SQL 注入真是防不胜防！

深藏阁楼爱情的钟 2022-08-30 00:53 181阅读 0赞

![0D5F937FE12312312D81F17F.jpg][]

程序员的成长之路

互联网/程序员/技术/资料共享

[关注][Link 1]

阅读本文大概需要 3.5 分钟。

来自：https://www.freebuf.com/vuls/240578.html

## **前言** ##

SQL注入漏洞作为WEB安全的最常见的漏洞之一，在java中随着预编译与各种ORM框架的使用，注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧，不知如何下手，希望通过Mybatis框架使用不当导致的SQL注入问题为例，能够抛砖引玉给新手一些思路。

## **一、Mybatis的SQL注入** ##

Mybatis的SQL语句可以基于注解的方式写在类方法上面，更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时，MyBatis支持两种参数符号，一种是`#`，另一种是`$`。比如：

<select id="queryAll"  resultMap="resultMap">
      SELECT * FROM NEWS WHERE ID = #{id}
    </select>

`#`使用预编译，`$`使用拼接SQL。

Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种：

### 1、模糊查询 ###

Select * from news where title like ‘%#{title}%’

在这种情况下使用\#程序会报错，新手程序员就把\#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。

正确写法：

select * from news where tile like concat(‘%’,#{title}, ‘%’)

### 2、in 之后的多个参数 ###

in之后多个id查询时使用\# 同样会报错，

Select * from news where id in (#{ids})

正确用法为使用foreach，而不是将\#替换为$

id in
    <foreach collection="ids" item="item" open="("separatosr="," close=")">
    #{ids} 
    </foreach>

### 3、order by 之后 ###

这种场景应当在Java层面做映射，设置一个字段/表名数组，仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在mybatis-generator自动生成的SQL语句中，order by使用的也是`$`，而like和in没有问题。

## **二、实战思路** ##

我们使用一个开源的cms来分析，java sql注入问题适合使用反推，先搜索xml查找可能存在注入的漏洞点-->反推到DAO-->再到实现类-->再通过调用链找到前台URL，找到利用点，话不多说走起

1、idea导入项目

Idea首页 点击Get from Version Control，输入https://gitee.com/mingSoft/MCMS.git

下载完成，等待maven把项目下载完成

![bd1afc61be415998ffc2a209dfa51cec.png][]

!small

2、搜索`$`关键字

Ctrl+shift+F 调出Find in Path，筛选后缀xml，搜索$关键字

![48569b3b1ed0706129647403eadab22e.png][]

根据文件名带Dao的xml为我们需要的，以IContentDao.xml为例，双击打开，ctrl +F 搜索$,查找到16个前三个为数据库选择，跳过，

![67f9ef957fdfcf60b0c3f3ba519d85ae.png][]

继续往下看到疑似order by 暂时搁置

![1842b30918748589f543013d33357768.png][]

继续往下看发现多个普通拼接，此点更容易利用，我们以此为例深入，只查找ids从前端哪里传入

![7ec1221badd7839874311c5432ce40b3.png][]

3、搜索映射对象

Mybatis 的select id对应要映射的对象名，我们以getSearchCount为关键字搜索映射的对象

![7561f302005da9f3aa2c6f3bf694cb7d.png][]

搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java，分别对应映射的对象，对象的实现类和前端controler，直接跳转到controler类

![4f56b7ae392b80620fafbae95390cca0.png][]

发现只有categoryIds与目标参数ids相似，需进一步确认，返回到IContentDao.java按照标准流继续反推

![5b489d63672e7c5b38d45d0c4ca8fec3.png][]

找到ids为getSearchCount的最后一个参数，alt+f7查看调用链

![ff6ee601e11d470bc5748cd631580dab.png][]

调转到ContentBizImpl，确认前台参数为categoryIds

![389e1e6ae16070d7615687133cb4c024.png][]

返回到McmsAction，参数由BasicUtil.getString接收，

![b43770d0e8a2ef9193d44fb10ae8a214.png][]

跟进BasicUtil.getString

![cc325b3da8c6f30ccd4934c4e639e06a.png][]

继续跳到SpringUtil.getRequest()，前端未做处理，sql注入实锤

![977eb69f1bc13e9186bb4c6aa9e782dc.png][]

4、漏洞确认

项目运行起来，构造sql语句

[http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27](http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1'))%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23

得到mysql的版本5.7.27，验证注入存在。

![c14dacda799dd130a5e7e739f4bb9b47.png][]

