Mybatis框架下SQL注入攻擊的3種方式，真是防不勝防

SQL注入漏洞作為WEB安全的最常見的漏洞之一，在java中隨著預編譯與各種ORM框架的使用，注入問題也越來越少。

新手程式碼審計者往往對Java Web應用的多個框架組合而心生畏懼，不知如何下手，希望透過Mybatis框架使用不當導致的SQL注入問題為例，能夠拋磚引玉給新手一些思路。

一、Mybatis的SQL注入

Mybatis的SQL語句可以基於註解的方式寫在類方法上面，更多的是以xml的方式寫到xml檔案。

Mybatis中SQL語句需要我們自己手動編寫或者用generator自動生成。編寫xml檔案時，Mybatis支援兩種引數符號，一種是#，另一種是$。比如：

  SELECT * FROM NEWS WHERE ID = #{id}

使用預編譯，$使用拼接SQL。

Mybatis框架下易產生SQL注入漏洞的情況主要分為以下三種：

1、模糊查詢

Select * from news where title like ‘%#{title}%’

在這種情況下使用#程式會報錯，新手程式設計師就把#號改成了$,這樣如果java程式碼層面沒有對使用者輸入的內容做處理勢必會產生SQL注入漏洞。

正確寫法：

select * from news where tile like concat(‘%’,#{title}, ‘%’)

2、in 之後的多個引數

in之後多個id查詢時使用# 同樣會報錯，

Select * from news where id in (#{ids})

正確用法為使用foreach，而不是將#替換為$

id in#{ids} 

3、order by 之後

這種場景應當在Java層面做對映，設定一個欄位/表名陣列，僅允許使用者傳入索引值。這樣保證傳入的欄位或者表名都在白名單裡面。需要注意的是在mybatis-generator自動生成的SQL語句中，order by使用的也是$，而like和in沒有問題。

二、實戰思路

我們使用一個開源的cms來分析，java sql注入問題適合使用反推，先搜尋xml查詢可能存在注入的漏洞點→反推到DAO→再到實現類→再透過呼叫鏈找到前臺URL，找到利用點，話不多說走起

1、idea匯入專案

Idea首頁 點選Get from Version Control，輸入https://gitee.com/mingSoft/MCMS.git

下載完成，等待maven把專案下載完成

2、搜尋$關鍵字

Ctrl+shift+F 調出Find in Path，篩選後綴xml，搜尋$關鍵字

根據檔名帶Dao的xml為我們需要的，以IContentDao.xml為例，雙擊開啟，ctrl +F 搜尋$,查詢到16個前三個為資料庫選擇，跳過，

繼續往下看到疑似order by 暫時擱置

繼續往下看發現多個普通拼接，此點更容易利用，我們以此為例深入，只查詢ids從前端哪裡傳入

3、搜尋對映物件

Mybatis 的select id對應要對映的物件名，我們以getSearchCount為關鍵字搜尋對映的物件

搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java，分別對應對映的物件，物件的實現類和前端controler，直接跳轉到controler類

發現只有categoryIds與目標引數ids相似，需進一步確認，返回到IContentDao.java按照標準流繼續反推

找到ids為getSearchCount的最後一個引數，alt+f7檢視呼叫鏈

調轉到ContentBizImpl，確認前臺引數為categoryIds

返回到McmsAction，引數由BasicUtil.getString接收，

跟進BasicUtil.getString

繼續跳到SpringUtil.getRequest()，前端未做處理，sql注入實錘

4、漏洞確認

專案執行起來，構造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27，驗證注入存在。

三、總結

以上就是Mybatis的sql注入審計的基本方法，我們沒有分析的幾個點也有問題，新手可以嘗試分析一下不同的注入點來實操一遍，相信會有更多的收穫。當我們再遇到類似問題時可以考慮：

1、Mybatis框架下審計SQL注入，重點關注在三個方面like，in和order by

2、xml方式編寫sql時，可以先篩選xml檔案搜尋$,逐個分析，要特別注意mybatis-generator的order by注入

3、Mybatis註解編寫sql時方法類似

4、java層面應該做好引數檢查，假定使用者輸入均為惡意輸入，防範潛在的攻擊