MyBatis 框架下 SQL 注入攻击的 3 种方式，真是防不胜防！

清疚 2021-09-01 02:25 239阅读 0赞

点击上方 [Java后端][Java]，选择 设为星标

优质文章，及时送达

--------------------

本文授权转载请注明来自FreeBuf.COM

链接：https://www.freebuf.com/vuls/240578.html

## **前言** ##

SQL注入漏洞作为WEB安全的最常见的漏洞之一，在java中随着预编译与各种ORM框架的使用，注入问题也越来越少。

新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧，不知如何下手，希望通过[Mybatis][]框架使用不当导致的SQL注入问题为例，能够抛砖引玉给新手一些思路。

## **一、Mybatis的SQL注入** ##

Mybatis的SQL语句可以基于注解的方式写在类方法上面，更多的是以xml的方式写到xml文件。

Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时，Mybatis支持两种参数符号，一种是\#，另一种是$。比如：

<select id="queryAll"  resultMap="resultMap"> SELECT * FROM NEWS WHERE ID = #{id}</select>

**使用预编译，$使用拼接SQL。**

[Mybatis][]框架下易产生SQL注入漏洞的情况主要分为以下三种：

### 1、模糊查询 ###

Select * from news where title like ‘%#{title}%’

在这种情况下使用\#程序会报错，新手程序员就把\#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。

正确写法：

select * from news where tile like concat(‘%’,#{title}, ‘%’)

### 2、in 之后的多个参数 ###

in之后多个id查询时使用\# 同样会报错，

Select * from news where id in (#{ids})

正确用法为使用foreach，而不是将\#替换为$

id in<foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} </foreach>

### 3、order by 之后 ###

这种场景应当在Java层面做映射，设置一个字段/表名数组，仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在mybatis-generator自动生成的SQL语句中，order by使用的也是$，而like和in没有问题。

## **二、实战思路** ##

[我们使用一个开源的cms来分析，java sql注入问题适合使用反推，先搜索xml查找可能存在注入的漏洞点→反推到DAO→再到实现类→再通过调用链找到前台URL，找到利用点，话不多说走起][cms_java sql_xml_DAO_URL]

**1、idea导入项目**

Idea首页 点击Get from Version Control，输入https://gitee.com/mingSoft/MCMS.git

下载完成，等待maven把项目下载完成

![format_png][]

**2、搜索$关键字**

Ctrl+shift+F 调出Find in Path，筛选后缀xml，搜索$关键字

![format_png 1][]

根据文件名带Dao的xml为我们需要的，以IContentDao.xml为例，双击打开，ctrl +F 搜索$,查找到16个前三个为数据库选择，跳过，

![format_png 2][]

继续往下看到疑似order by 暂时搁置

![format_png 3][]

继续往下看发现多个普通拼接，此点更容易利用，我们以此为例深入，只查找ids从前端哪里传入

![format_png 4][]

**3、搜索映射对象**

Mybatis 的select id对应要映射的对象名，我们以getSearchCount为关键字搜索映射的对象

![format_png 5][]

搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java，分别对应映射的对象，对象的实现类和前端controler，直接跳转到controler类

![format_png 6][]

发现只有categoryIds与目标参数ids相似，需进一步确认，返回到IContentDao.java按照标准流继续反推

![format_png 7][]

找到ids为getSearchCount的最后一个参数，alt+f7查看调用链

![format_png 8][]

调转到ContentBizImpl，确认前台参数为categoryIds

![format_png 9][]

返回到McmsAction，参数由BasicUtil.getString接收，

![format_png 10][]

跟进BasicUtil.getString

![format_png 11][]

继续跳到SpringUtil.getRequest()，前端未做处理，sql注入实锤

![format_png 12][]

**4、漏洞确认**

项目运行起来，构造sql语句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27，验证注入存在。

![format_png 13][]