## **三、总结** ##

以上就是mybatis的sql注入审计的基本方法，我们没有分析的几个点也有问题，新手可以尝试分析一下不同的注入点来实操一遍，相信会有更多的收获。当我们再遇到类似问题时可以考虑：

1、Mybatis框架下审计SQL注入，重点关注在三个方面like，in和order by
    2、xml方式编写sql时，可以先筛选xml文件搜索$,逐个分析，要特别注意mybatis-generator的order by注入
    3、Mybatis注解编写sql时方法类似
    4、java层面应该做好参数检查，假定用户输入均为恶意输入，防范潜在的攻击

<END>

**推荐阅读：**

[这些IDEA的优化设置赶紧安排起来，效率提升杠杠的！][IDEA]

[一款基于 Spring Boot 的现代化社区（论坛/问答/社交网络/博客）][Spring Boot]

最近面试BAT，整理一份面试资料《Java面试BATJ通关手册》，覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。

**获取方式：点个「****在看****」，点击上方小卡片，进入公众号后回复「****面试题****」领取，更多内容陆续奉上。**

朕已阅 ![6fa4934c8ea0dc59f00a1fb10ff0ed81.gif][]

[0D5F937FE12312312D81F17F.jpg]: /images/20220829/701b3407bec44a18bf3bb116913cbb66.png
[Link 1]: https://mp.weixin.qq.com/s?__biz=MzUyNDkzNzczNQ%3D%3D&chksm=fa24f0bacd5379ac93d74ffebac826d2401fd494f82e900e5102a8bf968f108e4ec72a4ad548&idx=3&lang=zh_CN&mid=2247487442&scene=21&sn=61e758d4bf9f15a3419fd028146469a3&token=1854383306#wechat_redirect
[bd1afc61be415998ffc2a209dfa51cec.png]: /images/20220829/4a2064d3b6a44f6682a29da98527f760.png
[48569b3b1ed0706129647403eadab22e.png]: /images/20220829/d7ce9be2b7c348738db05f76e673a41e.png
[67f9ef957fdfcf60b0c3f3ba519d85ae.png]: /images/20220829/80dd0817cf61474f8fbc74b55ddac611.png
[1842b30918748589f543013d33357768.png]: /images/20220829/668cf1a95df841a49a843e640a229dcf.png
[7ec1221badd7839874311c5432ce40b3.png]: /images/20220829/b2913b99821a4c6eb873b3ae83f9c1cd.png
[7561f302005da9f3aa2c6f3bf694cb7d.png]: /images/20220829/19741c71f9ca46e1a070c1e4afdab8c0.png
[4f56b7ae392b80620fafbae95390cca0.png]: /images/20220829/52239545faf744178c729a5a310d25ec.png
[5b489d63672e7c5b38d45d0c4ca8fec3.png]: /images/20220829/12d7d153c72344e8896a187944eaabe2.png
[ff6ee601e11d470bc5748cd631580dab.png]: /images/20220829/197b35d83c4846f0883778fb8f3816fa.png
[389e1e6ae16070d7615687133cb4c024.png]: /images/20220829/b11e86a53901437db5fb0493d0cfdf0f.png
[b43770d0e8a2ef9193d44fb10ae8a214.png]: /images/20220829/2220d2f419534aa68f57ef796b147e4d.png
[cc325b3da8c6f30ccd4934c4e639e06a.png]: /images/20220829/66c132f2c09c47328ac05ef84a57aeda.png
[977eb69f1bc13e9186bb4c6aa9e782dc.png]: /images/20220829/5c34e88df0ab4eec8fad7e4e214e0b59.png
[c14dacda799dd130a5e7e739f4bb9b47.png]: /images/20220829/a0f57cca8b7c480987ba5e4e40fe5272.png
[IDEA]: http://mp.weixin.qq.com/s?__biz=MzUyNDkzNzczNQ%3D%3D&chksm=fa275a90cd50d386c682654ca5496b467ebdf6b3431c8b691993dc7c8eb99718afed772b7c1b&idx=1&mid=2247509496&scene=21&sn=542b7e4037c1f083cb1b5f2ebd997153#wechat_redirect
[Spring Boot]: http://mp.weixin.qq.com/s?__biz=MzUyNDkzNzczNQ%3D%3D&chksm=fa275a90cd50d386246b72afbbe1ca59e36a2e9c74747a45083b46daf57c29321b1998f9a550&idx=2&mid=2247509496&scene=21&sn=6117d62767ef180e540b828256fdf9d7#wechat_redirect
[6fa4934c8ea0dc59f00a1fb10ff0ed81.gif]: /images/20220829/352310eae33245adb4efa4cb594ce762.png