Java代码审计 | SQL注入
2023-3-21 21:41:21 Author: 渗透安全团队(查看原文) 阅读量:14 收藏

现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队设为星标”,否则可能就看不到了啦

0x01 前言

Java里面常见的数据库连接方式有三种,分别是JDBC,Mybatis,和Hibernate。

0x02 JDBC注入场景

很早之前的Javaweb都是用JDBC的方式连接数据库然后去实现dao接口再调service业务层去实现功能代码
JDBC连接代码

@WebServlet("/demo")
public class domain extends HttpServlet {

@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
System.out.println("get访问");
String id = req.getParameter("id");

Connection conn = null;

try {
Class.forName("com.mysql.jdbc.Driver");

conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/demo", "root", "root");
String sql = "select * from users where id = '"+id+"' ";

Statement statement = conn.createStatement();
ResultSet resultSet = statement.executeQuery(sql);
} catch (ClassNotFoundException | SQLException e) {
e.printStackTrace();
}

}

@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
this.doGet(req,resp);
}
}

这里使用statement对象去执行sql语句然后采用拼接的语法会造成get型sql注入,其它类型注入方法:
POST型注入:

String sql = "select * from users where username = '"+username+"' and password = '"+password+"' ";

Like型注入:

 String name = req.getParameter("name");
String sql = "select * from users where name like '%'+name+'%'";
//String sql = "select * from users where name like '%" + name + "%'";

Header注入:

String referer = req.getHeader("referer");
String sql = "update user set referer ='"+referer+"'";

JDBC 预编译
预编译的定义其实就是使用问号先来占位,后面再传入具体的值。
后面传值的时候,程序会把传入的参数,自动转换为spring类型的字符,并不会拼接成sql语句生效。
预处理会自动过滤 ' 等敏感字符然后进行转义(Like\order by 预处理会报错需要在setstring方法设置%%)

Connection  conn = JDBCUtils.getConnection();
String sql = "select * from users where username = ? and password = ?";
PreparedStatement pstmt = conn.prepareStatement(sql); //使用预编译传入sql语句
pstmt.setString(1,username); //设置第一个参数为username
pstmt.setString(2,password); //设置第二个参数为password
pstmt.executeQuery();

0x03 Mybatis注入场景

Mybatis获取值的方式有两种,分别是 ${} 和 #{}

  • #{}:解析的是占位符问号,可以防止SQL注入,使用了预编译

  • ${}:直接获取值,采用拼接的方式

因为like、order by直接使用#{}预编译会进行sql报错,所以开发人员在使用${}不当后会造成like注入和oder by注入,Mybatis中常见的注入场景为以下三种:

  • ${}

  • like 使用 ${}

  • order by 使用 ${}

1. Get注入

靶场使用了Mybatis框架,首先在Mapper文件中查找到sql语句使用了 ${} 的写法,在Mybatis中 ${} 为拼接的方式构造sql语句

跟进findByUserNameVuln01函数到controller层找到漏洞触发URI, 并且未对sql语句进行过滤造成sql注入

观察URI上一层还有/sqli路径,所以漏洞触发URI为/sqli/mybatis/vuln01

字符型注入,构造闭合,构造sql语句为

select * from users where username = 'xxx' or '1' = '1'
http://localhost/sqli/mybatis/vuln01?username=xxx' or '1'='1

where后语句恒为真所以执行了select * from users即查询了所有用户的信息

2. Like注入

以上是采用注解的方式写sql语句,Mybaitis中还有一种是用配置xml的方式,在mapper下找到UserMapper.xml

可以看到findByUserNameVuln02、findByUserNameVsec02两个方法都是以这种方式配置的sql语句,在Mapper中跟进findByUserNameVuln02方法

得到URI为/mybatis/vuln02

观察XML中sql为like型注入且使用了 ${}

like注入, like模糊查询语法 %xxx% , %23 为 # 注释掉后边的 %

http://localhost/sqli/mybatis/vuln02?username=xxx' or '1'='1' %23

出数据

修复方式,使用mysql函数concat()先预编译再进行拼接%字符进行模糊查询

select * from users where username like concat('%',#{_parameter}, '%')

3. Order by 注入

controller中找到此方法,用户传入sort值并赋值给String sort

在mapper中又把sort值赋给order

在xml配置文件中观察findByUserNameVuln03使用order by排序方法构造sql语句,可以看到如果order值不为空走进排序查询语句

构造payload

http://localhost:8080/sqli/mybatis/orderby/vuln03?sort=1 desc%23

desc倒序执行sql语句进行排序

asc正序执行sql语句进行排序

修复方式
使用sqlFilter方法对传入的值进行过滤

@GetMapping("/mybatis/orderby/sec04")
public List<User> mybatisOrderBySec04(@RequestParam("sort") String sort) {
String filter_order = SecurityUtil.sqlFilter(sort);
return userMapper.findByUserNameVuln03(filter_order);
}

}

4. In 注入

使用预编译 #{} 的代码会报错所以使用以下 ${} 方式会造成注入

Select * from news where id in (${id})

0x04 Hibernate

@Autowired CategoryDAO categoryDAO; //依赖注入 
@RequestMapping("/hibernate")
public String hibernate(@RequestParam(name = "id")
int id) {
Category category = categoryDAO.getOne(id);
return category.getName();
}

hibernate即我们经常使用的orm的一种实现,如果使用已封装好的
方法,那么默认是使用预编译的。需要注意的有这么几种情况:

  1. 对于一些复杂的sql语句,需要开发手写sql,此时要严格过滤用
    户输入

  2. 上面提到的预编译不生效的几种场景同Mybatis一样

0x05 总结

存在问题的关键词:

Mybatis: $
JDBC连接方式下: +、like、order by
hibernate: +、like、order by


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247501378&idx=4&sn=65e41af96e5fc0b2b81c7b78371df588&chksm=c1763bedf601b2fb50b78a45e348d144d9c45e27f608f4a9f2ea5cce3d2bcb4a55c3acd4dbf5#rd
如有侵权请联系:admin#unsafe.sh