuò),那么,下篇通常會更好。添加微信好友,可備注“加群”(微信號:zhuan2quan)。
一篇文章就看透技術(shù)本質(zhì)的人,? 和花一輩子都看不清的人,
? 注定是截然不同的搬磚生涯。
▲?長按關(guān)注”程序新視界“,洞察技術(shù)內(nèi)幕