Hibernate框架中的HQL注入漏洞



Hibernate是一种ORMapping框架,内部可以使用原生SQL还有HQL语言进行SQL操作。

所谓的HQL注入,就是指在Hibernate中没有对数据进行有效的验证导致恶意数据进入应用程序中造成的。

请看这段代码:

技术分享


Input参数即可造成注入。

不过在Hibernate中,一般都是在createQuery中使用PDO,使用setString填充占位符进行sql语句的拼接,如果是这样的话,自然就不存在SQL注入,但是不排除有人像上面的图片中的写法。

正常情况下:

技术分享


Sqlin参数存在注入漏洞,于是:

技术分享

由于HibernateHQL中,大多数情况下不支持union,更不支持数据库的meta data的查询,所以如何弄清楚实体名称和列名称才能继续提取有用的数据,遗憾的是,没有找到一种方法爆出当前的列名。

看了http://blog.h3xstream.com/2014/02/hql-for-pentesters.html, 上面说提交一个不存在的列名即可,但是本地测试没有成功,目测是try-catch了事物提交,然后e.getSql()方法。

比如,源码中进行错误处理,输出了e.getSQL()以及e.getXSQLException(),结果就和上面老外说的trick一样了:

技术分享

不过我认为这样的“友好”错误存在的几率很小。

目前来看,HQL注入除了万能密码、知道表名列名的情况下进行盲注外,我没有想到比较好的方法来进行漏洞利用,个人认为Hibernate中的注入比较鸡肋。

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。