管中窺豹——框架下的SQL注入 Java篇
背景
-
SQL注入漏洞應該算是很有年代感的漏洞了,但是現在依然活躍在各大漏洞榜單中,究其原因還是數據和代碼的問題。
-
SQL 語句在DBMS系統中作為表達式被解析,從存儲的內容中取出相應的數據, 而在應用系統中只能作為數據進行處理。
-
各個數據庫系統都或多或少的對標准的SQL語句進行了擴展
- Oracle的PL/SQL
- SQL Server的存儲過程
- Mysql也作了擴展(PS:不過我不知道這擴展叫什么名字
-
既然問題很清楚是什么了,大佬們的解決方案也不會慢——預編譯和ORM框架
從我目前來感覺來看,就是封裝,把你可能用到的語句封裝起來,明確你數據的位置,再根據SQL語句的語法防止數據影響到真正的語義
ORM框架與預編譯
預編譯
- 預編譯的指令方式用起來多少有點繁瑣,大部分都會采用相關的ORM框架來解決問題,但是多少需要了解,另外呢,再嘗試編寫sql的轉義器的時候,我估計我還得讀讀這些底層的實現作為參考,原因嘛,自然是場景幾乎一致,老司機的東西肯定比我拍腦袋的強(PS:實際上我需要的太簡單了,預編譯對不同類型均有不同的處理)。
JAVA
// Java.sql 包
PreparedStatement preparedStatement=connection.prepareStatement("SELECT * FROM users WHERE name =?;"); // ?號為占位符,表示此處有輸入的變量
preparedStatement.setString(1,name); // 通過set的方式設置變量
C#
涉及的類,分別是sqlParameter、DataAdapter、
// 參考:https://www.cnblogs.com/wangwangwangMax/p/5551614.html
public string Getswhere()
{
StringBuilder sb = new StringBuilder();
sb.Append("select ID,username,PWD,loginname,qq,classname from Users where 1=1");
//獲取到它的用戶名
string username = TxtUserName.Text.Trim();
if (!string.IsNullOrEmpty(username))
{
//sb.Append(string.Format("and username='{0}'", username));
//防SQL注入,通過@傳參的方式
sb.Append(string.Format("and username=@username"));
//怎么把值傳進去,通過sqlParameter數組
//SqlParameter[] para = new SqlParameter[]
//{
// //創建一個SqlParameter對象(第一個傳名稱,第二個傳值)
// new SqlParameter("@username",username)
//};
// para[0]表示數組對象的第一個里面添加
//para[0] = new SqlParameter("@username",username);
para.Add(new SqlParameter("@username", username));
}
if(ddlsclass.SelectedIndex>0)
{
//sb.Append(string.Format("and ClassName='{0}'", ddlsclass.SelectedValue));
sb.Append(string.Format("and ClassName=@ClassName"));
//para[1] = new SqlParameter("@ClassName",ddlsclass.SelectedValue);
para.Add(new SqlParameter("@ClassName", ddlsclass.SelectedValue));
}
return sb.ToString();
}
ORM框架
Java
- Java下目前基本上都是采用了mybatis框架進行處理了吧,反正我目前接觸到的都是這個。
mybatis
- 在java代碼調用mapper的方法,實現數據庫查詢,框架將查詢的結果映射到xml文件中配置的結果集上,詳細的底層原理可以查看圖片下方的原文鏈接。
參考:https://blog.csdn.net/luanlouis/article/details/40422941
- 當然除了xml配置文件的方式,還支持注解,不過目前接觸到的主流都是xml,偶爾有在代碼中看到幾行簡單查詢的注解。
一般而言${}表示動態拼接——容易導致SQL注入,#{}表示參數綁定——不會導致SQL注入 (后文會嘗試從mybatis框架上看看到底什么區別) - xml文件一個個去寫,其實也是蠻大的工作量,當然大佬們已經想到這個問題了,基本上都會采用相關的插件來生成一個能滿足基本需求的xml文件、mapper類以及實體類(處理輸入和輸出)
目前我接觸到的有兩個- mybatis-generator (maven的插件)
- idea mybatis-generator (idea的插件)
mybatis-generator (maven的插件)
- 需要配置 generatorConfig.xml (包含了jdbc的賬號和密碼,一般會放在resouces目錄下)
PS: 可以關注的信息泄露的點 - 生成的實體類包括 tableName 和tableNameExample
tableNameExample作為查詢的條件輸入類,tableName主要用於結果輸出類,兩者在功能上做了分離
/**
* This method was generated by MyBatis Generator.
