首页 > 数据库 >Java代码审计sql注入

Java代码审计sql注入

时间:2022-10-18 14:33:57浏览次数:68  
标签:审计 username Java String sql where select name

java_sec_code

该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。

每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。

由于服务器到期,在线的Demo网站已不能使用。

登录用户名密码:

admin/admin123
joychou/joychou123

写这个呢是因为我在前面学java的基础漏洞审计的时候,我自己在Typora中的笔记因为图床的问题,做的笔记截图全部都不见了,所以前面的笔记就作废了,然后在做这个项目的漏洞的时候再网上没有找到完整的做题笔记,我就想着自己也做嘛就写一个笔记下来记录自己的java学习过程

项目地址JoyChou93/java-sec-code: Java web common vulnerabilities and security code which is base on springboot and spring security (github.com)

sql

less-1

@RequestMapping("/jdbc/vuln")
    public String jdbc_sqli_vul(@RequestParam("username") String username) {

        StringBuilder result = new StringBuilder();

        try {
            Class.forName(driver);
            Connection con = DriverManager.getConnection(url, user, password);

            if (!con.isClosed())
                System.out.println("Connect to database successfully.");

            // sqli vuln code
            Statement statement = con.createStatement();
            String sql = "select * from users where username = '" + username + "'";
            logger.info(sql);
            ResultSet rs = statement.executeQuery(sql);

            while (rs.next()) {
                String res_name = rs.getString("username");
                String res_pwd = rs.getString("password");
                String info = String.format("%s: %s\n", res_name, res_pwd);
                result.append(info);
                logger.info(info);
            }
            rs.close();
            con.close();


        } catch (ClassNotFoundException e) {
            logger.error("Sorry,can`t find the Driver!");
        } catch (SQLException e) {
            logger.error(e.toString());
        }
        return result.toString();
    }

第一关是一个很基础的sql注入漏洞就是

String sql = "select * from users where username = '" + username + "'";
            logger.info(sql);
            ResultSet rs = statement.executeQuery(sql);

这一段代码,就是基础的就是一个正常数数据库拼接,然后我的数据库里面有admin这个用户直接拼接上去是这样的效果

image-20220921180701810

闭合语句

" + username + "====admin' union select 1,version(),user()--+
还是很简单就简单说一下,从字符串中的'admin' union select 1,2,3--+
修复方式:预编译修复
            String sql = "select * from users where username = ?";
            PreparedStatement st = con.prepareStatement(sql);
            st.setString(1, username);

less-2

@GetMapping("/mybatis/vuln01")
    public List<User> mybatisVuln01(@RequestParam("username") String username) {
        return userMapper.findByUserNameVuln01(username);
    }

mybatis注入,这是一个存在注入语句的

这里可以直接看出来它是一个通过username这个字段去寻找参数值的,但是数据库查询肯定会存在sql语句的执行不可能不存在,这个时候我们追究其原理

直接追踪找到接口

@Select("select * from users where username = '${username}'")
    List<User> findByUserNameVuln01(@Param("username") String username);

我们发现它是用的$符号去活得参数值,这种方式的话是注解配置方案是springboot和spring里面常见的配置方式

Mybatis获取值的方式有两种,分别是${}#{}。这是关于用ssm组合写的框架会存在的sql注入

动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。

    在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:

           select * from user where name = #{name};

           select * from user where name = ${name};

    其解析之后的结果均为

           select * from user where name = 'zhangsan';

  但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:

select * from user where name = ?;

而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成

    select * from user where name = 'zhangsan';

以上,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。
#{}:解析的是占位符问号,可以防止SQL注入,使用了预编译。
${}:直接获取值

还是拼接就i行了

admin' union select 1,@@version,3 --+

image-20220926185431205

修复方案就是用#{},不要使用${}

less-3

# 是通过prepareStatement的预编译的,会对自动传入的数据加一个单引号。
如:order by #{orderBy},如果传入的时间是 ,则会被解析为 order by ‘update_time’ (这样排序是无效的,这也是为什么不能用#号传参的原因)。

@GetMapping("/mybatis/vuln02")
    public List<User> mybatisVuln02(@RequestParam("username") String username) {
        return userMapper.findByUserNameVuln02(username);
    }

还是老规矩先追下去看

image-20220926191410973

发现没有方法再想一想往上看一看发现一个注解@Mapper注解这个注解的意思就是它有一个映射文件反手翻一翻

image-20220927103517699

然后就发现了这个select语句

<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
        select * from users where username like '%${_parameter}%'
    </select>

