Mybatis框架?老生常谈?不!
MyBatis,这玩意儿在Java圈子里谁还没听过?ORM框架嘛,把Java对象和数据库表里的数据对应起来,省得你写一堆JDBC代码。但它跟Hibernate那种“全自动”选手不一样,MyBatis更像个“半自动”挡位,SQL还得你自己操刀。好处是啥?灵活!你想怎么玩SQL就怎么玩,控制权都在你手里。
现在JavaWeb开发,谁敢说自己没用过Mybatis?反正我是没见过。
MyBatis玩起来其实就三板斧:
XML映射文件:先搞个XML文件,把你的SQL语句写进去。
Mapper接口:再定义一个Mapper接口,接口里的方法对应XML里的SQL。
代码调用:最后在你的Java代码里,调用Mapper接口的方法,MyBatis就帮你执行SQL了。
具体咋用?自己去看文档!这年头,伸手党要不得。
Mybatis凭啥能搞出SQL注入?这锅该谁背?
Mybatis这玩意儿,用好了是神器,用不好就是埋雷。它支持两种参数占位符:${}和#{}。注意,坑就在这里!
${}这货,就是个耿直boy,直接把参数拼到SQL里。这跟传统的SQL注入有啥区别?没区别!就是个裸奔的SQL注入漏洞。
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = '${name}' </select>比如,你传个name=abcde,Mybatis直接给你拼成:
select * from sqldemo.user where name = 'abcde'然后丢给数据库执行。这要没问题,那才叫见了鬼!
#{}呢?它就聪明多了,用的是预编译。
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = #{name} </select>同样传个name=abcde,Mybatis会先把SQL变成这样:
select * from sqldemo.user where name = ?然后把abcde当做参数传给数据库。这样一来,就算你传的是' or 1=1 --,数据库也只会把它当成一个普通的字符串,SQL注入?不存在的!
所以说,Mybatis本身没啥问题,问题在于用错了${}!
如何在Mybatis的枪林弹雨中找到注入点?别再傻乎乎地用单引号了!
既然${}这么危险,那怎么判断有没有SQL注入呢?你还在用传统的单引号大法?
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = '${name}' </select>一个单引号报错?
两个单引号正常?
OK,字符型SQL注入,安排!
Too young, too simple! 我在一次渗透测试中,就遇到了这种情况:一个单引号报错,两个单引号直接被WAF拦截!三个、四个单引号?统统拦截!当时我就懵了,WAF都这么智能了?
不行,必须搞清楚!
扒开Mybatis的底裤:${}和#{}的恩怨情仇
要绕过WAF,就得了解Mybatis的解析顺序。如果${}和#{}同时出现,Mybatis会怎么处理?
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where name = #{name} or name = '${name}' </select>你以为Mybatis会按顺序从左到右解析?Naive!
调试结果告诉我,Mybatis会先解析${},再解析#{}!
先干掉
${}:Mybatis会找到${},把里面的内容替换掉。比如,你传个
name=bob,替换后SQL就变成了:sql select * from sqldemo.user where name = #{name} or name = 'bob'再收拾
#{}:替换完${},Mybatis才会处理#{},把它替换成?。最终SQL变成了:
sql select * from sqldemo.user where name = ? or name = 'bob'交给数据库:Mybatis带着SQL和参数,去数据库查数据了。
是不是有点意思了?
Mybatis报错小秘密:参数绑定是关键!
在深入之前,还得补充一个Mybatis的参数绑定知识点。
<select id="select" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where id = '${id}' or name = #{name} </select>SQL里有两个占位符${id}和#{name},Mybatis怎么知道id和name的值从哪里来?需要在Mapper接口里用@Param注解绑定参数:
List<User> select(@Param(value="id") String id, @Param(value="name") String name);这样,Mybatis才能把id和name的值正确地传递给SQL。
如果你在SQL里用了个没绑定过的参数名,比如#{test},Mybatis就会报错:Parameter 'test' not found。
记住这个报错,后面要考!
终极武器:不靠单引号也能搞定Mybatis注入!
现在,把前面的知识点串起来,就是见证奇迹的时刻!
<select id="selectC" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where id = #{id} and name = '${name}' </select>如果我把name的值设为#{name},会发生什么?
报错了!SQL变成了:
select * from sqldemo.user where id = ? and name = '?'因为Mybatis先解析${},把'${name}'替换成了'#{name}',然后再解析#{},把#{name}替换成了?。结果SQL里出现了两个?,参数数量对不上,就报错了。
但是,我们不知道参数名是name怎么办?没关系,我们可以用一个不存在的参数名,比如#{test}。
这样,Mybatis就会报Parameter 'test' not found的错误。
关键在于,如果name参数使用了${},我们传入#{test}就会报错;如果name参数使用的是#{},传入#{test}就不会报错。通过这个差异,我们就能判断出是否存在SQL注入!
是不是很巧妙?
我已经把这个方法集成到了xiasql里,欢迎来星球体验!
进阶:数字型和排序型注入怎么搞?
如果SQL里没有单引号限制,比如:
<select id="selectA" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where id = ${id} </select> <select id="selectB" parameterType="String" resultType="com.demo.bean.User"> select * from sqldemo.user where id = #{id} order by ${sort} </select>传统的判断方法当然也能用,但我们也可以用上面的方法。直接给个更完善的POC:
/*#xxxx}*/ /*#{xxxx}*/学会这招,以后遇到Mybatis注入,再也不用慌了!
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,100多本网安电子书,最新学习路线图和工具安装包都有,不用担心学不全。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
