sql connection变量_Java代码审计汇总系列(一)——SQL注入

一、代码审计

   相比黑盒渗透的漏洞挖掘方式，代码审计具有更高的可靠性和针对性，更多的是依靠对代码、架构的理解；使用的审计工具一般选择Eclipse或IDEA；审计工作过程主要有三步：风险点发现——>风险定位追踪——>漏洞利用，所以审计不出漏洞无非就是find：“找不到该看哪些代码”和judge：“定位到代码但判断不出有没有问题”。而风险点发现的重点则在于三个地方：用户输入(入参)处+检测绕过处+漏洞触发处，一般审计代码都是借助代码扫描工具(Fortify/Checkmarx)或从这三点着手。

本系列选取WebGoat作为案例，讲解漏洞的特征发现、定位技巧、调试及触发利用的具体过程，尽量涵盖所有的挖掘场景，最后补充实战挖掘案例。

二、SQLi漏洞挖掘

1、介绍

SQLi是最著名也是影响最广的漏洞之一，注入漏洞都是程序把用户输入的数据当做代码执行，发现的关键有两个，第一是用户能够控制输入；第二是用户输入的数据被拼接到要执行的代码中从而被执行。

2、挖掘过程

   这里以webgoat的数字型注入讲解SQLi漏洞的挖掘过程：

1)  定位特定功能模块的代码

 了解不同框架特性，本系统的Springboot注解：

@RequestMapping(path= PATH)

@GetMapping(path= PATH)

@PostMapping(path= PATH)

    通过抓取请求数据包获取path特征SqlInjection/assignment5b：

  使用IDEA的全局搜索功能(SHIFT+CTRL+F)定位到代码：

2)  代码分析

  SqlInjectionLesson5b.java类代码如下：

@PostMapping("/SqlInjection/assignment5b")@ResponseBodypublic AttackResult completed(@RequestParam String userid, @RequestParam String login_count, HttpServletRequest request) throws IOException {  return injectableQuery(login_count, userid);}protected AttackResult injectableQuery(String login_count, String accountName) {  String queryString = "SELECT * From user_data WHERE Login_Count = ? and userid= " + accountName;  try {    Connection connection = DatabaseUtilities.getConnection(getWebSession());    PreparedStatement query = connection.prepareStatement(queryString, ResultSet.TYPE_SCROLL_INSENSITIVE,            ResultSet.CONCUR_READ_ONLY);

  这是一个典型的动态拼接用户输入和防范案例，系统接收两个参数login_count和userid，其中login_count通过“+”直接拼接，而userid首先通过类型转换为Integer赋值给count，并经过了预编译(参数化请求)处理，不存在SQLi漏洞。

3)漏洞验证

 最后构造路径及参数POC验证漏洞存在：

3、漏洞分类挖掘技巧

根据挖掘经验，白盒挖掘层面大致可以将SQLi的类型分为六类：

1、入参直接动态拼接；

2、预编译有误；

3、框架注入(Mybatis+Hibernate)；

4、order by 绕过预编译；

5、%和_绕过预编译；

6、SQLi检测绕过

1)  参数直接拼接

最明显的“+”拼接，思路一般有二：通过关键字定位到SQL语句，回溯参数是否是用户可控；或通过跟踪用户输入，是否执行SQL操作，搜索的关键词有：

Select|insert|update|delete|java.sql.Connection|Statement|.execute|.executeQuery|jdbcTemplate|queryForInt|queryForObject|queryForMap|getConnection|PreparedStatement|Statement|execute|jdbcTemplate|queryForInt|queryForObject|queryForMap|executeQuery|getConnection

2)  预编译有误

并不是使用了预编译PreparedStatement一定就可以防止SQL注入，动态拼接SQL同样存在SQLi注入，这也是实际审计中高发的问题，下面代码就是典型的预编译有误：

String query = "SELECT * FROM usersWHERE userid ='"+ userid + "'" + " AND password='" +password + "'";PreparedStatement stmt =connection.prepareStatement(query);ResultSet rs = stmt.executeQuery();

定位预编译可以通过搜索关键函数：

setObject()、setInt()、setString()、setSQLXML()

3)  框架注入

    Hibernate典型的注入代码为：

session.createQuery("from Book wheretitle like '%" + userInput + "%' and published = true")

  或形如：

{StringBuffer queryString = newStringBuffer();queryString.append(“from Test where id=’”);queryString.append(id);queryString.append(‘\’’);}

