點選「 IT碼徒 」, 關註,置頂 公眾號
每日技術幹貨,第一時間送達!
1
前言
SQL註入漏洞作為WEB安全的最常見的漏洞之一,在java中隨著預編譯與各種ORM框架的使用,註入問題也越來越少。新手程式碼審計者往往對Java Web套用的多個框架組合而心生畏懼,不知如何下手,希望透過Mybatis框架使用不當導致的SQL註入問題為例,能夠拋磚引玉給新手一些思路。
2
Mybatis的SQL註入
Mybatis的SQL語句可以基於註解的方式寫在類方法上面,更多的是以xml的方式寫到xml檔。Mybatis中SQL語句需要我們自己手動編寫或者用generator自動生成。編寫xml檔時,MyBatis支持兩種參數符號,一種是#,另一種是$。比如:
<select id="queryAll" resultMap="resultMap">
SELECT * FROM NEWS WHERE ID = #{id}
</select>
#使用預編譯,$使用拼接SQL。
Mybatis框架下易產生SQL註入漏洞的情況主要分為以下三種:
1、模糊查詢
Select * from news where title like ‘%#{title}%’
在這種情況下使用#程式會報錯,新手程式設計師就把#號改成了$,這樣如果java程式碼層面沒有對使用者輸入的內容做處理勢必會產生SQL註入漏洞。
正確寫法:
select * from news where tile likeconcat(‘%’,#{title}, ‘%’)
2、in 之後的多個參數
in之後多個id查詢時使用# 同樣會報錯,
Select * from news whereidin (#{ids})
正確用法為使用foreach,而不是將#替換為$
id in
<foreach collection="ids" item="item" open="("separatosr="," close=")">
#{ids}
</foreach>
3、order by 之後
這種場景應當在Java層面做對映,設定一個欄位/表名陣列,僅允許使用者傳入索引值。這樣保證傳入的欄位或者表名都在白名單裏面。需要註意的是在mybatis-generator自動生成的SQL語句中,order by使用的也是$,而like和in沒有問題。歡迎關註我們,公號IT碼徒。
3
實戰思路
我們使用一個開源的cms來分析,java sql註入問題適合使用反推,先搜尋xml尋找可能存在註入的漏洞點-->反推到DAO-->再到實作類-->再透過呼叫鏈找到前台URL,找到利用點,話不多說走起
1、idea匯入計畫
Idea首頁 點選Get from Version Control,輸入https://gitee.com/mingSoft/MCMS.git
下載完成,等待maven把計畫下載完成
2、搜尋$關鍵字
Ctrl+shift+F 調出Find in Path,篩選字尾xml,搜尋$關鍵字
根據檔名帶Dao的xml為我們需要的,以IContentDao.xml為例,雙擊開啟,ctrl +F 搜尋$,尋找到16個前三個為資料庫選擇,跳過,
繼續往下看到疑似order by 暫時擱置
繼續往下看發現多個普通拼接,此點更容易利用,我們以此為例深入,只尋找ids從前端哪裏傳入
3、搜尋對映物件
Mybatis 的select id對應要對映的物件名,我們以getSearchCount為關鍵字搜尋對映的物件
搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java,分別對應對映的物件,物件的實作類和前端controler,直接跳轉到controler類,歡迎關註我們,公號IT碼徒。
發現只有categoryIds與目標參數ids相似,需進一步確認,返回到IContentDao.java按照標準流繼續反推
找到ids為getSearchCount的最後一個參數,alt+f7檢視呼叫鏈
調轉到ContentBizImpl,確認前台參數為categoryIds
返回到McmsAction,參數由BasicUtil.getString接收
跟進BasicUtil.getString
繼續跳到SpringUtil.getRequest(),前端未做處理,sql註入實錘
4、漏洞確認
計畫執行起來,構造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1') or+updatexml(1,concat(0x7e,(SELECT+@@version),0x7e),1)# 得到mysql的版本5.7.27,驗證註入存在。
4
總結
以上就是mybatis的sql註入審計的基本方法,我們沒有分析的幾個點也有問題,新手可以嘗試分析一下不同的註入點來實操一遍,相信會有更多的收獲。當我們再遇到類似問題時可以考慮:
來源:freebuf.com/vuls/240578.html
PS:防止找不到本篇文章,可以收藏點贊,方便翻閱尋找哦。
往期推薦
