拍摄于:威海市-布鲁维斯号沉船
公众号:XG小刚
Mybatis框架
MyBatis是一个流行的Java数据库框架,它简化了数据库操作,允许开发人员通过映射文件或注解将Java对象与数据库中的数据进行关联。与其他ORM(如 Hibernate)不同,MyBatis不会自动生成SQL,而是允许开发者手动编写SQL语句,因此能够提供更精细的控制。目前大部分JavaWeb的学习和开发都绕不开学习他
MyBatis的利用基本分为三步
1.创建一个SQL映射.xml文件
2.创建Mapper接口,调用映射文件中的SQL语句
3.在代码中执行Mapper接口的函数即可
本文不过多说明,更加具体的使用方式就需要自己去学习了
Mybatis导致SQL注入
Mybatis框架在解析SQL语句时支持两种参数符号${}和#{}
${}这种方式是将参数直接拼接到SQL语句当中,和正常的SQL注入产生原因没两样
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = '${name}' </select>
当name传入值为abcde时,Mybatis将${name}替换为abcde
select * from sqldemo.user where name = 'abcde'
然后Mybatis再去数据库执行该语句进行查询
#{}这种方式是使用预编译的方式进行的
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = #{name} </select>
当name传入值为abcde时,Mybatis将#{name}替换为预编译符号?
select * from sqldemo.user where name = ?
然后Mybatis使用参数化的方式进行数据库查询的,也就解决了SQL注入问题
Mybatis框架导致SQL注入的原因也简单了解一下即可
判断SQL注入点
Mybatis注入产生的原因了解了,发现和普通的SQL注入没两样,使用俩单引号一样判断,反正都是拼接产生的SQL注入
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = '${name}' </select>
按照目前判断SQL注入的方式,如果一个单引号报错
然后两个单引号正常,大概率这能判断是一个字符型SQL注入了,实在不放心就再继续三个单引号报错,四个单引号正常也能判断完全了。
然而在一次java渗透项目中,一个单引号发现报错,嗯很好的开始,两个单引号waf拦截?三个单引号继续报错,四个单引号waf继续拦截?刹那间慌了神。waf也进化了SQL注入判断方式了?那后面我岂不是没产出了?
那不行,搞他
Mybatis解析顺序
在上面Mybatis的SQL注入产生的原因中已经提到过
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = '${name}' </select>
${}是产生注入的原因,那如果${}和#{}同时在一个语句中,Mybatis是怎么解析的
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = #{name} or name = '${name}' </select>
当我把name传入数值bob
我本以为是按照语句顺序从前往后解析,按照顺序先替换#{name}为?,再替换${name}为数值bob
然而在后面调试中发现,解析顺序是并不是想象的那样
1.Mybatis会先优先替换${}中的内容
从下面调试中可以看出,进入parse()函数后,第一次是先解析${字符所在的位置
然后将${到}之间的数据替换为值bob
最终builder得到的值是
select * from sqldemo.user where name = #{name} or name = 'bob'
2.替换完所有${}中的内容后,再去解析#{}
使用都是parse()函数,只是转为解析#{字符了
调试过程中可以看到,现在#{位置被替换的不是数值了,而是?预编译字符
最终builder得到的值是
select * from sqldemo.user where name = ? or name = 'bob'
3.都解析完之后,mybatis就带着SQL语句和参数化查询需要的值去数据库查数据了
到这可能并没有发现什么端倪,不就是先解析${}再解析#{}吗?
Mybatis参数报错
在这还要补充一个重要知识点,Mybatis是要进行参数绑定的
<select id="select" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where id = '${id}' or name = #{name} </select>
当语句如果需要解析多个参数位置,如何确认${id}和#{name}数据从何而来,就需要在编写Mapper接口时进行参数绑定
List<User> select(@Param(value="id") String id,@Param(value="name") String name);
绑定之后,就可以使用#{name}了
如果我在写SQL映射文件时,使用了一个没绑定过的参数名,比如#{test}
则会产生一个错误Parameter 'test' not found,也就是test参数没有定义,所以找不到
记住这个报错,后面有用
Mybatis判断注入点
铺垫这么多,先解析${}再解析#{}到底有什么用?
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where id = #{id} and name = '${name}' </select>
正常我们SQL注入,name参数直接给单引号判断
那如果我给name的值是#{name}会怎样?
发现报错了,并且SQL语句最终变成了
select * from sqldemo.user where id = ? and name = '?'
那是因为mybatis先解析了${}
select * from sqldemo.user where id = #{id} and name = '${name}' ====> select * from sqldemo.user where id = #{id} and name = '#{name}'
然后再解析#{}
select * from sqldemo.user where id = #{id} and name = '#{name}' ====> select * from sqldemo.user where id = ? and name = '?'
SQL预编译丛一个?变成了两个?,因为后面预编译符号在单引号中包裹,所以失效导致了数量对不上的错误
但是实际环境我们不能确定参数名就是name,这无所谓,我们可以给任意不存在的参数名,比如#{test}
就出现了上面提到的参数未发现的错误
有错误产生就会有对比出现,就能判断注入点,当我给name赋值为#{test}和#test}
因为在第二次解析时会解析#{test},但不会去解析#test}
产生的报错差别,就可以完全肯定这name参数位置使用的${},所以就必定存在SQL注入
到这就可以通过不使用单引号的方式,判断出Mybatis的注入点了
好方式当然要工具化,直接二开了xiasql集成到里面了,有兴趣可以去星球下载试一下
但是还有几个点没考虑到:数字型怎么去判断,order型怎么去判断
<select id="selectA" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where id = ${id} </select> <select id="selectB" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where id = #{id} order by ${sort} </select>
都没有单引号限制了,直接传统的判断方式就行了啊
当然也可以用这方式进行判断,这里也不过多介绍了,直接给个更完善的poc
/*#xxxx}*/ /*#{xxxx}*/
学会了这招你就偷着乐吧
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。
扫一扫
827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
