Hibernate框架中的HQL注入漏洞



Hibernate是一种ORMapping框架，内部可以使用原生SQL还有HQL语言进行SQL操作。

所谓的HQL注入，就是指在Hibernate中没有对数据进行有效的验证导致恶意数据进入应用程序中造成的。

请看这段代码：

Input参数即可造成注入。

不过在Hibernate中，一般都是在createQuery中使用PDO，使用setString填充占位符进行sql语句的拼接，如果是这样的话，自然就不存在SQL注入，但是不排除有人像上面的图片中的写法。

正常情况下：

Sqlin参数存在注入漏洞，于是：

由于Hibernate的HQL中，大多数情况下不支持union，更不支持数据库的meta data的查询，所以如何弄清楚实体名称和列名称才能继续提取有用的数据，遗憾的是，没有找到一种方法爆出当前的列名。

看了http://blog.h3xstream.com/2014/02/hql-for-pentesters.html， 上面说提交一个不存在的列名即可，但是本地测试没有成功，目测是try-catch了事物提交，然后e.getSql()方法。

比如，源码中进行错误处理，输出了e.getSQL()以及e.getXSQLException()，结果就和上面老外说的trick一样了：

不过我认为这样的“友好”错误存在的几率很小。

目前来看，HQL注入除了万能密码、知道表名列名的情况下进行盲注外，我没有想到比较好的方法来进行漏洞利用，个人认为Hibernate中的注入比较鸡肋。