MyBatis 框架下 SQL 注入攻擊的 3 種方式，真是防不勝防！

前言

SQL注入漏洞作為WEB安全的最常見的漏洞之一，在java中隨著預(yù)編譯與各種ORM框架的使用，注入問題也越來越少。

新手代碼審計(jì)者往往對(duì)Java Web應(yīng)用的多個(gè)框架組合而心生畏懼，不知如何下手，希望通過Mybatis框架使用不當(dāng)導(dǎo)致的SQL注入問題為例，能夠拋磚引玉給新手一些思路。

一、Mybatis的SQL注入

Mybatis的SQL語句可以基于注解的方式寫在類方法上面，更多的是以xml的方式寫到xml文件。

Mybatis中SQL語句需要我們自己手動(dòng)編寫或者用generator自動(dòng)生成。編寫xml文件時(shí)，Mybatis支持兩種參數(shù)符號(hào)，一種是#，另一種是$。比如：

id="queryAll"??resultMap="resultMap"> SELECT * FROM NEWS WHERE ID = #{id}

使用預(yù)編譯，$使用拼接SQL。

Mybatis框架下易產(chǎn)生SQL注入漏洞的情況主要分為以下三種：

1、模糊查詢

Select?* from?news where?title like?‘%#{title}%’

在這種情況下使用#程序會(huì)報(bào)錯(cuò)，新手程序員就把#號(hào)改成了$,這樣如果java代碼層面沒有對(duì)用戶輸入的內(nèi)容做處理勢(shì)必會(huì)產(chǎn)生SQL注入漏洞。

正確寫法：

select?* from?news where?tile like?concat(‘%’,#{title}, ‘%’)

2、in 之后的多個(gè)參數(shù)

in之后多個(gè)id查詢時(shí)使用# 同樣會(huì)報(bào)錯(cuò)，

Select?* from?news where?id?in?(#{ids})

正確用法為使用foreach，而不是將#替換為$

id?in"ids"?item="item"?open="("separatosr=","?close=")">#{ids} 

3、order by 之后

這種場(chǎng)景應(yīng)當(dāng)在Java層面做映射，設(shè)置一個(gè)字段/表名數(shù)組，僅允許用戶傳入索引值。這樣保證傳入的字段或者表名都在白名單里面。需要注意的是在mybatis-generator自動(dòng)生成的SQL語句中，order by使用的也是$，而like和in沒有問題。

二、實(shí)戰(zhàn)思路

我們使用一個(gè)開源的cms來分析，java sql注入問題適合使用反推，先搜索xml查找可能存在注入的漏洞點(diǎn)→反推到DAO→再到實(shí)現(xiàn)類→再通過調(diào)用鏈找到前臺(tái)URL，找到利用點(diǎn)，話不多說走起

1、idea導(dǎo)入項(xiàng)目

Idea首頁 點(diǎn)擊Get from Version Control，輸入https://gitee.com/mingSoft/MCMS.git

2、搜索$關(guān)鍵字

根據(jù)文件名帶Dao的xml為我們需要的，以IContentDao.xml為例，雙擊打開，ctrl +F 搜索$,查找到16個(gè)前三個(gè)為數(shù)據(jù)庫選擇，跳過，

繼續(xù)往下看發(fā)現(xiàn)多個(gè)普通拼接，此點(diǎn)更容易利用，我們以此為例深入，只查找ids從前端哪里傳入

Mybatis 的select id對(duì)應(yīng)要映射的對(duì)象名，我們以getSearchCount為關(guān)鍵字搜索映射的對(duì)象

發(fā)現(xiàn)只有categoryIds與目標(biāo)參數(shù)ids相似，需進(jìn)一步確認(rèn)，返回到IContentDao.java按照標(biāo)準(zhǔn)流繼續(xù)反推

返回到McmsAction，參數(shù)由BasicUtil.getString接收，

跟進(jìn)BasicUtil.getString

繼續(xù)跳到SpringUtil.getRequest()，前端未做處理，sql注入實(shí)錘

項(xiàng)目運(yùn)行起來，構(gòu)造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27，驗(yàn)證注入存在。

三、總結(jié)

特別推薦一個(gè)分享架構(gòu)+算法的優(yōu)質(zhì)內(nèi)容，還沒關(guān)注的小伙伴，可以長(zhǎng)按關(guān)注一下：

長(zhǎng)按訂閱更多精彩▼
如有收獲，點(diǎn)個(gè)在看，誠(chéng)摯感謝

以上就是Mybatis的sql注入審計(jì)的基本方法，我們沒有分析的幾個(gè)點(diǎn)也有問題，新手可以嘗試分析一下不同的注入點(diǎn)來實(shí)操一遍，相信會(huì)有更多的收獲。當(dāng)我們?cè)儆龅筋愃茊栴}時(shí)可以考慮：

1、Mybatis框架下審計(jì)SQL注入，重點(diǎn)關(guān)注在三個(gè)方面like，in和order by

2、xml方式編寫sql時(shí)，可以先篩選xml文件搜索$,逐個(gè)分析，要特別注意mybatis-generator的order by注入

3、Mybatis注解編寫sql時(shí)方法類似

4、java層面應(yīng)該做好參數(shù)檢查，假定用戶輸入均為惡意輸入，防范潛在的攻擊