2017.W46 - No SQL Injection in No SQL?
> 虽然 No-SQL 已死(?) 但这问题还蛮有趣的
## 前言 ##
最近在查资料 突然看到一篇文章[0]
提到 mongo DB 的 SSJI (Server-Side JavaScript Injection) 进而 RCE 攻击
也顺便学一下 NoSQL 的一些语法跟概念
## 内容 ##
NoSQL [1] 是一种不同于传统关联式数据库[2] 的一种资料储存型态
跟一般 DB 相较起来 更强调 Key-Value 形式的资料储存
在大量资料的状况下更可以平行处理
以 mongo DB[3] 为例 他提供多种类似 SQL 的语法[4]
像是 $where 后面就可以接 NoSQL 语法的条件
可能是简单的条件成立 "this.credits == this.debits || this.credits > this.debits"
或者是函数的方式 function() { return obj.credits - obj.debits < 0; }
更甚之 可以使用巢状式的 $and: [ { price: { $ne: 1.99 } }, { price: { $exists: true } }
而在研究者提出来的 SSJI to RCE 文章中
主要是提到 mongodb 提供了 run() [5] 这个内部使用的函数
这个函数可以被用来执行系统指令
透过一连串的分析之后 run() -> nativeHelper.apply(run_, arguments) -> nativeHelper.apply({"x": 135246144})
最后就可以在 NoSQL 的查询语法中 执行恶意的 JavaScript
借由分析 source code [6] 来建立相关的 payload
OWASP [7] 也针对 NoSQL 来提供简单判断是否存在 SQL Injection 的方式
除了上面那种透过 nativeHelper 执行恶意 payload 之外
也可以简单 [8] 地透过上面提到的巢状指令来做 SQL Injection
[0]: https://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/
[1]: https://zh.wikipedia.org/wiki/NoSQL
[2]: https://en.wikipedia.org/wiki/Relational_database
[3]: https://www.mongodb.org/
[4]: https://docs.mongodb.com/manual/reference/operator/query/where/
[5]: https://docs.mongodb.com/manual/reference/method/run/
[6]: https://github.com/mongodb/mongo
[7]: https://www.owasp.org/index.php/Testing_for_NoSQL_injection
[8]: http://cyrilwang.blogspot.tw/2012/06/nosql-no-injection.html