Java審計之SQL隱碼攻擊篇

nice_0e3 發表於 2020-09-10

Java審計之SQL隱碼攻擊篇

0x00 前言

本篇文章作為Java Web 審計的一個入門文,也是我的第一篇審計文,後面打算更新一個小系列,來記錄一下我的審計學習的成長。

0x01 JDBC 注入分析

在Java裡面常見的資料庫連線方式也就那麼幾個,分別是JDBC,Mybatis,和Hibernate。

注入常見場景分析

JDBC的連線是比較繁瑣的,並且是最原始的連線方式,我們來看看JDBC的最原始的連線程式碼

Get型注入:



@WebServlet("/demo")
public class domain extends HttpServlet {

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        System.out.println("get訪問");
        String id = req.getParameter("id");



        Connection conn = null;

        try {
            Class.forName("com.mysql.jdbc.Driver");

            conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/demo", "root", "root");
            String sql = "select * from users where id = '"+id+"' ";

            Statement statement = conn.createStatement();
            ResultSet resultSet = statement.executeQuery(sql);
        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }







    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        this.doGet(req,resp);
    }
}

這裡編寫了一個serlvet獲取get的值,連線資料庫使用了jdbc的方式進行連線,採用了拼接的方式直接拼接到了sql語句裡面去。這樣的程式碼如果在傳入前沒做過濾直接拼接,就會產生sql注入。

在實際運用當中如果不採用框架使用JDBC的方式,普遍會編寫一個工具類來完成這些繁瑣的配置,但是具體的實現還是呼叫這些方法來進行實現,只是進行了一個簡單的封裝。

在程式碼審計的時候,如果看到是JDBC的方式進行連線可以跟蹤一下他的程式碼,看他有沒有呼叫自己定義的過濾方法,如果沒有的話,就會存在sql注入,當然這是在未使用預編譯的情況下。

後面的重複的比較多,都是大致相同,我後面就貼出一些主要的程式碼進行分析。

POST型注入:

String sql = "select * from users where username = '"+username+"' and password = '"+password+"' ";

GET的注入和POST的其實差不多,只是獲取值的地方不一樣。

Like型注入:

 String name = req.getParameter("name");
            String sql = "select * from users where name like '%'+name+'%'";

Header注入:

String referer = req.getHeader("referer");
String sql = "update user set referer ='"+referer+"'";

以上列了幾種方式都是JDBC採用拼接的方式造成SQL隱碼攻擊的程式碼。

JDBC 預編譯

預編譯的定義其實就是使用問號先來佔位,後面再傳入具體的值。
後面傳值的時候,程式會把傳入的引數,自動轉換為spring型別的字元,並不會拼接成sql語句生效。

Connection  conn = JDBCUtils.getConnection();
            String sql = "select * from users where username = ? and password = ?";
            PreparedStatement pstmt = conn.prepareStatement(sql);  //使用預編譯傳入sql語句
            pstmt.setString(1,username);   //設定第一個引數為username
            pstmt.setString(2,password);   //設定第二個引數為password
            pstmt.executeQuery();

0x02 Mybatis 注入分析

Mybatis獲取值的方式有兩種,分別是${}#{}

#{}:解析的是佔位符問號,可以防止SQL隱碼攻擊,使用了預編譯。
${}:直接獲取值

在Mybatis裡面一般會採用#{}來進行取值,但是也會有特殊情況。

like注入:

我們這裡還是以程式碼做演示

select id="findlike" resultType="com.test.domain.User" parameterType="string">
        select * from user where name like   '%#{name}%',
    </select>

我們在執行的時候會發現,程式碼直接就會丟擲異常。

正確程式碼:

select id="findlike" resultType="com.test.domain.User" parameterType="string">
        select * from user where name like   '%${name}%',
    </select>

需要使用${}的方式進行取值。

或者是

<select id="findlike" resultType="com.test.domain.User" parameterType="string">
        select * from user where name like  #{name}
    </select>

測試類:

public void findlike(){
        List<User> ming = userDao.findlike("'%'+xiao+'%'");
        for (User user1 : ming) {
            System.out.println(user1);
        }

    }


另外還有種寫法:

<select id="findlike" resultType="com.test.domain.User" parameterType="string">
        select * from user where name like concat('%',#{name},'%')
    </select>

