溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Mybatis框架下SQL注入攻擊的3種方式分別是什么

發(fā)布時間:2021-12-09 16:37:04 來源:億速云 閱讀:221 作者:柒染 欄目:大數(shù)據(jù)

Mybatis框架下SQL注入攻擊的3種方式分別是什么,針對這個問題,這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。


一、Mybatis的SQL注入


Mybatis的SQL語句可以基于注解的方式寫在類方法上面,更多的是以xml的方式寫到xml文件。


Mybatis中SQL語句需要我們自己手動編寫或者用generator自動生成。編寫xml文件時,Mybatis支持兩種參數(shù)符號,一種是#,另一種是$。比如:


<select id="queryAll"  resultMap="resultMap">  SELECT * FROM NEWS WHERE ID = #{id}select>
  

使用預(yù)編譯,$使用拼接SQL。


MyBatis框架下易產(chǎn)生SQL注入漏洞的情況主要分為以下三種:


1、模糊查詢


Select * from news where title like ‘%#{title}%’
  


在這種情況下使用#程序會報錯,新手程序員就把#號改成了$,這樣如果java代碼層面沒有對用戶輸入的內(nèi)容做處理勢必會產(chǎn)生SQL注入漏洞。


正確寫法:


select * from news where tile like concat(‘%’,#{title}, ‘%’)

2、in 之后的多個參數(shù)


in之后多個id查詢時使用# 同樣會報錯,


Select * from news where id in (#{ids})
  


正確用法為使用foreach,而不是將#替換為$


id in<foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} 

3、order by 之后


這種場景應(yīng)當(dāng)在Java層面做映射,設(shè)置一個字段/表名數(shù)組,僅允許用戶傳入索引值。這樣保證傳入的字段或者表名都在白名單里面。需要注意的是在mybatis-generator自動生成的SQL語句中,order by使用的也是$,而like和in沒有問題。


二、實戰(zhàn)思路


我們使用一個開源的cms來分析,java sql注入問題適合使用反推,先搜索xml查找可能存在注入的漏洞點(diǎn)→反推到DAO→再到實現(xiàn)類→再通過調(diào)用鏈找到前臺URL,找到利用點(diǎn),話不多說走起


1、idea導(dǎo)入項目


Idea首頁 點(diǎn)擊Get from Version Control,輸入https://gitee.com/mingSoft/MCMS.git

下載完成,等待maven把項目下載完成


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


2、搜索$關(guān)鍵字


Ctrl+shift+F 調(diào)出Find in Path,篩選后綴xml,搜索$關(guān)鍵字


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


根據(jù)文件名帶Dao的xml為我們需要的,以IContentDao.xml為例,雙擊打開,ctrl +F 搜索$,查找到16個前三個為數(shù)據(jù)庫選擇,跳過,


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


繼續(xù)往下看到疑似order by 暫時擱置


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


繼續(xù)往下看發(fā)現(xiàn)多個普通拼接,此點(diǎn)更容易利用,我們以此為例深入,只查找ids從前端哪里傳入


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


3、搜索映射對象


MyBatis 的select id對應(yīng)要映射的對象名,我們以getSearchCount為關(guān)鍵字搜索映射的對象


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java,分別對應(yīng)映射的對象,對象的實現(xiàn)類和前端controler,直接跳轉(zhuǎn)到controler類


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


發(fā)現(xiàn)只有categoryIds與目標(biāo)參數(shù)ids相似,需進(jìn)一步確認(rèn),返回到IContentDao.java按照標(biāo)準(zhǔn)流繼續(xù)反推


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


找到ids為getSearchCount的最后一個參數(shù),alt+f7查看調(diào)用鏈


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


調(diào)轉(zhuǎn)到ContentBizImpl,確認(rèn)前臺參數(shù)為categoryIds


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


返回到McmsAction,參數(shù)由BasicUtil.getString接收,


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


跟進(jìn)BasicUtil.getString


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


繼續(xù)跳到SpringUtil.getRequest(),前端未做處理,sql注入實錘


Mybatis框架下SQL注入攻擊的3種方式分別是什么  


4、漏洞確認(rèn)

項目運(yùn)行起來,構(gòu)造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27,驗證注入存在。


Mybatis框架下SQL注入攻擊的3種方式分別是什么  

當(dāng)我們再遇到類似問題時可以考慮: 

1、MyBatis框架下審計SQL注入,重點(diǎn)關(guān)注在三個方面like,in和order by

2、xml方式編寫sql時,可以先篩選xml文件搜索$,逐個分析,要特別注意mybatis-generator的order by注入

3、MyBatis注解編寫sql時方法類似

4、java層面應(yīng)該做好參數(shù)檢查,假定用戶輸入均為惡意輸入,防范潛在的攻擊

關(guān)于Mybatis框架下SQL注入攻擊的3種方式分別是什么問題的解答就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI