mybtispubls插件sql注入

最新推荐文章于 2024-07-09 19:10:54 发布
最新推荐文章于 2024-07-09 19:10:54 发布
阅读量183 收藏 1
点赞数 1
文章标签: sql 数据库
原文链接:https://mp.weixin.qq.com/s/jHqPwfvKWX3QN5CHJcfJiQ
版权

0x01 前言

最近在代码审计案例复现中遇到一个sql注入漏洞感觉比较有意思,拿出来和大家一块分享一下。

在奇安信攻防社区看到的en0th师傅的文章https://forum.butian.net/share/2465,其中提到了一个分页插件导致的sql注入漏洞。

tkswifty 师傅也对这个漏洞有了一个详细的解释https://www.sec-in.com/article/1088

0x02 案例

payload:

updatexml(1,concat(0x7e,(select+group_concat(table_name)+from+information_schema.tables+where+table_schema%3ddatabase()),0x7e),1)

image-20240128124056161

预编译的sql语句:

image-20240128124507371

SELECT id, name, create_by, create_time, update_by, update_time, delete_flag FROM li_goods_unit ORDER BY updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) DESC LIMIT ?

全局搜索PageUtil.initPage只要使用到这个插件,都有可能存在说sql注入。

image-20240128132116395

0x03 代码审计

1)全局搜索/manager/goods/goodsUnit定位到漏洞路由处

image-20240128124754613

image-20240128124855373

这里接受了pageNumberpageSizesortorder这几个参数(漏洞就发生在sort参数)

image-20240128124927403

2)可以看到这块使用了PageUtil这个分页插件,我们跟进去。

漏洞原因:其中的initPage函数处理中使用了addOrder但是没有对sort进行SQL语句过滤。

public static <T> Page<T> initPage(PageVO page) {

        Page<T> p;
        int pageNumber = page.getPageNumber();
        int pageSize = page.getPageSize();
        String sort = page.getSort();
        String order = page.getOrder();

        if (pageNumber < 1) {
            pageNumber = 1;
        }
        if (pageSize < 1) {
            pageSize = 10;
        }
        if (pageSize > 100) {
            pageSize = 100;
        }
        if (StrUtil.isNotBlank(sort)) {
            Boolean isAsc = false;
            if (StrUtil.isBlank(order)) {
                isAsc = false;
            } else {
                if ("desc".equals(order.toLowerCase())) {
                    isAsc = false;
                } else if ("asc".equals(order.toLowerCase())) {
                    isAsc = true;
                }
            }
            p = new Page<>(pageNumber, pageSize);
            if (isAsc) {
                p.addOrder(OrderItem.asc(sort));
            } else {
                p.addOrder(OrderItem.desc(sort));
            }

        } else {
            p = new Page<>(pageNumber, pageSize);
        }
        return p;
    }

image-20240128125541306

0x04 漏洞分析

PaginationInnerInterceptor插件

PaginationInnerInterceptor作为plus的分页插件,提供了通用的参数进行统一配置。可以很方便的完成分页的业务逻辑。

具体的分页是通过配置Page对象相关的参数实现的。com.baomidou.mybatisplus.extension.plugins.pagination.page

因为Orderby动态查询没办法进行预编译,所以不经过安全检查的话会存在注入风险。PaginationInnerInterceptor主要是通过设置com.baomidou.mybatisplus.extension.plugins.pagination.page对象里的属性来实现orderby的,主要是以下函数的调用,因为Orderby动态查询没办法进行预编译,so一下函数直接使用的是sql拼接

page.setAsc();
page.setDesc();
page.setAscs();
page.setDescs();
page.setOrders();
page.addOrder();

Spring自动绑定

在 Spring框架中,提交请求的数据是通过方法形参来接收的。从客户端请求的 key/value 数据,经过参数绑定,将 key/value 数据绑定到 Controller 的形参上,然后在 Controller 就可以直接使用该形参。

例如:

image-20240128130904547

image-20240128130933834

查看Page的属性,是直接通过sort参数就可以完成对应的分页排序需求

image-20240128131245576

image-20240128131220109

根据spring自动绑定的特性,若此时加入orders参数的传递,同样的后端会进行对应的实体封装,最终带入到sql查询中,同时因为order by场景下MybatisPlus并没有相关的安全措施 ,会导致SQL注入风险。

案例中中的initPage函数处理中使用了addOrder但是没有对sort进行SQL语句过滤,导致存在SQL注入。

0x05 漏洞修复

1)在使用Page对象前对参数进行安全检查

2)全局过滤器,在参数传递到Controller 前进行安全检查

0x06 参考

https://forum.butian.net/share/2465

https://www.sec-in.com/article/1088

0X07 原文地址

转载自公众号:安服仔Yu9
原文地址:https://mp.weixin.qq.com/s/jHqPwfvKWX3QN5CHJcfJiQ

雨久Yu9
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
04-27
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
SQL注入屏蔽插件SQLbr.rar
06-16
以下是关于SQL注入SQLbr插件的详细知识: 1. **SQL注入原理**: - 当用户输入的数据未经验证或过滤,直接拼接到SQL查询语句中,攻击者可以构造特定的输入,使SQL语句执行非预期的操作,如读取、修改、删除敏感...
MybatisPlus如何解决SQL注入(必看)
海的那边,还是海吗
09-22 7656
在深入讨论如何防止 SQL 注入之前,让我们首先了解 SQL 注入攻击的工作原理。SQL 注入攻击通常发生在接受用户输入的地方,例如搜索框、登录表单等,攻击者试图在输入中注入恶意 SQL 代码。SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';如果攻击者输入这将使查询始终返回所有用户的记录,因为'1'='1'始终为真。攻击者可以通过这种方式绕过身份验证,获取或修改敏感数据。
【第24章】MyBatis-Plus之SQL注入
最新发布
zjg
07-09 1087
MyBatis-Plus 提供了灵活的机制来注入自定义的 SQL 方法,这通过全局配置实现。通过实现接口或继承抽象类,你可以注入自定义的通用方法到MyBatis容器中。SQL注入器允许开发者扩展和定制SQL语句的生成,以适应特定的业务逻辑和查询需求。首先,你需要定义自定义方法的SQL语句。这通常在继承了的类中完成,例如。@Override// 定义SQL语句// 第三个参数必须和baseMapper的自定义方法名一致接下来,你需要创建一个类来继承,并重写方法来注册你的自定义方法。
巧用MybatisPlus的SQL注入器提升批量插入性能
战斧的博客
05-20 6055
上一次我们给大家详细讲解 MybatisPlus 的条件构造器wrapper。这次我们来讲另一个开发者需要了解的功能——SQL注入器,并以实战视角讲述如何利用该特性提升MybatisPlus 的批量插入性能
mybatis-plus分页插件排序sql注入处理
weixin_43931248的博客
08-18 1025
执行肯定是会报错的,但是异常不处理的情况下直接暴露到接口返回结果中,则会暴露相关信息。所以问题出现的条件如下:1、使用Page 作为实体作为接口参数且未特殊处理2、产生异常未统一处理。
MybatisPlus存在 sql 注入漏洞(CVE-2023-25330)解决办法
dmlcq的博客
08-02 4617
MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行 sql 注入,接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户 ID 进行过滤缓解此漏洞
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
MyBatis-Plus的sql注入
weixin_46278059的博客
12-09 1356
MyBatis-Plus的sql注入
MybatisPlus 之 Sql 注入器
凉茶铺的博客
06-14 1710
我们已经知道,在MP中,通过AbstractSqlInjector将BaseMapper中的方法注入到了Mybatis容器,这样这些方法才可以正常执⾏。那么,如果我们需要扩充BaseMapper中的⽅法,⼜该如何实现呢?下⾯我们以扩展findAll⽅法为例进行学习。 其他的Mapper都可以继承该Mapper,这样实现了统⼀的扩展。如: 如果直接继承AbstractSqlInjector的话,原有的BaseMapper中的⽅法将失效,所以我们选择继承DefaultSqlInjector进行扩展。
Mybatis-Plus Sql 注入器
​​
07-15 1622
Mybatis+Mybatis-Plus Spring+Mybatis+Mybatis-Plus Spring Boot+Mybatis+Mybatis-Plus Mybatis-Plus通用CRUD Mybatis-Plus配置 Mybatis-Plus条件构造器 Mybatis-Plus ActiveRecord模式CRUD Mybatis-Plus Oracle 主键Sequence Mybatis-Plus插件Mybatis-Plus中,通过AbstractSqlInjector将Bas..
mybatis-plus之SQL注入
努力是为了让自己不平庸。。。
03-24 552
本文介绍了SQL注入器,在原有的BaseMapper上扩展新的方法。
Mybatis-Plus 自定义SQL注入器,非常实用!
m0_71777195的博客
06-04 2487
我们在使用Mybatis-Plus时,dao层都会去继承BaseMapper接口,这样就可以用BaseMapper接口所有的方法,BaseMapper中每一个方法其实就是一个SQL注入器在Mybatis-Plus的核心(core)包下,提供的默认可注入方法有这些:那如果我们想自定义SQL注入器呢,我们该如何去做?比如在Mybatis-Plus中调用updateById方法进行数据更新默认情况下是不能更新空值字段的。而在实际开发过程中,往往会遇到需要将字段值更新为空值的情况。
Mybatis-plus sql注入以及防止sql注入
热门推荐
sunrj_niu的博客
05-26 1万+
Mybatis-plus sql注入 一、SQL注入是什么? SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的SQL语句中来改变查询结果,例如: OR 1=1 或者 ;drop table sys_user;等等 二、mybatis是如何做到防止sql注入mybatis中我们所写的sql语句都是在xml只能完成,我们在编写sql会用到 #{},${} 这个两个表达式。那 #{} 和 ${}两者之间有什么区别嘞?下面我将用两个SQL语句例子来进行说明。 <sele
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值