* This method corresponds to the database table asset_group
*
* @mbg.generated Fri Aug 10 18:44:32 CST 2018
*/
List<AssetGroup> selectByExample(AssetGroupExample example);
/**
* This method was generated by MyBatis Generator.
* This method corresponds to the database table asset_group
*
* @mbg.generated Fri Aug 10 18:44:32 CST 2018
*/
AssetGroup selectByPrimaryKey(Integer id);
- tableNameExample作為條件的實現,依賴了動態參數(字段名動態), 下文會探討這樣做會不會有什么問題
<where>
<foreach collection="oredCriteria" item="criteria" separator="or">
<if test="criteria.valid">
<trim prefix="(" prefixOverrides="and" suffix=")">
<foreach collection="criteria.criteria" item="criterion">
<choose>
<when test="criterion.noValue">
and ${criterion.condition}
</when>
<when test="criterion.singleValue">
and ${criterion.condition} #{criterion.value}
</when>
<when test="criterion.betweenValue">
and ${criterion.condition} #{criterion.value} and #{criterion.secondValue}
</when>
<when test="criterion.listValue">
and ${criterion.condition}
<foreach close=")" collection="criterion.value" item="listItem" open="(" separator=",">
#{listItem}
</foreach>
</when>
</choose>
</foreach>
</trim>
</if>
</foreach>
</where>
idea mybatis-generator (idea的插件)
-
idea是商用的IDE,我先放個圖看看
-
與上文的不同,該插件生成的實體類只有兩個,但是mapper和xml均生成了兩組,有繼承關系
tableNameBaseMapper 和 tableNameMapper
(代碼里沒有體現,實現在使用的時候有,新增的sql語句可以放到tableNameMapper里,看起來比較清爽,點開basemapper對應的xml文件就知道了)
-
實體類中封裝了內部類,用於構造復雜的查詢條件
-
xml文件也寫的完全不一樣,因為沒有采用動態的方式,所以每個xml都很大。 估計設計上分離就是因為這個原因,如果也在這個文件里,可能會找不到...
<trim prefix="where" suffixOverrides="and | or">
<!-- 基礎的字段 省略了很多 -->
<if test="ID != null">
`ID` = #{ID} and
</if>
<if test = "(_parameter instanceof xx.xxx.xxx.xxx.ApplicationFunctions$QueryBuilder) == true">
<!-- 列表類型 -->
<if test="IDList != null">
`ID` in
<foreach collection="IDList" close=")" open="(" separator="," item="item">
#{item}
</foreach> and
</if>
<!-- 模糊查詢 -->
<if test ="fuzzyNAME!=null and fuzzyNAME.size()>0">
(
<foreach collection="fuzzyNAME" separator="or" item="item">
`NAME` like concat('%',#{item},'%')
</foreach>
) and
</if>
<if test ="rightFuzzyNAME!=null and rightFuzzyNAME.size()>0">
(
<foreach collection="rightFuzzyNAME" separator="or" item="item">
`NAME` like concat(#{item},'%')
</foreach>
) and
</if>
<!-- 比較 -->
<if test="cREATETIMESt !=null">
`CREATE_TIME` >= #{cREATETIMESt} and
</if>
<if test="cREATETIMEEd!=null">
`CREATE_TIME` <= #{cREATETIMEEd} and
</if>
</if>
</trim>
- mapper里封裝的方法
默認生成的以[query|update]{EntityName}[Limit1]? 以及query|update構成的方法名稱
python
- django 自帶的ORM框架
- Flask flask_sqlalchemy
C#
- 簡單搜了下花樣比較多...就不寫了
mybatis框架解析原理
- SqlSessionFactoryBuilder.build 入口
- 生成DefaultSqlSessionFactory ,調用xmlconfigbuilder進行初始化
- XMLConfigBuilder (org.apache.ibatis.builder.xml)
- 負責解析mapper的配置文件,其中mapperParser.parse();函數會對配置的主體部分(sql語句、mapper節點下的內容)進行解析
- 解析完成后,將Sql節點存放到 Map<String, XNode> sqlFragments 結構上;
- 進一步的解析調用buildStatementFromContext進一步解析
- 最終生成了MappedStatement存儲在configuration對象中
- 調用SqlSessionFactory.opensession,默認生成DefaultSqlSession,調用其方法進行查詢等操作
MappedStatement ms = configuration.getMappedStatement(statement); // 取出之前生成的mappedstatement return executor.query(ms, wrapCollection(parameter), rowBounds, Executor.NO_RESULT_HANDLER); // 調用執行器,執行 默認將parameter封裝成數組, 其他根據其類型支持collection 和 list // 執行器最終會調用preparestatement 通過預編譯完成- MappedStatement的getBoundSql方法
DynamicContext context = new DynamicContext(configuration, parameterObject); // 包裝輸入的參數parameterObject rootSqlNode.apply(context); // 實際上在這個階段完成SQL預計動態拼接的,同時會調用OGNL表達式獲取相關值,根據不同類型的SQLNode不同的拼接方式,文本是直接添加,其他的部分可能調用ognl表達式獲取值 // .... SqlSource sqlSource = sqlSourceParser.parse(context.getSql(), parameterType, context.getBindings()); // 參數拼接的函數- #{}類型 -> 轉化調用java的預編譯
PS: 后續有時間再去了解底層的實現。// parse(...) #{}形式的參數處理, GenericTokenParser parser = new GenericTokenParser("#{", "}", handler); /* 轉化成固定的返回 ? 用於預編譯 */ String sql = parser.parse(originalSql); return new StaticSqlSource(configuration, sql, handler.getParameterMappings()); // Class: GenericTokenParser // parse(String) public String parse(String text) { if (text == null || text.isEmpty()) { return ""; } // search open token int start = text.indexOf(openToken, 0); // ..... while (start > -1) { if (start > 0 && src[start - 1] == '\\') { // this open token is escaped. remove the backslash and continue. 如果存在反斜杠的轉義自動掠過 // .. } else { // found open token. let's search close token. if (expression == null) { expression = new StringBuilder(); // 實際上就是處理完一些特殊符號后#{}中間的內容 } else { expression.setLength(0); } builder.append(src, offset, start - offset); offset = start + openToken.length(); int end = text.indexOf(closeToken, offset); while (end > -1) { if (end > offset && src[end - 1] == '\\') { // this close token is escaped. remove the backslash and continue. 如果存在反斜杠的轉義自動掠過 // ..... } if (end == -1) { // close token was not found. builder.append(src, start, src.length - start); offset = src.length; } else { /* 轉化成固定的返回 ? 用於預編譯 // SqlSourceBuilder public String handleToken(String content) { parameterMappings.add(buildParameterMapping(content)); return "?"; } 根據之前聲明的參數類型映射prepare相應的set函數,例如setString */ builder.append(handler.handleToken(expression.toString())); offset = end + closeToken.length(); } } start = text.indexOf(openToken, offset); } if (offset < src.length) { builder.append(src, offset, src.length - offset); } return builder.toString(); } // // \t\n\r\f 會被替換成空格,重構sql語句 // org.apache.ibatis.executor.statement // class: PreparedStatementHandler : instantiateStatement(connection) String sql = boundSql.getSql(); if (mappedStatement.getKeyGenerator() instanceof Jdbc3KeyGenerator) { String[] keyColumnNames = mappedStatement.getKeyColumns(); if (keyColumnNames == null) { return connection.prepareStatement(sql, PreparedStatement.RETURN_GENERATED_KEYS); } else { return connection.prepareStatement(sql, keyColumnNames); } } else if (mappedStatement.getResultSetType() != null) { return connection.prepareStatement(sql, mappedStatement.getResultSetType().getValue(), ResultSet.CONCUR_READ_ONLY); } else { return connection.prepareStatement(sql); // jdbc的預編譯 }
常見的安全問題
信息泄露/拒絕服務風險
- 提供空值或者空的對象,導致查詢空值條件失效,實現了全庫查詢,可能造成信息泄露或者DOS風險。
- idea生成的例子如下:
<if test="ID != null">
`ID` = #{ID} and
</if>
<!-- 基本上如上,會包含一個test語句,用於確認當前的條件是否為null,對於字符串還會判斷是否為空的字符串,如果為null或者空,當前的條件控制失效
#{}方式如果是字符串會默認添加'',空值的方式可能會差不到數據, null的情況下會查詢條件被忽略
-->
- maven generator插件生成的代碼由於沒有強制的判定,似乎不會造成該風險(僅限select語句)
SQL注入風險
- #{}采用了jdbc的預編譯不存在風險,但是${}在構建語句的過程是需要進行表達式的計算的是動態拼接到語句中,如果直接采用這種方式存在SQL注入的風險。
- 在預編譯中各個類型都有相應的set函數,還有一些的函數,例如setInternal, 對於輸入的變量不做任何處理,如果直接拼接了變量到其中也會存在相應的安全風險
- 對於maven上的generator插件而言,生成的mapper.xml大致如下:
<select id="selectByExample" parameterType="*.*.*Example" resultMap="BaseResultMap">
<!--
WARNING - @mbg.generated
This element is automatically generated by MyBatis Generator, do not modify.
This element was generated on Mon Mar 18 14:12:57 CST 2019.
-->
select
<if test="distinct">
distinct
</if>
<include refid="Base_Column_List" />
from asset_app
<if test="_parameter != null">
<include refid="Example_Where_Clause" />
</if>
<if test="orderByClause != null">
order by ${orderByClause}
<!-- 存在了${}拼接 -->
</if>
</select>
-
其中 order by就存在注入的風險,語句如下:
- mysql 如下:
IF(1=1,1,(select+1+from+information_schema.tables)) updatexml(1,if(1=1,1,user()),1) (CASE+WHEN+(1=1)+THEN+name+ELSE+price+END)- oracle如下:
CASE WHEN (ASCII(SUBSTRC((SELECT NVL(CAST(USER AS VARCHAR(4000)),CHR(32)) FROM DUAL),3,1))>96) THEN DBMS_PIPE.RECEIVE_MESSAGE(CHR(71)||CHR(106)||CHR(72)||CHR(73),1) ELSE 7238 END) order by CASE WHEN 1=1 THEN 1 ELSE 0 END DESC -
另外還有一處如下:
<sql id="Update_By_Example_Where_Clause">
<!--
WARNING - @mbg.generated
This element is automatically generated by MyBatis Generator, do not modify.
This element was generated on Mon Mar 18 14:12:57 CST 2019.
-->
<where>
<foreach collection="example.oredCriteria" item="criteria" separator="or">
<if test="criteria.valid">
<trim prefix="(" prefixOverrides="and" suffix=")">
<foreach collection="criteria.criteria" item="criterion">
<choose>
<when test="criterion.noValue">
<!-- 存在了${}拼接 -->
and ${criterion.condition}
</when>
<when test="criterion.singleValue">
and ${criterion.condition} #{criterion.value}
</when>
<when test="criterion.betweenValue">
and ${criterion.condition} #{criterion.value} and #{criterion.secondValue}
</when>
<when test="criterion.listValue">
and ${criterion.condition}
<foreach close=")" collection="criterion.value" item="listItem" open="(" separator=",">
#{listItem}
</foreach>
</when>
</choose>
</foreach>
</trim>
</if>
</foreach>
</where>
</sql>
不過生成的相關example類的時候已經封裝了各種方法,只要不去直接調用addCriterion去嘗試對字段名(函數的第一個參數)進行動態設置,不存在安全風險,如下:
public Criteria andIdIsNull() {
addCriterion("ID is null");
return (Criteria) this;
}
public Criteria andIdIsNotNull() {
addCriterion("ID is not null");
return (Criteria) this;
}
public Criteria andIdEqualTo(Integer value) {
addCriterion("ID =", value, "id");
return (Criteria) this;
}
public Criteria andIdNotEqualTo(Integer value) {
addCriterion("ID <>", value, "id");
return (Criteria) this;
}
public Criteria andIdGreaterThan(Integer value) {
addCriterion("ID >", value, "id");
return (Criteria) this;
}
- idea的generator插件生成的mapper中不存在注入的風險,但是也沒有提供order by的封裝,可能會需要人工去編寫相關的語句,在此時就要關注可能存在的注入風險。
刪庫風險
- 與第一條可能比較像,但是風險不太一樣,單獨拉了一條。
- 我們看generator插件生成的xml文件中關於delete方法的聲明(PS:idea生成的mapper中沒有關於delete方法的聲明)
<delete id="deleteByExample" parameterType="com.sse.security.sys.entity.VulDetailsExample">
<!--
WARNING - @mbg.generated
This element is automatically generated by MyBatis Generator, do not modify.