  定位此框架的SQL注入首先需要在xml配置文件或import包里确认是否使用此框架，然后使用关键字createQuery，session.save(，session.update(，session.delete进行定位。

     Mybatis有两种变量方法，不安全的写法为：

select * from books where id= ${id}

  安全的写法为JDBC预编译：

select * from books where id= #{id}

  此外like、in和order by语句也需要使用#，挖掘技巧则是在注解中或者Mybatis相关的配置文件中搜索 $。

4)  order by 绕过预编译

类似下面sql语句 order by 后面是不能用预编译处理的只能通过拼接处理，只能手动进行过滤，详见案例。

String sql = “Select * from news where title =?”+ “order by‘” + time + “’asc”

5)  %和_绕过预编译

 预编译是不能处理%，需要手动过滤，否则会造成慢查询和DOS。

6)  SQLi检测绕过

  若SQL在处理过程中经过黑/白名单(正则)或Filter检测，通常检测代码存在缺陷则可进行检测绕过。

4、漏洞防御

 OWASP官方推荐的SQLi防御方案有四种：

1)预编译(参数化查询)

PreparedStatement stmt =connection.prepareStatement("SELECT * FROM users WHERE userid=? ANDpassword=?");stmt.setString(1, userid);stmt.setString(2, password);ResultSet rs = stmt.executeQuery();

2)存储过程

使用CallableStatement对存储过程接口的实现来执行数据库查询，SQL代码定义并存储在数据库本身中，然后从应用程序中调用，使用存储过程和预编译在防SQLi方面的效果是相同的。

String custname =request.getParameter("customerName");try { CallableStatement cs = connection.prepareCall("{callsp_getAccountBalance(?)}"); cs.setString(1, custname); ResultSet results = cs.executeQuery();     } catch (SQLException se) {          }

3)黑/白名单验证

属于输入验证的范畴，大多使用正则表达式限制，或对于诸如排序顺序之类的简单操作，最好将用户提供的输入转换为布尔值，然后将该布尔值用于选择要附加到查询的安全值。

public String someMethod(boolean sortOrder) {String SQLquery = "someSQL ... order by Salary " + (sortOrder ? "ASC" :"DESC");`

4)  输出转义

将用户输入放入查询之前对其进行转义，OWASP企业安全性API(ESAPI)是一个免费的开源Web应用程序安全控制库。

CodecORACLE_CODEC = new OracleCodec();Stringquery = "SELECT user_id FROM user_data WHERE user_name = '"+ESAPI.encoder().encodeForSQL( ORACLE_CODEC,req.getParameter("userID"))+ "'and user_password = '"+ ESAPI.encoder().encodeForSQL( ORACLE_CODEC,req.getParameter("pwd")) +"'";

5)框架修复：

 对于Mybatis框架：

select * from news where tile like concat(‘%’,#{title}, ‘%’)，

select * from news where id in"ids"item=

  Mybatis的order by语句可以选择在java层做映射或过滤用户输入进行防御。

  对于Hibernate(HQL)框架预编译：

  方法一：

Query query=session.createQuery(“from Useruser where user.name=:customername and user:customerage=:age ”);query.setString(“customername”,name);query.setInteger(“customerage”,age);

  方法二：

String hql ="FROM User user where user.name=? and user.age=?";Query q =session.createQuery(hql);q.setString(0, name);q.setInteger(1,age);

5、实战案例

1)  Mybatis框架

  对文章删除功能进行审计，articelId参数前端可控：

@RequestMapping("/delete")public ModelAndView delete(HttpServletRequestrequest) {           ModelAndView model = newModelAndView();           try {                    model.setViewName(this.getRequestUri(request));                    String[] aridArr = request.getParameterValues("articelId");                    if (aridArr != null&& aridArr.length > 0) {                             this.deleteArticle(aridArr);                    }           } catch (Exception e) {                    model.setViewName(this.setExceptionRequest(request,e));                    logger.error("AdminArticleController.delete()--error",e);           }           return model;}

顺着变量的走向进行审计，articelId赋值给aridArr，而后进行了为空的判断，不为空则执行deleteArticle操作，跟踪定位此函数：

private void deleteArticle(String[]artidArr) {                   //删除数据中记录                   articleService.deleteArticleByIds(artidArr);                   EHCacheUtil.remove(CacheConstans.ARTICLE_GOOD_RECOMMEND);

继续跟踪操作，articleService类的deleteArticleByIds函数，继而进入DAO层，在ArticleDaoImpl.java内：

public void deleteArticleByIds(StringarticleIds) {                   this.delete("ArticleMapper.deleteArticleByIds",articleIds);         }