## **三、总结** ##

以上就是[Mybatis][]的sql注入审计的基本方法，我们没有分析的几个点也有问题，新手可以尝试分析一下不同的注入点来实操一遍，相信会有更多的收获。当我们再遇到类似问题时可以考虑：

> 1、[Mybatis][]框架下审计SQL注入，重点关注在三个方面like，in和order by
> 
> 2、xml方式编写sql时，可以先筛选xml文件搜索$,逐个分析，要特别注意mybatis-generator的order by注入
> 
> 3、[Mybatis][]注解编写sql时方法类似
> 
> 4、java层面应该做好参数检查，假定用户输入均为恶意输入，防范潜在的攻击

--------------------

\-END-

如果看到这里，说明你喜欢这篇文章，请 转发、点赞。同时 标星（置顶）本公众号可以第一时间接受到博文推送。

**推****荐****阅****读**

***1. ***[万字搞定 Spring Security！][Spring Security]

***2. ***[Apache BeanUtils VS Spring BeanUtils][]

***3.*** [汇总一下Intellij IDEA炫酷的插件][Intellij IDEA]

***4. ***[IDEA 中使用 Git 完整入门教程！][IDEA _ Git]

![format_png 14][]

最近整理一份面试资料**《Java技术栈学习手册》**，覆盖了Java技术、面试题精选、Spring全家桶、Nginx、SSM、微服务、数据库、数据结构、架构等等。

获取方式：点“ **在看**，关注公众号 **Java后端** 并回复 **777** 领取，更多内容陆续奉上。

喜欢文章，点个在看 ![format_png 15][]

[Java]: https://blog.csdn.net/qq_37217713/article/details/101445094
[Mybatis]: https://blog.csdn.net/qq_37217713/article/details/102658902
[cms_java sql_xml_DAO_URL]: http://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw%3D%3D&chksm=eb539f94dc241682fc294d49811b6cf4584fd7cab35466a9554bc48945c232d587f9ebb1833a&idx=2&mid=2247490210&scene=21&sn=22f4c6fec0c8a04dbf3c6dddb3434ea1#wechat_redirect
[format_png]: /images/20210730/499595182e5949e2ab1413257f407b00.png
[format_png 1]: /images/20210730/339c2d6f861940a7a8a13213530812b9.png
[format_png 2]: /images/20210730/d4bf006bf7464fa9b428d869a62d7a75.png
[format_png 3]: /images/20210730/60a431f3a1ad45718a2f28cc607a997a.png
[format_png 4]: /images/20210730/ba8cc83855aa4c419bb23e17926f4aaf.png
[format_png 5]: /images/20210730/ec67df4925b04ef696700ba965f91ff3.png
[format_png 6]: /images/20210730/65b35b13fab34b3a9bc21129b8ac6057.png
[format_png 7]: /images/20210730/13b9387f75484b5da555652d8abe976c.png
[format_png 8]: /images/20210730/22ee4ccfc4af4081b127239aa5ad42e5.png
[format_png 9]: /images/20210730/092159a9cbf44cfbbf21e4349fc13c32.png
[format_png 10]: /images/20210730/21ec91a1c5024151843653b4a10f2e09.png
[format_png 11]: /images/20210730/0f30c2817dea415c9f519381dc5e2eb3.png
[format_png 12]: /images/20210730/b4081e4b7dc24e4ebb4baaa42bfff277.png
[format_png 13]: /images/20210730/ad68590c8ee54140aee3bab0895ca8cb.png
[Spring Security]: https://blog.csdn.net/qq_37217713/article/details/107308509
[Apache BeanUtils VS Spring BeanUtils]: https://blog.csdn.net/qq_37217713/article/details/107308508
[Intellij IDEA]: https://blog.csdn.net/qq_37217713/article/details/107293750
[IDEA _ Git]: https://blog.csdn.net/qq_37217713/article/details/107293753
[format_png 14]: /images/20210730/8369ff5751eb4fa5a6ed20e0304b339c.png
[format_png 15]: /images/20210730/3d858abb90054de989183cf66e2a184a.png