2017.W46 - No SQL Injection in No SQL ? - 資安

By Catherine
at 2017-11-14T22:14

Table of Contents

2017.W46 - No SQL Injection in No SQL?
> 雖然 No-SQL 已死(?) 但這問題還蠻有趣的

## 前言 ##
最近在查資料突然看到一篇文章[0]

提到 mongo DB 的 SSJI (Server-Side JavaScript Injection) 進而 RCE 攻擊

也順便學一下 NoSQL 的一些語法跟概念

## 內容 ##
NoSQL [1] 是一種不同於傳統關聯式資料庫[2] 的一種資料儲存型態

跟一般 DB 相較起來更強調 Key-Value 形式的資料儲存

在大量資料的狀況下更可以平行處理

以 mongo DB[3] 為例他提供多種類似 SQL 的語法[4]

像是 $where 後面就可以接 NoSQL 語法的條件

可能是簡單的條件成立 "this.credits == this.debits || this.credits > this.debits"

或者是函數的方式 function() { return obj.credits - obj.debits < 0; }

更甚之可以使用巢狀式的 $and: [ { price: { $ne: 1.99 } }, { price: { $exists: true } }

而在研究者提出來的 SSJI to RCE 文章中

主要是提到 mongodb 提供了 run() [5] 這個內部使用的函數

這個函數可以被用來執行系統指令

透過一連串的分析之後 run() -> nativeHelper.apply(run_, arguments) -> nativeHelper.apply({"x": 135246144})

最後就可以在 NoSQL 的查詢語法中執行惡意的 JavaScript

藉由分析 source code [6] 來建立相關的 payload

OWASP [7] 也針對 NoSQL 來提供簡單判斷是否存在 SQL Injection 的方式

除了上面那種透過 nativeHelper 執行惡意 payload 之外

也可以簡單 [8] 地透過上面提到的巢狀指令來做 SQL Injection

[0]: https://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/
[1]: https://zh.wikipedia.org/wiki/NoSQL
[2]: https://en.wikipedia.org/wiki/Relational_database
[3]: https://www.mongodb.org/
[4]: https://docs.mongodb.com/manual/reference/operator/query/where/
[5]: https://docs.mongodb.com/manual/reference/method/run/
[6]: https://github.com/mongodb/mongo
[7]: https://www.owasp.org/index.php/Testing_for_NoSQL_injection
[8]: http://cyrilwang.blogspot.tw/2012/06/nosql-no-injection.html

--

Tags: 資安