MyBatis中怎么實現SQL注入攻擊

MyBatis中怎么實現SQL注入攻擊，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

1、模糊查詢

Select * from news where title like ‘%#{title}%'

在這種情況下使用#程序會報錯，新手程序員就把#號改成了$,這樣如果java代碼層面沒有對用戶輸入的內容做處理勢必會產生SQL注入漏洞。

正確寫法：

select * from news where tile like concat(‘%',#{title}, ‘%')

2、in 之后的多個參數

in之后多個id查詢時使用# 同樣會報錯，

Select * from news where id in (#{ids})

正確用法為使用foreach，而不是將#替換為$

`id in`
`<foreach collection="ids" item="item" open="("separatosr="," close=")">`
`#{ids}` 
`</foreach>`

3、order by 之后

這種場景應當在Java層面做映射，設置一個字段/表名數組，僅允許用戶傳入索引值。這樣保證傳入的字段或者表名都在白名單里面。需要注意的是在mybatis-generator自動生成的SQL語句中，order by使用的也是$，而like和in沒有問題。

二、實戰思路

我們使用一個開源的cms來分析，java sql注入問題適合使用反推，先搜索xml查找可能存在注入的漏洞點–>反推到DAO–>再到實現類–>再通過調用鏈找到前臺URL，找到利用點，話不多說走起

1、idea導入項目

Idea首頁 點擊Get from Version Control，輸入https://gitee.com/mingSoft/MCMS.git

下載完成，等待maven把項目下載完成

2、搜索$關鍵字

Ctrl+shift+F 調出Find in Path，篩選后綴xml，搜索$關鍵字

根據文件名帶Dao的xml為我們需要的，以IContentDao.xml為例，雙擊打開，ctrl +F 搜索$,查找到16個前三個為數據庫選擇，跳過，

繼續往下看到疑似order by 暫時擱置

繼續往下看發現多個普通拼接，此點更容易利用，我們以此為例深入，只查找ids從前端哪里傳入

3、搜索映射對象

Mybatis 的select id對應要映射的對象名，我們以getSearchCount為關鍵字搜索映射的對象

搜到了IContentDao.java,IContentDaoimpl.java和McmsAction.java，分別對應映射的對象，對象的實現類和前端controler，直接跳轉到controler類

發現只有categoryIds與目標參數ids相似，需進一步確認，返回到IContentDao.java按照標準流繼續反推

找到ids為getSearchCount的最后一個參數，alt+f7查看調用鏈

調轉到ContentBizImpl，確認前臺參數為categoryIds

返回到McmsAction，參數由BasicUtil.getString接收，

跟進BasicUtil.getString

繼續跳到SpringUtil.getRequest()，前端未做處理，sql注入實錘

4、漏洞確認

項目運行起來，構造sql語句http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23 得到mysql的版本5.7.27，驗證注入存在。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。