MyBatis中怎么實現SQL注入攻擊
MyBatis中怎么實現SQL注入攻擊�����,很多新手對此不是很清楚�,為了幫助大家解決這個難題��,下面小編將為大家詳細講解���,有這方面需求的人可以來學習下�,希望你能有所收獲����。
1����、模糊查詢
Select * from news where title like ‘%#{title}%'在這種情況下使用#程序會報錯��,新手程序員就把#號改成了$,這樣如果java代碼層面沒有對用戶輸入的內容做處理勢必會產生SQL注入漏洞�����。
正確寫法:
select * from news where tile like concat(‘%',#{title}, ‘%')2�、in 之后的多個參數
in之后多個id查詢時使用# 同樣會報錯�,
Select * from news where id in (#{ids})正確用法為使用foreach���,而不是將#替換為$
`id in`
`<foreach collection="ids" item="item" open="("separatosr="," close=")">`
`#{ids}`
`</foreach>`3�、order by 之后
這種場景應當在Java層面做映射�����,設置一個字段/表名數組�����,僅允許用戶傳入索引值����。這樣保證傳入的字段或者表名都在白名單里面�。需要注意的是在mybatis-generator自動生成的SQL語句中�,order by使用的也是$�����,而like和in沒有問題����。
二�、實戰思路
我們使用一個開源的cms來分析���,java sql注入問題適合使用反推��,先搜索xml查找可能存在注入的漏洞點–>反推到DAO–>再到實現類–>再通過調用鏈找到前臺URL����,找到利用點����,話不多說走起
1����、idea導入項目
Idea首頁 點擊Get from Version Control�����,輸入https://gitee.com/mingSoft/MCMS.git
下載完成�,等待maven把項目下載完成
2���、搜索$關鍵字
Ctrl+shift+F 調出Find in Path�,篩選后綴xml��,搜索$關鍵字
根據文件名帶Dao的xml為我們需要的����,以IContentDao.xml為例��,雙擊打開�,ctrl +F 搜索$,查找到16個前三個為數據庫選擇���,跳過����,
繼續往下看到疑似order by 暫時擱置
繼續往下看發現多個普通拼接�����,此點更容易利用�,我們以此為例深入����,只查找ids從前端哪里傳入
3�����、搜索映射對象
Mybatis 的select id對應要映射的對象名���,我們以getSearchCount為關鍵字搜索映射的對象
搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java��,分別對應映射的對象��,對象的實現類和前端controler�,直接跳轉到controler類
發現只有categoryIds與目標參數ids相似����,需進一步確認����,返回到IContentDao.java按照標準流繼續反推
找到ids為getSearchCount的最后一個參數�,alt+f7查看調用鏈
調轉到ContentBizImpl�,確認前臺參數為categoryIds
返回到McmsAction���,參數由BasicUtil.getString接收�����,
跟進BasicUtil.getString
繼續跳到SpringUtil.getRequest()����,前端未做處理����,sql注入實錘
4��、漏洞確認
項目運行起來����,構造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27����,驗證注入存在�。
看完上述內容是否對您有幫助呢�����?如果還想對相關知識有進一步的了解或閱讀更多相關文章�,請關注億速云行業資訊頻道�����,感謝您對億速云的支持���。
