作者:maoge@云影实验室
Java安全编码会是一个系列的文章。此文章为该系列的第一篇。
目前hibernate和mybatis为java项目广泛采取的两个框架。由于hibernate利用方便,以前的项目采取hibernate非常的广泛,但是后面由于hibernate的侵入式特性,后面逐步被mybatis所取代 。下面我们会以springboot为根本,分别搭建hibernate和mybatis的漏洞环境。
2.配置解释
Springboot采取2.3.1.RELEASE,mysql版本为5.7.20。数据库有一张表user_tbl。数据如下:
3.Hibernate
Hibernate 是一个开放源代码的工具关系映射框架,它对 JDBC 进行了非常轻量级的工具封装,是一个全自动的 ORM 框架。Hibernate 自动天生 SQL 语句,自动实行。
3.1环境搭建构造如下,ctl为掌握层,service为做事层,dao为持久层。为了方便没有按照标准的接口实现,我们只关注漏洞的部分。
Beans下User.java对用为user_tbl表构造。
我们利用/inject 接口,p为接管外部的参数,来查询User的列表,利用fastjson来格化式输出。
我们回到dao层。
3.1.1 SQL注入SQL注入我们利用字符串拼接办法:
访问http://localhost:8080/inject?p=m 直接用sqlmap跑一下:
很随意马虎就注入出数据来了。
3.1.2 Hql注入HQL(Hibernate Query Language)是hibernate专门用于查询数据的语句,有别于SQL,HQL 更靠近于面向工具的思维办法。表名便是对应我们上面的entity配置的。Hql注入利用难度比sql注入利用大,比如一样平常程序员不会对系统表进行映射,那么通过系统表获取属性的险些不可能的,同时由于hql对付繁芜的语句支持比较差,对攻击者来说须要花费更多韶光去布局可用的payload,更多详细的语法可以参考https://docs.huihoo.com/hibernate/reference-v3_zh-cn/queryhql.html
3.1.3 预编译
我们利用setParameter的办法,也便是我们熟知的预编译的办法。Query query = (Query) this.entityManager.createQuery(“from User u where u.userName like :userName “,User.class);query.setParameter(“userName”,”%”+username+”%”);访问http://localhost:8080/inject?p=m 后得到正常结果
实行注入语句http://localhost:8080/inject?p=m’ or ‘1’ like ‘1 返回为空。
我们来看看setParameter的办法到底对我们的sql语句做了什么。我们将断点打至Loader.class的bindPreparedStatement,这样我们可以完全的sql语句。创造通过预编译后,sql变为了select user0.id as id1_0, user0.password as password2_0, user0.username as username3_0 from usertbl user0 where user0_.username like ‘%’’ or ‘’1’’ like ‘’1%’,然后交给hikari处理。创造变成了将我们的单引号变成了两个单引号,也便是说把里面的变为字符串。
将断点断至mysql-connector-java(也便是我们熟知的JDBC驱动包)的ClientPreparedQueryBindings.setString.这里便是参数设置的地方。
看一下算法:
public void setString(int parameterIndex, String x) { if (x == null) { setNull(parameterIndex); } else { int stringLength = x.length(); if (this.session.getServerSession().isNoBackslashEscapesSet()) { // Scan for any nasty chars boolean needsHexEscape = isEscapeNeededForString(x, stringLength); if (!needsHexEscape) { StringBuilder quotedString = new StringBuilder(x.length() + 2); quotedString.append('\''); quotedString.append(x); quotedString.append('\''); byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(quotedString.toString()) : StringUtils.getBytes(quotedString.toString(), this.charEncoding); setValue(parameterIndex, parameterAsBytes); } else { byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(x) : StringUtils.getBytes(x, this.charEncoding); setBytes(parameterIndex, parameterAsBytes); } return; } String parameterAsString = x; boolean needsQuoted = true; if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) { needsQuoted = false; // saves an allocation later StringBuilder buf = new StringBuilder((int) (x.length() 1.1)); buf.append('\''); // // Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure... // for (int i = 0; i < stringLength; ++i) { char c = x.charAt(i); switch (c) { case 0: / Must be escaped for 'mysql' / buf.append('\\'); buf.append('0'); break; case '\n': / Must be escaped for logs / buf.append('\\'); buf.append('n'); break; case '\r': buf.append('\\'); buf.append('r'); break; case '\\': buf.append('\\'); buf.append('\\'); break; case '\'': buf.append('\\'); buf.append('\''); break; case '"': / Better safe than sorry / if (this.session.getServerSession().useAnsiQuotedIdentifiers()) { buf.append('\\'); } buf.append('"'); break; case '\032': / This gives problems on Win32 / buf.append('\\'); buf.append('Z'); break; case '\u00a5': case '\u20a9': // escape characters interpreted as backslash by mysql if (this.charsetEncoder != null) { CharBuffer cbuf = CharBuffer.allocate(1); ByteBuffer bbuf = ByteBuffer.allocate(1); cbuf.put(c); cbuf.position(0); this.charsetEncoder.encode(cbuf, bbuf, true); if (bbuf.get(0) == '\\') { buf.append('\\'); } } buf.append(c); break; default: buf.append(c); } } buf.append('\''); parameterAsString = buf.toString(); } byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(parameterAsString) : (needsQuoted ? StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charEncoding) : StringUtils.getBytes(parameterAsString, this.charEncoding)); setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR); }}
可以看到mysql-connector-java紧张是将将我们’转为了’’,对付转义的\会变为\,比如对付这种sql:SELECT user0.id AS id1_0,user0. PASSWORD AS password2_0,user0.username AS username3_0FROM usertbl user0WHERE user0.username LIKE ‘%\’ or username = 0x6d #%’也会变为:SELECT user0.id AS id10,user0. PASSWORD AS password2_0,user0.username AS username3_0 FROM usertbl user0WHERE user0_.username LIKE ‘%\‘’ or username = 0x6d #%’
有人会说那我们利用select from user_tbl where id = 1 and user() = 0x726f6f74406c6f63616c686f7374 这种类似的语句,全程没有jdbc里面的危险字符是不是就可以绕过了?mysql-connector-java里面有个非常奥妙的点是,他会根据你传入的类型判断。比如传入的为int类型。就会走setInt。传入的为string就会走setString。以是这段语句还是会被select from user_tbl where id = 1 ‘and user() = 0x726f6f74406c6f63616c686f7374’我们看到sql预编译的算法也是非常大略。
4.Mybatis
MyBatis是一流的持久性框架,支持自定义SQL,存储过程和高等映射。MyBatis可以利用大略的XML或注释进行配置。现在目前海内大部分公司都是采取的MyBatis框架。
4.1环境搭建:下面为我们项目目录构造:
4.2利用#{}的办法
#{}也便是我们熟知的预编译办法。
访问http://localhost:8080/getList?p=m 后正常的返回:
利用http://localhost:8080/getList?p=m‘ or ‘1’ like ‘1结果返回为空。不存在注入。我们将断点断在PreparedStatementLogger的invoke方法上面,实在这里便是一个代理方法。这里我们看到完全的sql语句。
同样我们将断点断在:ClientPreparedQueryBindings.setString同样会进去
Hibernate和Mybatis的预编译机制是一样的。
4.3利用${}的办法${}的办法也便是mybatis的字符串连接办法。
利用sqlmap很随意马虎就能跑出数据
4.4 关于orderBy
之前有听人说order by后面的语句是不会参与预编译?这句话是缺点的。Order by也是会参与预编译的。从我们上面的jdbc的setString算法可以看到,是由于setString会在参数的前后加上’’,变成字符串。导致order by失落去了原来的意义。只能说是预编译办法的order by不适用而已。以是对付这种order by的防御的话建议是直接写去世在代码里面。对付order by办法的注入我们可以通过返回数据的顺序的不同来获取数据。
关于useServerPrepStmts其实在只有jdbc在开启了useServerPrepStmts=true的情形下才算是真正的预编译。但是如果是字符串的拼接办法,预编译是没有效果的。从mysql的查询日志就可以开看到。可以看到Prepare的语句。一样是存在sql注入的。
我们利用占位符的办法:
上面的语句就不存在sql注入了。我想这便是jdbc默认为啥不开启useServerPrepStmts=true的缘故原由吧。
4.5 关于慢查询比如说我们我们有如下语句select from user_tbl like ‘%’+subsql+’%’,如果前端提交%或者%25(不同掌握器处理不同)时候会涌现select from user_tbl like ‘%%%’ 会查询所有字段,导致慢查询。我们可以在上面看到jdbc并不会处理%的情形,在做模糊查询时,在没有必要利用%的情形下,可以建议也屏蔽掉此符号。
总结:
在能利用预编译的情形下我们该当要利用预编译。在不能利用预编译的情形下,可以对特定类型做规范,比如传数字的须要规范为Integer,Long等。这样会在进入数据库前会提前抛出非常。或者利用Spring的AOP机制,添加一个前置的fitler,对有害的字符洗濯或者过滤。但是这样有点笼统,会对全局参数进行洗濯。还有一种比较好的办法是,通过表明的办法,这样会比较方便,可复用性也很好。对不能进行预编译的参数加上过滤有害字符的表明。我们就不在这里做代码的实现,网上有很多可以参考的教程。可以利用Apache Jakarta Commons供应的很多方便的方法来过滤有害字符。
本文涉及的源码均在https://github.com/langligelang/dragonfly
欢迎登录安全客 -有思想的安全新媒体www.anquanke.com/加入互换群113129131 获取更多最新资讯
原文链接:https://www.anquanke.com/post/id/212897