进入ArticleMapper.xml，最终追踪到deleteArticleByIds的SQL语句，使用了$拼接，典型的Mybatis注入：

         DELETEFROM EDU_ARTICLE WHERE EDU_ARTICLE.ARTICLE_ID IN (${value})         

除了顺向思维，还可以通过逆向思维挖掘，pom.xml中看到系统使用的是Mybatis框架，可以直接去审查Maper.xml文件，查看是否使用$拼接：

<properties>       <project.build.sourceEncoding>UTF-8project.build.sourceEncoding>       <spring.version>3.2.12.RELEASEspring.version>       <mybatis.version>3.2.7mybatis.version>       <aspectj.version>1.7.3aspectj.version>       <jdk.version>1.7jdk.version>properties>

2)  Order by绕过预编译

  Webgoat一个order by的案例：

order by的参数orderExpression可以是一个selectExpression也可以是一个函数，比如使用一个case语句。

案例中可以根据IP或ID对数据进行排序：

对应代码为Server.java：

@GetMapping(produces =MediaType.APPLICATION_JSON_VALUE)   @SneakyThrows   @ResponseBody    public List sort(@RequestParamString column) {       Connection connection = DatabaseUtilities.getConnection(webSession);       PreparedStatement preparedStatement =connection.prepareStatement("select id, hostname, ip, mac, status, descriptionfrom servers  where status <> 'outof order' order by " + column);       ResultSet rs = preparedStatement.executeQuery();       List servers = Lists.newArrayList();       while (rs.next()) {           Server server = new Server(rs.getString(1), rs.getString(2),rs.getString(3), rs.getString(4), rs.getString(5), rs.getString(6));           servers.add(server);       }

  虽使用了预编译但仍拼接了order by参数column，使用case探测语句探测：(case when (true) then id else ip end)，如果真则以id排序，结果为：

3)  预编译有误

  查看FAQ页面数据功能getFaqPage函数，前端获取page等参数：

publicFaqPageInfo getFaqPage(String tenantId, Map conditions,int page, int pageSize, String like) {        try {        tenantId= WebUtil.getLoginTenantId();            FaqPageInfo fpi =FAQ_IO_SERVICE.getPageInfo(tenantId, conditions, page, pageSize, like);            for (FaqModel fm : fpi.getData()) {               fm.setWhitelistIds(WHITELIST_SERVICE.getWhiteListOnFaq(tenantId,fm.getId()));            }            return fpi;        }

  跟踪FAQ_IO_SERVICE.getPageInfo，调用FaqSqlAccess.queryByPage进行处理：

public FaqPageInfo getPageInfo(StringtenantId, Map conditions, int page, int pageSize, Stringlike)           throws SQLException {       FaqPageInfo pageInfo = new FaqPageInfo();       pageInfo.setData(FaqSqlAccess.queryByPage(tenantId, conditions, page,pageSize, like));       pageInfo.setTotalSize(FaqSqlAccess.queryCount(tenantId, conditions,like));       return pageInfo;}

  找到FaqSqlAccess.java里的queryByPage方法，追踪到SQL语句：

public static ListqueryByPage(String tenantId, Map<String, String> conditions, int page,int pageSize, String like)           throws SQLException {              List models = new ArrayList<>();       String language = conditions.get("language");              Connection connection = null;       PreparedStatement stmt = null;       try {           connection = MysqlUtils.getConnection();           String sql = "select id, name, description, language, update_time,is_on from TOC_FAQ where tenant_id=?";           if (!CommonUtils.isEmptyStr(language))                sql += " andlanguage='" + language + "'";           if (!CommonUtils.isEmptyStr(like))                sql += " and name like'%" + like + "%'";           sql += " order by update_time desc limit ?,?";           stmt = connection.prepareStatement(sql);           stmt.setString(1, tenantId);           stmt.setInt(2, (page - 1) * pageSize);           stmt.setInt(3, pageSize);           ResultSet resultSet = stmt.executeQuery();

发现此处使用了预编译，但language和like参数实际是直接拼接，存在SQL注入，对于getFaqPage功能构造参数"language":"'-if(substring(user(),1,1)=0x01,sleep(5),0)-'"}进行验证。

    简单或复杂的SQL注入漏洞原理和审计方法相同，只是对于业务繁杂的系统，数据的走向和处理过程会比较复杂，调用链跟踪难度会稍大一些，需要更多耐心。