# 前言

SQL注入漏洞作為WEB安全的最常見的漏洞之一柒爵，在java中隨著預(yù)編譯與各種ORM框架的使用，注入問題也越來越少彤叉。新手代碼審計者往往對Java Web應(yīng)用的多個框架組合而心生畏懼庶柿，不知如何下手，希望通過Mybatis框架使用不當(dāng)導(dǎo)致的SQL注入問題為例秽浇，能夠拋磚引玉給新手一些思路。

一兔辅、Mybatis的SQL注入

Mybatis的SQL語句可以基于注解的方式寫在類方法上面维苔，更多的是以xml的方式寫到xml文件。Mybatis中SQL語句需要我們自己手動編寫或者用generator自動生成没宾。編寫xml文件時，MyBatis支持兩種參數(shù)符號会钝，一種是#，另一種是$。比如：

Select * from news where title like ‘%#{title}%’br

使用預(yù)編譯串远，$使用拼接SQL。

Mybatis框架下易產(chǎn)生SQL注入漏洞的情況主要分為以下三種：

1、模糊查詢

select * from news where tile like concat(‘%’,#{title}, ‘%’)br

在這種情況下使用#程序會報錯催式，新手程序員就把#號改成了$,這樣如果java代碼層面沒有對用戶輸入的內(nèi)容做處理勢必會產(chǎn)生SQL注入漏洞梳毙。

正確寫法：

select * from news where tile like concat(‘%’,#{title}, ‘%’)br

2坷襟、in 之后的多個參數(shù)

in之后多個id查詢時使用# 同樣會報錯，

本以為用的MyBatis框架就萬無一失了档叔，沒想到還是被黑客注入了患亿，我真的無語了！

本以為用的MyBatis框架就萬無一失了，沒想到還是被黑客注入了，我真的無語了！

正確用法為使用foreach范删，而不是將#替換為$

id in

<foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} </foreach>

3添忘、order by 之后

這種場景應(yīng)當(dāng)在Java層面做映射，設(shè)置一個字段/表名數(shù)組，僅允許用戶傳入索引值。這樣保證傳入的字段或者表名都在白名單里面。需要注意的是在mybatis-generator自動生成的SQL語句中，order by使用的也是$郊闯，而like和in沒有問題。

二蛛株、實戰(zhàn)思路

我們使用一個開源的cms來分析谨履，java sql注入問題適合使用反推欢摄，先搜索xml查找可能存在注入的漏洞點-->反推到DAO-->再到實現(xiàn)類-->再通過調(diào)用鏈找到前臺URL，找到利用點盾沫，話不多說走起

1祖娘、idea導(dǎo)入項目

Idea首頁 點擊Get from Version Control失尖，輸入https://gitee.com/mingSoft/MCMS.git

下載完成啊奄，等待maven把項目下載完成

本以為用的MyBatis框架就萬無一失了，沒想到還是被黑客注入了

2仪吧、搜索$關(guān)鍵字

Ctrl+shift+F 調(diào)出Find in Path庄新，篩選后綴xml，搜索$關(guān)鍵字

本以為用的MyBatis框架就萬無一失了薯鼠，沒想到還是被黑客注入了

根據(jù)文件名帶Dao的xml為我們需要的择诈，以IContentDao.xml為例，雙擊打開出皇，ctrl +F 搜索$,查找到16個前三個為數(shù)據(jù)庫選擇羞芍，跳過，

本以為用的MyBatis框架就萬無一失了郊艘，沒想到還是被黑客注入了

繼續(xù)往下看到疑似order by 暫時擱置

本以為用的MyBatis框架就萬無一失了荷科，沒想到還是被黑客注入了

繼續(xù)往下看發(fā)現(xiàn)多個普通拼接，此點更容易利用纱注，我們以此為例深入畏浆，只查找ids從前端哪里傳入

本以為用的MyBatis框架就萬無一失了，沒想到還是被黑客注入了

3狞贱、搜索映射對象

Mybatis 的select id對應(yīng)要映射的對象名刻获，我們以getSearchCount為關(guān)鍵字搜索映射的對象

本以為用的MyBatis框架就萬無一失了，沒想到還是被黑客注入了

搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java瞎嬉，分別對應(yīng)映射的對象将鸵，對象的實現(xiàn)類和前端controler，直接跳轉(zhuǎn)到controler類

本以為用的MyBatis框架就萬無一失了佑颇，沒想到還是被黑客注入了

發(fā)現(xiàn)只有categoryIds與目標參數(shù)ids相似，需進一步確認草娜，返回到IContentDao.java按照標準流繼續(xù)反推

本以為用的MyBatis框架就萬無一失了挑胸，沒想到還是被黑客注入了

找到ids為getSearchCount的最后一個參數(shù)，alt+f7查看調(diào)用鏈

本以為用的MyBatis框架就萬無一失了宰闰，沒想到還是被黑客注入了

調(diào)轉(zhuǎn)到ContentBizImpl茬贵，確認前臺參數(shù)為categoryIds

本以為用的MyBatis框架就萬無一失了，沒想到還是被黑客注入了

返回到McmsAction移袍，參數(shù)由BasicUtil.getString接收解藻，

本以為用的MyBatis框架就萬無一失了，沒想到還是被黑客注入了

跟進BasicUtil.getString

本以為用的MyBatis框架就萬無一失了葡盗，沒想到還是被黑客注入了

繼續(xù)跳到SpringUtil.getRequest()螟左，前端未做處理，sql注入實錘

本以為用的MyBatis框架就萬無一失了，沒想到還是被黑客注入了

4胶背、漏洞確認

項目運行起來巷嚣，構(gòu)造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27，驗證注入存在钳吟。

本以為用的MyBatis框架就萬無一失了廷粒，沒想到還是被黑客注入了

三、總結(jié)

以上就是mybatis的sql注入審計的基本方法红且，我們沒有分析的幾個點也有問題坝茎，新手可以嘗試分析一下不同的注入點來實操一遍，相信會有更多的收獲暇番。當(dāng)我們再遇到類似問題時可以考慮：

1嗤放、Mybatis框架下審計SQL注入，重點關(guān)注在三個方面like奔誓，in和order by

2斤吐、xml方式編寫sql時，可以先篩選xml文件搜索$,逐個分析厨喂，要特別注意mybatis-generator的order by注入

3和措、Mybatis注解編寫sql時方法類似

4、java層面應(yīng)該做好參數(shù)檢查蜕煌，假定用戶輸入均為惡意輸入派阱，防范潛在的攻擊