目录
3、代码审计案例 - inxedu 后台 MyBatis 注入
0x00 前言
希望和各位大佬一起学习,如果文章内容有错请多多指正,谢谢!
个人博客链接:CH4SER的个人BLOG – Welcome To Ch4ser's Blog
0x01 SpringBoot框架介绍
1、SpringBoot实现简单的 GET、POST 请求
创建一个SpringBoot的项目,左侧选择 Spring Initializr,Server URL默认是 start.spring.io,可换成阿里云的 start.aliyun.com 更快,设置完成点击 Next
阿里云默认选择 2.6.13 的 SpringBoot 稳定版本,这里 Dependencies 勾选 Web - Spring Web 以测试简单的 GET、POST 请求,然后点击 Finish 即可
创建好的项目里,SpringBootTestDemoApplication 是整个的入口点,而 demos.web 可以直接删除
创建一个 IndexController,测试 GET、POST 方法(新建一个 controller 文件夹)
1、路由映射
@RequestMapping、@GetMapping、@PostMapping
2、参数传递
@RequestParam
3、数据响应
@RestController、@Controller
(@RestController注解相当于 @ResponseBody+@Controller 合在一起用的效果)
以下只截取部分测试结果:(有参数 GET 方式、有参数 POST 方式)
2、SpringBoot 实现数据库操作
创建一个新的 Spring 项目,Dependencies 勾选 Web - Spring Web、SQL - Mybatis Framework 和 MySQL Driver,用以测试数据库功能
创建完成后,可以看到 pom.xml 里面已经自动导入了 Dependency 信息
然后配置数据库的连接信息,默认的配置文件是 application.properties,在 resources 文件夹下面,将其后缀改为 .yml 然后进行配置,这里我使用 PHPStudy 开启的 MySQL(5.7.26版本)
创建一个 User 类,用于操作数据库数据,设置好 get、set、toString 方法(新建一个 entity 文件夹)
创建一个 UserMapper(创建的时候选择 “接口” ),定义了 findAll 和 findByID 两个方法(新建一个 mapper 文件夹)
创建一个 GetStuController,调用 findAll 和 findByID 两个方法(新建一个 controller 文件夹)
访问 http://localhost:8080/getallstu,测试结果如下:
访问 http://localhost:8080/getbyid,测试结果如下:
0x02 JDBC&Mybatis注入
0、环境及靶场介绍 - Hello-Java-Sec
环境:JDK 1.8、MYSQL 5.7.26
靶场:Hello-Java-Sec
Github地址:https://github.com/j3ers3/Hello-Java-Sec
1、JDBC 注入
JDBC 有两个方法执行 SQL 语句,分别是 PrepareStatement 和 Statement。
下面展示漏洞代码:
- 以下为采用 Statement 方法拼接 SQL 语句,导致 SQL 注入
- 以下为使用 PrepareStatement 预编译,但却采取拼接的方式构造 SQL,此时进行预编译也无用
- 以下为使用 JDBCTemplate,JDBCTemplate 是 Spring 对 JDBC 的封装,如果使用拼接语句便会产生注入
下面展示安全代码:
- 以下为采用黑名单过滤危险字符,同时也容易误伤(次方案)
- 以下为使用 PrepareStatement 预编译,使用?作为占位符,进行参数化查询
- 以下为使用 ESAPI 安全框架,ESAPI 是一个免费、开源的、网页应用程序安全控件库,它使程序员能够更容易写出更低风险的程序
- 以下为强制数据类型,强制转为数值型,SQL 语句无法拼接字符串,因此不存在注入
2、Mybatis 注入
MyBatis 支持两种参数符号,一种是 #,另一种是 $,# 使用预编译,$ 使用拼接 SQL。
Mybatis 框架下易产生 SQL 注入漏洞的情况主要分为以下三种。
- order by 注入
漏洞成因为:由于使用 #{} 会将对象转成字符串,形成 "order by 'user' desc" 导致报错(SQL 规定 order by 的字段名不能是字符),因此很多开发会采用 ${} 来解决,从而造成 SQL 注入
正确的写法应为:使用排序映射
- 搜索框 like 注入
漏洞成因为:模糊搜索时,直接使用 '%#{q}%' 会报错,部分开发图方便直接改成 '%${q}%' 从而造成注入
正确的写法应为:使用 # 号并使用 concat 连接
- in 之后多个参数的注入
漏洞成因为:在这种需求场景下使用 # 同样会报错,于是部分开发图方便就把 # 号改成了 $ 从而造成注入
正确的写法应为:使用 foreach 遍历
3、代码审计案例 - inxedu 后台 MyBatis 注入
环境:JDK 1.8、MYSQL 5.2.17
Inxedu 介绍:因酷时代 Inxedu 在线教育系统 V2.0.6 是一个开源的网校项目
项目搭建:
IDEA 打开 inxedu 项目,选择 Maven Project,然后修改数据库配置(project.properties),并导入相关 .sql 文件执行
然后设置 Tomcat 启动,注意修改对应端口为前面设置的 82
在 Deployment 里设置 Application context 为 /,和配置文件里的项目路径保持一致
代码审计:
首先看一下该项目用了什么组件,在 External Libraries 里发现其使用了 Mybatis
根据之前的分析,我们知道 Mybatis 下的 SQL 注入有 3 种,分别为 order by 注入、搜索框 like 注入、in 之后多个参数的注入,根据其漏洞代码的特征去项目里面搜索:
- order by 注入,其漏洞代码特征为 ${
- 搜索框 like 注入,其漏洞代码特征为 %${
- in 之后多个参数的注入,其漏洞代码特征为 (${
这里以 in 之后多个参数的注入为例,搜索结果如下,定位到 ArticleMapper.xml(全局搜索快捷键 ctrl+shift+f)
得到 id 值为 deleteArticleByIds,然后搜索该 id 继续定位,看哪里调用了它
搜索结果如下,定位到 AdminArticleController.java
根据路由信息 @RequestMapping 得知,此功能点大概率为后台文章删除操作
进入网站后台(默认账号密码 admin 111111)
测试文章删除功能点是否存在 SQL 注入,随便删除一篇文章,然后抓包
新建一个 txt 写入请求然后让 SQLMap 跑(不然 SQLMap 进不了后台),测试结果为存在 SQL 注入
826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
