收下这张小贴士,填补那些年在HQL注入留下的坑

2024-03-06 06:18

本文主要是介绍收下这张小贴士,填补那些年在HQL注入留下的坑,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

SQL注入是一种大家非常熟悉的攻击方式,目前网络上有大量存在注入漏洞的DBMS(如MySQL,Oracle,MSSQL等)。但是缺少针对hibernate查询语言的相关资源,以期本文能给在渗透测试时能给各位多提供一条路。

HQL查询并不直接发送给数据库,而是由hibernate引擎对查询进行解析并解释,然后将其转换为SQL。为什么这个细节重要呢?因为有两种错误消息来源,一种来自hibernate引擎,一种来自数据库。
如果在HQL语法中发现了注入点,我们是不能直接使用平时的SQL利用方法来应对的,HQL有属于它自己特定的语法,相对SQL而言限制更多一些,比如说HQL就没有方法可以直接查询未映射的表单,没有联合,没有函数来创建简单延迟,没有系统函数。好在俄罗斯老毛子在几年前寻找到一个方法,将HQL context转义成SQL context,进而实现直接与数据库通信。不知道出于什么原因,国内这方面的相关文章很少,之前老毛子用得超爽。接下来进入正题,此外各位需要注意,不同的数据库转义方法不尽相同,以下案例使用的是MySQL数据库。PHP大马

开胃菜:HQL转义

最初的请求/响应信息(注意POST body中的GWT格式)
收下这张小贴士,填补那些年在HQL注入留下的坑在参数后面加上单引号,在返回的响应信息中可以看到服务器抛出一个错误
收下这张小贴士,填补那些年在HQL注入留下的坑像是竖线(‘|’)、反斜杠(‘\’)这类特殊符号会打乱GWT结构,我们得对这些数据进行编码。GWT格式对特殊字符的处理:

| => !
\ => \

在将HQL context进行转义之前,我们还需要对涉及到的数据库进行一些测试:

PayloadResult 
orderInGroup'error (EX) 
'orderInGroup'ok (OK) 
'orderInGroup'!!'xerror (EX) 
'orderInGroup'!!'x'ok (OK) 
'orderInGroup'!!'x'!!''ok (OK) 
'orderInGroup'!!str(46)!!''ok (OK) 
'orderInGroup'!!substr('x',1,1)!!''ok (OK) 

在MySQL, MSSQL, Oracle等常用数据库中进行测试,最终选定的最后一条payload却只能在MySQL下执行,接下来我们就将HQL context进行转义。
将字符串\'',由HQL context转换为MySQL context。在HQL查询上下文中,单引号会被附加另一个单引号来进行转义,反斜杠依旧是平常的反斜杠。这里与MySQL全然不同,MySQL使用反斜杠来转义单引号,而不是另一个单引号。因此,当Hibernate框架解析到一个查询语句,刚好底层使用的数据库又是MySQL的时候,就变得十分有趣了:
Hibernate解析到的语句:

'orderInGroup'||'\''|| (select 1)) -- ' // as a string

加上payload之后的MySQL:

'orderInGroup'||'\''|| (select 1)) -- ' // string '\'', logical 'or', select query

以下截图显示了payload成功执行
收下这张小贴士,填补那些年在HQL注入留下的坑吃完字符串转义这口开胃菜之后,胃口不妨打开一些,从数据库中检索信息

正餐:布尔型盲注

我们这个案例中的注入点在'order by'查询部分,由于应用无法显示查询的数据,这时我们就使用布尔型盲注的思路,MySQL函数updatexml就是一个非常不错的选择,如果它的第二个参数不是有效的XPath查询字符串就会报错,如果XPath查询是正确的就不返回值。

updatexml(xml_target,xpath_expr,new_xml)