追到后面发现一个like,like是模糊查询的意思

简单的插播一下like注入的原理

 like查询时,如果用户输入的值有"_"和"%",则会出现这种情况:用户本来只是想查询"abcd_",查询结果中却有"abcd_"、"abcde"、"abcdf"等等;用户要查询"30%"(注:百分之三十)时也会出现问题。
 然后:_parameter是Mybatis的内置参数,代表整个参数
 我们还是直接拼接就可以了
 
 
http://localhost:8080/sqli/mybatis/vuln02?username=admin' union select 1,2,3 --+

image-20220927102725722

考点

  • 通过配置文件的映射直接追踪过来是没有select语句的

less-4

@GetMapping("/mybatis/orderby/vuln03")
    public List<User> mybatisVuln03(@RequestParam("sort") String sort) {
        return userMapper.findByUserNameVuln03(sort);
    }

传入的值变了是个sort,sort是短的,还是追踪sql源码来看看

<select id="findByUserNameVuln03" parameterType="String" resultMap="User">
        select * from users
        <if test="order != null">
            order by ${order} asc
        </if>
    </select>

看到了是order by 然后后面有asc代表的是升序排布,desc是降序排布因为是

拼接语句选择用updataxml吧直接and拼接起来就实现了

**http://localhost:8080/sqli/mybatis/orderby/vuln03?sort=id and (updatexml(1,concat(0x7e,(select version()),0x7e),1))  #

报错语句中就会看到

image-20220927163102356

标签:审计,username,Java,String,sql,where,select,name
From: https://www.cnblogs.com/0x3e-time/p/16802461.html

相关文章

  • SQL Server 函数大全
    表达式:是常量、变量、列或函数等与运算符的任意组合。以下参数中表达式类型是指表达式经运算后返回的值的类型字符串函数函数名称参数示例说明ascii......
  • SQL server把多条记录查找结果合并成一条记录
    例如我们有如下一张"用户工厂"表,为多对多关系:selectUserId,工厂号from用户工厂 如果我们希望得到三个工厂号对应了哪些UserId,把这些UserId放到一行里面显示出来,......
  • .net6 webApi IoC SqlSugar的日常使用
    .Net6WebApi使用SqlSugar1、Nuget先引入:SqlSugarCore2、NetIOC1、注入ISqlSugarClient.NET自带的IOC使用也很方便 先封装一个操作类//建一个扩展类publicstat......
  • 解决 SQL Server 中 CPU 使用率过高的问题
    本文提供了诊断和修复运行MicrosoftSQLServer的计算机上CPU使用率过高导致的问题的过程。尽管在SQLServer中出现CPU使用率过高有许多可能原因,但以下原因最为常......
  • JavaScript的日期对象的使用Date
    1<script>2letdate=newDate();//返回的是当前的时间3console.log(date.getFullYear());//获取的当前年份4console.log(date.getMonth()+1);......
  • Java8Stream的flatmap应用(区别map)-优化嵌套for循环条件筛选
    场景Java8新特性-Stream对集合进行操作的常用API:https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/126070657前面讲Stream的常用api中讲到map的使用......
  • Linux安装mysql之路
    1、登录机器(1)链接机器ssh+ip,回车ssh192.168.1.1(2)输入密码,回车2、上传文件由于作者这边是内网,安全原因不能暴露具体内容,大致是利用工具将文件传到的指定目录中(非内网情况可......
  • Java基于解释器模式实现定义一种简单的语言功能示例
    本文实例讲述了Java基于解释器模式实现定义一种简单的语言功能。分享给大家供大家参考,具体如下:一模式定义解释器模式:就是给定一个语言的文法表示,并且定义一个解释器,用来......
  • Java类加载机制(classloader)
    什么是classloaderclassloader顾名思义,即是类加载。虚拟机把描述类的数据从class字节码文件加载到内存,并对数据进行检验、转换解析和初始化,最终形成可以被虚拟机直接使用......
  • TP5 where数组查询(模糊查询)(有多个查询条件) whensql判断条件:TP6 条件查询 sql判断
    sql判断条件:TP6条件查询sql判断条件_php菜鸟技术天地Db::name('user')->when($sex==1&&$type=1&&!empyt($score) ,function($query){Db::name('user')->when($s......