This element was generated on Tue Sep 25 15:41:07 CST 2018.
-->
delete from vulnerability_details
<if test="_parameter != null">
<include refid="Example_Where_Clause" />
</if>
</delete>
- _parameter是mybatis的內置變量,代表整個輸入的對象,如果對象為null,就會造成刪庫,但是貌似這種情況條件有一點苛刻。
- 不過對於目前的應用系統而言,delete方式應該處於被棄用的狀態,除了針對賬號注銷的這類場景。
OGNL引入可能帶入的后門問題
- 在mybatis的框架中動態參數實際上是采用OGNL表達式進行處理
package org.apache.ibatis.ognl
-
通過getValue定位的相關函數如下:
-
那么可知支持OGNL表達式有以下這些標簽或者屬性:
-
if/when標簽的test屬性
-
foreach標簽的collection屬性
-
#{}或者${}中間的變量部分
-
bind標簽的value屬性(由name和value組成的變量會注入到context中)
-
注: 參考以下動態節點對應的相關類
-
map.put("trim", new TrimHandler());
map.put("where", new WhereHandler());
map.put("set", new SetHandler());
map.put("foreach", new ForEachHandler());
map.put("if", new IfHandler());
map.put("choose", new ChooseHandler());
map.put("when", new IfHandler());
map.put("otherwise", new OtherwiseHandler());
map.put("bind", new BindHandler());
handleToken,方法
-
嘗試過程
- 選擇以下payload進行嘗試
@java.lang.Runtime@getRuntime().exec('calc')-
在相關位置添加OGNL表達式后測試以下幾點
- 在加載配置時能否觸發代碼
- 在執行語句的能否觸發代碼
- 在已經啟用的應用程序中動態插入能否觸發代碼(PS:實際測試過程均不行,但是針對不同應用場景下,可能存在熱加載的問題)
-
if/when標簽的test屬性
- 情況1 觸發代碼
- 情況2 觸發代碼
- 情況3 無法觸發
- PS: when標簽放在默認語句的最后一行無法觸發,但是第一行卻可被觸發
-
foreach標簽的collection屬性
- 情況1 觸發代碼
- 情況2 觸發代碼
- 情況3 無法觸發
- PS: 由於返回的對象不一定是一個iterable,日志中會有相關的錯誤提示。影響正常請求的訪問
-
bind標簽的value屬性
- 情況1 觸發代碼
- 情況2 觸發代碼
- 情況3 無法觸發
-
#{}或者${} PS: #{}無法觸發 (會調用get/set方法,沒有使用ognl)
- 情況1 觸發代碼
- 情況2 觸發代碼
- 情況3 無法觸發
-
補充測試,在原來目錄下直接添加一個mapper文件查看,是否會被加載
- 不會自動加載
解決方案
- 通用情況
- 對數據進行非空、非null的判斷,避免一些條件被規避
- 框架有些地方沒辦法轉換成相應合適的預編譯,有條件還是需要去配置一個全局的過濾器
- 針對idea的生成器
- 需要對條件進行分析,哪些的必要條件,哪些不是。必要條件必須對空值和null值判斷,可以去修正自動生成的mapper
- 針對maven插件的生成器
- 避免直接調用addCriterion函數,第一個參數避免由外部輸入,如果有必要可以通過枚舉類結合switch case控制
- orderByClause屬性設置時,注意避免外部輸入。如果有必要進行動態設置。那么需要采用枚舉類結合switch case控制或者對輸入的數據進行過濾,僅保留字母數字下划線逗號,至於遞增還是遞減的控制,通過switch case 控制后拼接字符串常量。
- 后門問題
- 框架實現的機制,沒有辦法修復。
總結
- mybatis的框架梳理的還比較亂,有機會再理理。