重要的是,只会在计算完第二个参数后才会抛出错误(其中包含有if子句),也就是根据if判断子句,应用确定是否返回错误。和SQL下的布尔值盲注思路一样,之后通过逐个字符的提取数据即可。
收下这张小贴士,填补那些年在HQL注入留下的坑获取到的完整值:
收下这张小贴士,填补那些年在HQL注入留下的坑最后解码得到[…]PROD_SELF[…]
强烈推荐ORM2Pwn: Exploiting injections in Hibernate ORM

参考文献

Эксплуатация инъекций в Hibernate ORM
GWT RPC data format
SQL布尔型盲注思路分析
ORM2Pwn: Exploiting injections in Hibernate ORM
HQL Injection Exploitation in MySQL
Exploiting a HQL injection
HQL for pentesters Hibernate:深入HQL学习

这篇关于收下这张小贴士,填补那些年在HQL注入留下的坑的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/779076

相关文章

PHP防止SQL注入详解及防范

SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞。 一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的

PHP防止SQL注入的方法(2)

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE”); DROP TA

PHP防止SQL注入的方法(1)

(1)mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下: $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='". mysql_r

Go 依赖注入库dig

简介 今天我们来介绍 Go 语言的一个依赖注入(DI)库——dig。dig 是 uber 开源的库。Java 依赖注入的库有很多,相信即使不是做 Java 开发的童鞋也听过大名鼎鼎的 Spring。相比庞大的 Spring,dig 很小巧,实现和使用都比较简洁。 快速使用 第三方库需要先安装,由于我们的示例中使用了前面介绍的go-ini和go-flags,这两个库也需要安装: $ go g

org.hibernate.hql.ast.QuerySyntaxException:is not mapped 异常总结

org.hibernate.hql.ast.QuerySyntaxException: User is not mapped [select u from User u where u.userName=:userName and u.password=:password] 上面的异常的抛出主要有几个方面:1、最容易想到的,就是你的from是实体类而不是表名,这个应该大家都知道,注意

Web安全之SQL注入:如何预防及解决

SQL注入(SQL Injection)是最常见的Web应用漏洞之一,它允许攻击者通过注入恶意SQL代码来操作数据库,获取、修改或删除数据。作为Java开发者,理解并防止SQL注入攻击是至关重要的。在本篇文章中,我们将详细介绍SQL注入的原理,演示如何在电商交易系统中出现SQL注入漏洞,并提供正确的防范措施和解决方案。 1. 什么是SQL注入? SQL注入是一种通过在用户输入中嵌入恶意SQL代

网络安全(sql注入)

这里写目录标题 一. information_schema.tables 和 information_schema.schemata是information_schema数据库中的两张表1. information_schema.schemata2. information_schema.tables 二. 判断注入类型1. 判断数字型还是字符型注入2. 判断注入闭合是""还是'' 三. 判

Java抽象类使用@Autowired注入实例

示例代码如下: 抽象类 public abstract class AbstractWaterMark {@Autowiredprivate AchievementApplicationService achievementApplicationService;public AchievementApplication queryByCode(String code){return achiev

MyBatis-Plus 框架 QueryWrapper UpdateWrapper 方法修复sql注入漏洞事件

什么是漏洞? 漏洞是指软件、系统或网络中存在的安全弱点或错误,这些弱点可能导致系统遭受攻击或被不当使用。在计算机安全领域,漏洞通常源于编程错误、设计缺陷或配置失误。 对于对象关系映射(ORM)框架来说,漏洞通常指的是设计或实施中的安全问题,这些问题可能让应用程序面临SQL注入攻击的风险。 SQL 注入漏洞 如果ORM框架在执行SQL操作时没有正确过滤或转义用户输入,攻击者可以利用输入的恶意数据

spring使用@Resource 注入map

spring使用@Resource 注入map 注入多个Service: /*** 单笔付款状态 MQ消费** @author zkg* @since 2024-09-06 16:11:19*/@Slf4j@Component@RocketMQMessageListener(topic = PayGlobalConstants.PAY_APPL_SINGLE_TOPIC, consume