MyBatis下SQL註入攻擊的3種方式

Posted on by

前言

SQL註入漏洞作為WEB安全的最常見的漏洞之一,在java中隨著預編譯與各種ORM框架的使用,註入問題也越來越少。新手代碼審計者往往對Java Web應用的多個框架組合而心生畏懼,不知如何下手,希望通過Mybatis框架使用不當導致的SQL註入問題為例,能夠拋磚引玉給新手一些思路。

Mybatis的SQL語句可以基於註解的方式寫在類方法上面,更多的是以xml的方式寫到xml文件。Mybatis中SQL語句需要我們自己手動編寫或者用generator自動生成。編寫xml文件時,MyBatis支持兩種參數符號,一種是#,另一種是$。比如:

`<select id="queryAll"  resultMap="resultMap">`
 `SELECT * FROM NEWS WHERE ID = #{id}`
`</select>`

#使用預編譯,$使用拼接SQL。

Mybatis框架下易產生SQL註入漏洞的情況主要分為以下三種:

1、模糊查詢

Select * from news where title like ‘%#{title}%'

在這種情況下使用#程序會報錯,新手程序員就把#號改成瞭$,這樣如果java代碼層面沒有對用戶輸入的內容做處理勢必會產生SQL註入漏洞。

正確寫法:

select * from news where tile like concat(‘%',#{title}, ‘%')

2、in 之後的多個參數

in之後多個id查詢時使用# 同樣會報錯,

Select * from news where id in (#{ids})

正確用法為使用foreach,而不是將#替換為$

`id in`
`<foreach collection="ids" item="item" open="("separatosr="," close=")">`
`#{ids}` 
`</foreach>`

3、order by 之後

這種場景應當在Java層面做映射,設置一個字段/表名數組,僅允許用戶傳入索引值。這樣保證傳入的字段或者表名都在白名單裡面。需要註意的是在mybatis-generator自動生成的SQL語句中,order by使用的也是$,而like和in沒有問題。

二、實戰思路

我們使用一個開源的cms來分析,java sql註入問題適合使用反推,先搜索xml查找可能存在註入的漏洞點–>反推到DAO–>再到實現類–>再通過調用鏈找到前臺URL,找到利用點,話不多說走起

1、idea導入項目

Idea首頁 點擊Get from Version Control,輸入https://gitee.com/mingSoft/MCMS.git

下載完成,等待maven把項目下載完成

1592450876_5eeadf3cabd3f.png!small

2、搜索$關鍵字

Ctrl+shift+F 調出Find in Path,篩選後綴xml,搜索$關鍵字

1592452194_5eeae46267257.png!small

根據文件名帶Dao的xml為我們需要的,以IContentDao.xml為例,雙擊打開,ctrl +F 搜索$,查找到16個前三個為數據庫選擇,跳過,

1592452345_5eeae4f964218.png!small

繼續往下看到疑似order by 暫時擱置

1592452267_5eeae4ab1bbcc.png!small

繼續往下看發現多個普通拼接,此點更容易利用,我們以此為例深入,隻查找ids從前端哪裡傳入

1592450877_5eeadf3d1556c.png!small

3、搜索映射對象

Mybatis 的select id對應要映射的對象名,我們以getSearchCount為關鍵字搜索映射的對象

1592450877_5eeadf3d5e474.png!small

搜到瞭IContentDao.java,IContentDaoimpl.java和McmsAction.java,分別對應映射的對象,對象的實現類和前端controler,直接跳轉到controler類

1592452415_5eeae53fec991.png!small

發現隻有categoryIds與目標參數ids相似,需進一步確認,返回到IContentDao.java按照標準流繼續反推

1592450877_5eeadf3d8bcea.png!small

找到ids為getSearchCount的最後一個參數,alt+f7查看調用鏈

1592450877_5eeadf3dc14e8.png!small

調轉到ContentBizImpl,確認前臺參數為categoryIds

1592450877_5eeadf3dcdcf1.png!small

返回到McmsAction,參數由BasicUtil.getString接收,

1592450877_5eeadf3de12fa.png!small

跟進BasicUtil.getString

1592450878_5eeadf3e1cbeb.png!small

繼續跳到SpringUtil.getRequest(),前端未做處理,sql註入實錘

1592450878_5eeadf3e19a8a.png!small

4、漏洞確認

項目運行起來,構造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27,驗證註入存在。

1592450878_5eeadf3e7e396.png!small

三、總結

以上就是mybatis的sql註入審計的基本方法,我們沒有分析的幾個點也有問題,新手可以嘗試分析一下不同的註入點來實操一遍,相信會有更多的收獲。當我們再遇到類似問題時可以考慮:

1、Mybatis框架下審計SQL註入,重點關註在三個方面like,in和order by

2、xml方式編寫sql時,可以先篩選xml文件搜索$,逐個分析,要特別註意mybatis-generator的order by註入

3、Mybatis註解編寫sql時方法類似

4、java層面應該做好參數檢查,假定用戶輸入均為惡意輸入,防范潛在的攻擊

到此這篇關於MyBatis下SQL註入攻擊的3種方式的文章就介紹到這瞭,更多相關MyBatis SQL註入攻擊內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: