JAVA代码审计篇-SQL注入

admin 2023年12月8日18:20:49评论21 views字数 7734阅读25分46秒阅读模式

注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布不承担任何法律及连带责任。

声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。


现在只对常读和星标的公众号才展示大图推送,建议大家把猫鼠信安设为星标”,否则可能看不到了

1、SQL注入漏洞简介

(1)SQL注入攻击是黑客利用SQL注入漏洞对数据库进行攻击的常用手段之一。攻击者通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中,网站应用程序未经过滤,便将恶意SQL语句带入数据库执行。
2)SQL注入漏洞可能会造成服务器的数据库信息泄露、数据被窃取、网页被篡改,甚至可能会造成网站被挂马、服务器被远程控制、被安装后门等。
(3SQL注入的分类较多,一般可笼统地分为数字型注入与字符串型注入两类;当然,也可以更加详细地分为联合查找型注入、报错注入、时间盲注、布尔盲注等

2、SQL注入的条件

(1)输入用户可控。
(2)直接或间接拼入SQL语句执行。

3、审计方法

对于SQL注入漏洞审计,常见的方法是,根据SELECT、UPDATE等SQL关键字或是通过执行SQL语句定位到存在SQL语句的程序片段,随后通过查看SQL语句中是否存在变量的引用并跟踪变量是否可控。因SQL注入漏洞特征性较强,在实际的审计过程中我们往往可以通过一些自动化审计工具快速地发现这些可能存在安全问题的代码片段。如使用Fortify等自动化工具。

Java语言本身是一种强类型语言,因此在寻找SQL注入漏洞的过程中,可以首先找到所有包含SQL语句的点,随后观察传参类型是否是String类型,只有当传参类型是String类型时我们才可能进行SQL注入。

4、JAVA中执行SQL的几种方式

(1)使用JDBC的java.sql.Statement执行SQL语句

Statement是Java JDBC下执行SQL语句的一种原生方式,执行语句时需要通过拼接来执行。若拼接的语句没有经过过滤,将出现SQL注入漏洞

使用方法如下:

//注册驱动
Class.forName("oracle.jdbc.driver.0racleDriver")
//获取连接

Connection conn = DriverManager.getConnection(DBURL,DBUser,DBPassWord);
//创建 Statement 对象
Statement state = conn.createStatement);
//执行 SQL
String sql="SELECT*FROM user WHERE id="+id+"";

state. executeQuery(sql);

案例:

Class.forName("com.mysql.cj,jdbc.Driver");
coon = DriverManager.getConnection("jdbc:mysql://192.168.88.20:3306/iwebsec?&useSSL=false&serverTimezone=UTC","root","root)";
String id ="2";
String sql ="select* from user where id ="+id;
ps = conn.createStatement();
rs = ps.executeQuery(sql);
while(rs.next())
{
	System.out.println("id:"+rs,getlnt("id")+"usermame:"+rs.getString("username")+"password:"+rs.getString("password");
}

(2)使用JDBC的java.sql.PreparedStatement执行SQL语句

PreparedStatement是继承statement的子接口,包含已编译的SQL语句。PreparedStatement会预处理SQL语句,SQL语句可具有一个或多个IN参数。IN参数的值在SQL语句创建时未被指定,而是为每个IN参数保留一个问号(?)作为占位符。每个问号的值,必须在该语句执行之前通过适当的setXXX方法来提供。如果是int型则用setInt方法,如果是string型则用setString方法。

PreparedStatement预编译的特性使得其执行SQL语句要比Statement快,SQL语句会编译在数据库系统中,执行计划会被缓存起来,使用预处理语句比普通语句更快。PreparedStatement预编译还有另一个优势,可以有效地防止SQL注入攻击,其相当Statement的升级版。

使用方法如下:

//注册驱动
Class. forName("oracle.jdbc.driver.0racleDriver");
//获取连接
Connection conn =DriverManager.getConnection(DBURL,DBUser,DBPasWord);
//实例化 PreparedStatement对象
String sql= "SELECT * FROM user WHERE id= ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql)
//设置占位符为 id变量
preparedStatement.setlnt(1,id);
//执行 SQL语句
ResultSet resultSet = preparedStatement.executeOuery();

(3)使用MyBatis执行SQL语句

MyBatis是一个Java持久化框架,它通过XML描述符或注解把对象与存储过程或SQL语句关联起来,它支持自定义SQL、存储过程以及高级映射。MyBatis封装了几乎所有的JDBC代码,可以完成设置参数和获取结果集的工作。MyBatis可以通过简单的XML或注解将原始类型、接口和JavaPOJO(Plain Old Java Objects,普通老式Java对象)配置并映射为数据库中的记录。要使用MyBatis,只需将mybatis-x.x.x.jar文件置于类路径(classpath)中即可。

使用方法如下:

1、 MyBatis注解存储SQL语句

package org.mybatis.example;
public interface BlogMapper{
	@Select("select * from Blog where id =#(id")
	Blog selectBlog(int id);
}

2、 MyBatis映射存储SQL语句

<?xml version="1.0" encoding="UTF-8" 2>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN""http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="org.mybatis.example.BlogMapper">
<select id-"selectBlog" parameterType="int" resultType="Blog">
	select * from Blog where id =#(id
</select>
</mapper>

3、定义主体测试代码文件mybaitstest.java

public class mybaitstest{
	SqlSessionFactory sessionFactory = null;
	SqlSession sqlSession = null;
	{String resource = "com/mybatis/mybatisConfigxml";
		//加载mybatis 的配置文件(它加关联的映射文件)
		Reader reader = null;
		try{
			reader = Resources.getResourceAsReader(resource);
			}catch (IOException e) {
			e.printStackTrace();
			}
		//构建 sqlSession 的工厂
		sessionFactory = new SqlSessionFactoryBuilder().build( reader);
		//创建能执行映射文件中 SQL 的 sSession,默认为手动提交事务,如果使用自动提交
则加上参数 truce
		sqlSession = sessionFactory.openSession(true);
	}
		public void testSelectUser(){
			String statement = "com.mybatis.userMapper" + ".getUser";
			User user = sqlSession.selectOne(statement,"2");
			System.out,println(user);
		}
public static void main(String[] args) throws lOException {
	new mybaitstest().testSelectUser );
}
}

4、定义SQL映射文件userMapper.xml

<?xml version="1.0" encoding="UTF-8">
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3maper.dtd">
<mapper namespace=".mybatis.userMapper">
	<!-- 据id查询一个User 对象 -->
	<select id-"getUser" resultlype="com.mybatis.sql.User">
		select * from users where id=#{id}
	</select>
</mapper>

5、定义MyBatista的mybatisConfig.xml配置文件

<?xml version="1.0"encoding="UTF-8"?>
<!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN" "http://mybatis.org/dtd)mybatis-3-config.dtd">
<configuration>
	<!--设置 Mybatis 打印调试 sql -->
	<settings>
	<seting name="loglmpl" value="STDOUT LOGGING"/>
	</settings>
	<environments default="development">
		<!- development:开发环境 work:工作模式 ->
		<environment id="development">
			<transactionManager type="JDBC" />
			<!数据连接方式->
			<dataSource type="POOLED">
				<property name="driver" value="com.mysql.cj,jdbc.Driver" >
				<property name="url" value="jdbc:mysql://192.168.88.20:3306/test?serverTimezone=UTC" >
				<property name="username" value="root" >
				<property name="password" value="root" />
			</dataSource>
		</environment>
	</environments>
	<!- 注册表映射文件 ->
	<mapper>
		<mapper resource="com/mybatis/userMapper.xml">
	<mappers>
</mappers>
</contiguration>

5、常见SQL注入漏洞代码

(1)SQL语句参数直接动态拼接

private static final String DBDriver = "oracle,jdbc.driver.0racleDriver";//驱动
private static final String DBURL = "dbc:oracle:thin:@127.0.0.1:1521:XE";//URL 命名规则;jdbc:oracle:thin:@IP 地址:端口号:数据库实例名
private static final String DBUser = "IWEBSEC";
private static final String DBPassWord = "IWEBSEC";
        Connection con = null;
        Statement st = null;
        ResultSet res = null;
        try{
        //连接
        Class.forName(DBDriver);//加载数据库驱动
        con = DriverManager.getConnection(DBURL,DBUser, DBPassWord);//连接
        st = con.createStatement0):
        String id=request.getParameter("id");
        res = st.executeQuery("SELECT* FROM"IWEBSEC"."user" WHERE "id"="+id);
        while(res.next0)
        {
	    int p = res.getInt("id");
        String n = res.getString("username");
        String s = res.getString("password");
    }
        catch (Exception e){
        out.println(e);
    }

上述代码首先加载数据库驱动,然后进行数据库的连接,通过“request.getParameter(“id”)”获取了传入id的值,并通过
““SELECT*FROM"IWEBSEC”.“user” WHERE"id"="+id”直接进行了SQL语句的拼接,然后通过st.executeQuery执行SQL语句。此代码id参数可控并且进行SQL语句的拼接,存在明显SQL注入漏洞。
输入“http://www.any.com/index.jsp?id=1”,返回id=1的数据信息
输入“http://www.any.com/index.jsp?id=1 union select
null,null,SYS_CONTEXT(‘USERENV’,‘CURRENT_USER’)fromdual”,返回联合查询后的数据信息

(2)预编译有误

使用PrepareStatement执行SQL语句是因为预编译参数化查询能够有效地防止SQL注入,但是很多开发者因为个人开发习惯的原因,没有按照PrepareStatement正确的开发方式进行数据库连接查询,在预编译语句中使用错误编程方式,那么即使使用了SQL语句拼接的方式,同样也会产生SQL注入漏洞

Class.forName("com.mysql.cj;jdbe.Driver");
conn = DriverManager.getConnection("jdbc:mysql://192.168.88.20:3306/iwebsec?&useSSL=false&serverTimezone=UTC","root","root");
String usemame="user%' or '1'='1'#";
String id ="2";
String sql="SELECT*FROM user where id =?";
if (!CommonUtils.isEmptyStr(usemame))
sql+="and usemame like "%" + userame + "%";
System.out.println(sql);
PreparedStatement preparedStatement = conn.preparesStatement(sql);preparedStatement.setString(l,id);
rs = preparedStatement.executeQuery(0)

上述代码就是典型的预编译错误编程方式,虽然id参数使用了PrepareStatement进行SQL查询,但是后面的username使用了SQL语句拼接的方式sql+=“and username like’%”+username+“%';”,将username参数进行了拼接,这样导致了SQL注入漏洞的产生。传入的username值为“user%‘or’1’=‘1’#”

(3)order by注入

有些特殊情况下不能使用PrepareStatement,比较典型的就是使用order by子句进行排序。order by子句后面需要加字段名或者字段位置,而字段名是不能带引号的,否则就会被认为是一个字符串而不是字段名。PrepareStatement是使用占位符传入参数的,传递的字符都会有单引号包裹,“ps.setString(1,id)”会自动给值加上引号,这样就会导致order by子句失效。

例如:正常的order by子句为“SELECT*FROM user order by id;”

当使用order by子句进行查询时,需要使用字符拼接的方式,在这种情况下就有可能存在SQL注入。要防御SQL注入,就要对进行关键字符串过滤。

典型的漏洞代码如下:

Clas.forName("com.mysql.cjdbc.Driver");
conn = DriverManager.getConnection("jdbc:mysql://192.168.88.20:3306/websec?&useSSL=false&serverTimezone=UTC","root","root");
String id ="2 or 1=";
String sql = "SELECT * FROM user "+" order by "+id;
System.out.printin(sql);
PreparedStatement preparedStatement = conn.prepareStatement(sql);
rs = preparedStatement.executeQuery();

因为order by只能使用字符串拼接的方式,当使用“Stringsql=“SELECT*FROM user”+“order by”+id”进行id参数拼接时,就出
现了SQL注入漏洞。id参数传入的值为“String id=“2 or 1=1””,因为存在SQL注入漏洞,故当执行完成后会将所有的user表中信息输出

(4)#和_模糊查询

在java预编译查询中不会对%和_进行转义处理,而%和_刚好是like查询的通配符,如果没有做好相关的过滤,就有可能导致恶意模
糊查询,占用服务器性能,甚至可能耗尽资源,造成服务器宕机。当传入的username为““%user%””时,通过动态调试发现数据库在执行时并没有将%进行转义处理,而是作为通配符进行查询的

明天继续写


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月8日18:20:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   JAVA代码审计篇-SQL注入https://cn-sec.com/archives/2279484.html

发表评论

匿名网友 填写信息