[閒聊] 2017.W46 - No SQL Injection in No SQL ?
2017.W46 - No SQL Injection in No SQL?
> 雖然 No-SQL 已死(?) 但這問題還蠻有趣的
## 前言 ##
最近在查資料 突然看到一篇文章[0]
提到 mongo DB 的 SSJI (Server-Side JavaScript Injection) 進而 RCE 攻擊
也順便學一下 NoSQL 的一些語法跟概念
## 內容 ##
NoSQL [1] 是一種不同於傳統關聯式資料庫[2] 的一種資料儲存型態
跟一般 DB 相較起來 更強調 Key-Value 形式的資料儲存
在大量資料的狀況下更可以平行處理
以 mongo DB[3] 為例 他提供多種類似 SQL 的語法[4]
像是 $where 後面就可以接 NoSQL 語法的條件
可能是簡單的條件成立 "this.credits == this.debits || this.credits > this.debits"
或者是函數的方式 function() { return obj.credits - obj.debits < 0; }
更甚之 可以使用巢狀式的 $and: [ { price: { $ne: 1.99 } }, { price: { $exists: true } }
而在研究者提出來的 SSJI to RCE 文章中
主要是提到 mongodb 提供了 run() [5] 這個內部使用的函數
這個函數可以被用來執行系統指令
透過一連串的分析之後 run() -> nativeHelper.apply(run_, arguments) -> nativeHelper.apply({"x": 135246144})
最後就可以在 NoSQL 的查詢語法中 執行惡意的 JavaScript
藉由分析 source code [6] 來建立相關的 payload
OWASP [7] 也針對 NoSQL 來提供簡單判斷是否存在 SQL Injection 的方式
除了上面那種透過 nativeHelper 執行惡意 payload 之外
也可以簡單 [8] 地透過上面提到的巢狀指令來做 SQL Injection
[0]: https://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/
[1]: https://zh.wikipedia.org/wiki/NoSQL
[2]: https://en.wikipedia.org/wiki/Relational_database
[3]: https://www.mongodb.org/
[4]: https://docs.mongodb.com/manual/reference/operator/query/where/
[5]: https://docs.mongodb.com/manual/reference/method/run/
[6]: https://github.com/mongodb/mongo
[7]: https://www.owasp.org/index.php/Testing_for_NoSQL_injection
[8]: http://cyrilwang.blogspot.tw/2012/06/nosql-no-injection.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1510668896.A.CBC.html
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章