Java审计之SQL注入篇

0x00 前言

本篇文章作为Java Web 审计的一个入门文，也是我的第一篇审计文，后面打算更新一个小系列，来记录一下我的审计学习的成长。

0x01 JDBC 注入分析

在Java里面常见的数据库连接方式也就那么几个，分别是JDBC，Mybatis，和Hibernate。

注入常见场景分析

JDBC的连接是比较繁琐的，并且是最原始的连接方式，我们来看看JDBC的最原始的连接代码

Get型注入：

@WebServlet("/demo")

public class domain extends HttpServlet {

    @Override

    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

        System.out.println("get访问");

        String id = req.getParameter("id");

        Connection conn = null;

        try {

            Class.forName("com.mysql.jdbc.Driver");

            conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/demo", "root", "root");

            String sql = "select * from users where id = '"+id+"' ";

            Statement statement = conn.createStatement();

            ResultSet resultSet = statement.executeQuery(sql);

        } catch (ClassNotFoundException | SQLException e) {

            e.printStackTrace();

        }

    }

    @Override

    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

        this.doGet(req,resp);

    }

}

这里编写了一个serlvet获取get的值，连接数据库使用了jdbc的方式进行连接，采用了拼接的方式直接拼接到了sql语句里面去。这样的代码如果在传入前没做过滤直接拼接，就会产生sql注入。

在实际运用当中如果不采用框架使用JDBC的方式，普遍会编写一个工具类来完成这些繁琐的配置，但是具体的实现还是调用这些方法来进行实现，只是进行了一个简单的封装。

在代码审计的时候，如果看到是JDBC的方式进行连接可以跟踪一下他的代码，看他有没有调用自己定义的过滤方法，如果没有的话，就会存在sql注入，当然这是在未使用预编译的情况下。

后面的重复的比较多，都是大致相同，我后面就贴出一些主要的代码进行分析。

POST型注入：

String sql = "select * from users where username = '"+username+"' and password = '"+password+"' ";

GET的注入和POST的其实差不多，只是获取值的地方不一样。

Like型注入：

 String name = req.getParameter("name");

            String sql = "select * from users where name like '%'+name+'%'";

Header注入：

String referer = req.getHeader("referer");

String sql = "update user set referer ='"+referer+"'";

以上列了几种方式都是JDBC采用拼接的方式造成SQL注入的代码。

JDBC 预编译

预编译的定义其实就是使用问号先来占位，后面再传入具体的值。

后面传值的时候，程序会把传入的参数，自动转换为spring类型的字符，并不会拼接成sql语句生效。

Connection  conn = JDBCUtils.getConnection();

            String sql = "select * from users where username = ? and password = ?";

            PreparedStatement pstmt = conn.prepareStatement(sql);  //使用预编译传入sql语句

            pstmt.setString(1,username);   //设置第一个参数为username

            pstmt.setString(2,password);   //设置第二个参数为password

            pstmt.executeQuery();

0x02 Mybatis 注入分析

Mybatis获取值的方式有两种，分别是${} 和 #{}。

#{}:解析的是占位符问号，可以防止SQL注入，使用了预编译。

${}:直接获取值

在Mybatis里面一般会采用#{}来进行取值，但是也会有特殊情况。

like注入：

我们这里还是以代码做演示

select id="findlike" resultType="com.test.domain.User" parameterType="string">

        select * from user where name like   '%#{name}%'，

    </select>

我们在运行的时候会发现，代码直接就会抛出异常。

正确代码：

select id="findlike" resultType="com.test.domain.User" parameterType="string">

        select * from user where name like   '%${name}%'，

    </select>

需要使用${}的方式进行取值。

或者是

<select id="findlike" resultType="com.test.domain.User" parameterType="string">

        select * from user where name like  #{name}

    </select>

测试类：

public void findlike(){

        List<User> ming = userDao.findlike("'%'+xiao+'%'");

        for (User user1 : ming) {

            System.out.println(user1);

        }

    }

另外还有种写法：

<select id="findlike" resultType="com.test.domain.User" parameterType="string">

        select * from user where name like concat('%',#{name},'%')

    </select>

这里在前面进行加入两个%，再进行传入这样的方式也不会报错，但是使用

#直接拼接%就会报错。

like不能直接使用预编译，如果在没处理好参数的情况下进行传入，也是会产生sql注入的。

in后注入

Select * from news where id in (#{id})，

也是拼接使用预编译这样的代码也会报错。

正确写法：

Select * from news where id in (${id})

order by 注入

Select * from news where title ='#{titlename}' order by #{time} asc

执行会报错

正确写法：

Select * from news where title ='#{titlename}' order by ${time} asc

0x03 CMS 审计

测试环境

IDEA  ：2020.1.2 X64 

MYSQL ：5.7.26

TomCat：8.0

JDK   ：1.8

搭建环境

下载源码

http://down.admin5.com/jsp/132874.html。

idea中导入项目，添加pom.xml文件为maven文件。如果Spring注解报错说明Spring的环境还没拉去下来，刷新一下pom.xml文件就好了。

这里配置是82端口，目录就默认就行。

配置tomcat也设置为82端口

这里要注意路径需要根路径，否则加载有一些css资源的时候路径会因为路径问题加载不少。

这样就配置完成了，但是还是会发现有一些get，set的方法会爆红。

项目的说明文档里面给出了解决方法，只需要安装一下lombok插件重启一下就解决了，这里是因为一些代码中并没有实际编写get和set的方法，使用的是插件去提供的。

这些完成后，就可以讲提供好的sql文件导入进去。进行启动

这些都是自己专门踩过的坑，一段操作猛如虎后，启动完成。但是会有一些报错，sql文件在导入的时候，有些执行错误了，几张表没创建成功，在进行操作该表的时候未找到该表，就报错了。

将就一下把！

第一步肯定是先看他的web.xml的配置，看他都使用了哪些框架

确实该cms是一个使用了SSM框架，也就是Spring+Spring Mvc+Mybatis

（哈哈哈，其实是看说明文档知道的。）

审计SQL 注入

文件的划分很细，很清楚看到他的结构，点开dao文件下的任意文件，看看Mybatis是使用了注解开发还是配置文件开发。

点开没发现有Mybatis的注解，那就肯定是使用了配置XML的方式。

映射文件会和dao的接口在同层目录下。

直接就来找$符号吧，看看哪些是直接调用了$来进行取值并且没经过过滤的。

发现deleteArticleByIds使用的是$取值。

找到配置文件对应的dao接口

选中dao接口中deleteArticleByIds，Curl+左键可以看到哪些类调用了该方法。

我这里就跳转到了service层的一个实现类里面。

主要关注service层代码，过滤处理的会从service层去实现。

并没有发现过滤的代码

接下来就可以去找该service对应的Controller，这个可以使用idea的ctrl+Alt+H快捷键去查询调用层次，去看Controller的位置。

查看到了Controller文件，先找他的目录路径

/admin/article

在搜索一下deleteArticleByIds具体在哪里调用和出现，就得到了具体的漏洞位置。

漏洞位置：

http://127.0.0.1:82/admin/article/delete

访问漏洞位置

点击删除进行抓包

扔到sqlmap跑一下

参考文章

https://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srcid=0926a6QC3pGbQ3Pznszb4n2q

https://xz.aliyun.com/t/2646#toc-1

0x04 结尾

前面的环境配置了比较久，耽误了不少时间。