這裡在前面進行加入兩個%,再進行傳入這樣的方式也不會報錯,但是使用
#直接拼接%就會報錯。

like不能直接使用預編譯,如果在沒處理好引數的情況下進行傳入,也是會產生sql注入的。

in後注入

Select * from news where id in (#{id}),

也是拼接使用預編譯這樣的程式碼也會報錯。

正確寫法:

Select * from news where id in (${id})


order by 注入

Select * from news where title ='#{titlename}' order by #{time} asc

執行會報錯

正確寫法:

Select * from news where title ='#{titlename}' order by ${time} asc

0x03 CMS 審計

測試環境

IDEA  :2020.1.2 X64 

MYSQL :5.7.26

TomCat:8.0

JDK   :1.8

搭建環境

下載原始碼

http://down.admin5.com/jsp/132874.html

idea中匯入專案,新增pom.xml檔案為maven檔案。如果Spring註解報錯說明Spring的環境還沒拉去下來,重新整理一下pom.xml檔案就好了。

Java審計之SQL隱碼攻擊篇

這裡配置是82埠,目錄就預設就行。

Java審計之SQL隱碼攻擊篇

配置tomcat也設定為82埠

Java審計之SQL隱碼攻擊篇

這裡要注意路徑需要根路徑,否則載入有一些css資源的時候路徑會因為路徑問題載入不少。

這樣就配置完成了,但是還是會發現有一些get,set的方法會爆紅。

專案的說明文件裡面給出瞭解決方法,只需要安裝一下lombok外掛重啟一下就解決了,這裡是因為一些程式碼中並沒有實際編寫get和set的方法,使用的是外掛去提供的。

這些完成後,就可以講提供好的sql檔案匯入進去。進行啟動

這些都是自己專門踩過的坑,一段操作猛如虎後,啟動完成。但是會有一些報錯,sql檔案在匯入的時候,有些執行錯誤了,幾張表沒建立成功,在進行操作該表的時候未找到該表,就報錯了。

將就一下把!

Java審計之SQL隱碼攻擊篇

第一步肯定是先看他的web.xml的配置,看他都使用了哪些框架

Java審計之SQL隱碼攻擊篇

確實該cms是一個使用了SSM框架,也就是Spring+Spring Mvc+Mybatis

(哈哈哈,其實是看說明文件知道的。)

審計SQL 注入

檔案的劃分很細,很清楚看到他的結構,點開dao檔案下的任意檔案,看看Mybatis是使用了註解開發還是配置檔案開發。

Java審計之SQL隱碼攻擊篇

點開沒發現有Mybatis的註解,那就肯定是使用了配置XML的方式。

對映檔案會和dao的介面在同層目錄下。

Java審計之SQL隱碼攻擊篇

直接就來找$符號吧,看看哪些是直接呼叫了$來進行取值並且沒經過過濾的。

Java審計之SQL隱碼攻擊篇

發現deleteArticleByIds使用的是$取值。

找到配置檔案對應的dao介面

Java審計之SQL隱碼攻擊篇

選中dao介面中deleteArticleByIds,Curl+左鍵可以看到哪些類呼叫了該方法。

我這裡就跳轉到了service層的一個實現類裡面。

主要關注service層程式碼,過濾處理的會從service層去實現。

Java審計之SQL隱碼攻擊篇

並沒有發現過濾的程式碼

接下來就可以去找該service對應的Controller,這個可以使用idea的ctrl+Alt+H快捷鍵去查詢呼叫層次,去看Controller的位置。

Java審計之SQL隱碼攻擊篇

Java審計之SQL隱碼攻擊篇

檢視到了Controller檔案,先找他的目錄路徑
Java審計之SQL隱碼攻擊篇

/admin/article

在搜尋一下deleteArticleByIds具體在哪裡呼叫和出現,就得到了具體的漏洞位置。

Java審計之SQL隱碼攻擊篇

漏洞位置:

http://127.0.0.1:82/admin/article/delete

訪問漏洞位置

Java審計之SQL隱碼攻擊篇

點選刪除進行抓包

Java審計之SQL隱碼攻擊篇

扔到sqlmap跑一下

Java審計之SQL隱碼攻擊篇

Java審計之SQL隱碼攻擊篇

參考文章

https://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srcid=0926a6QC3pGbQ3Pznszb4n2q

https://xz.aliyun.com/t/2646#toc-1

0x04 結尾

前面的環境配置了比較久,耽誤了不少時間。