SFX-SQLi automatise une technique rapide d'extraction XML des tables SQL par Injection

Par Xavier Poli, secuobs.com
Le 26/02/2009

---

Résumé : SFX-SQLi est un outil qui permet d'automatiser et d'optimiser une extraction rapide et efficace de l'ensemble des données contenues dans les tables d'une base de données Microsoft SQL Server à l'aide de la boucle FOR XML pour l'instruction SELECT. - Lire l'article



SFX-SQLi (Select For XML SQL injection) est une technique d’injection SQL alternative aux nombreuses autres techniques de cette nature qui existent déjà ( voir notre dossier - lien ) pour exploiter les faiblesses des systèmes de gestion de bases de données comme Oracle, MySQL, PostgreSQL ou bien encore Microsoft SQL Server. Cette technique permet plus particulièrement à un attaquant d’effectuer une extraction rapide et efficace de l’ensemble des informations contenues dans une table spécifique d’une base de données de ce type.

Elle n’est pas nouvelle puisque certains experts ( lien ) l’utilisent déjà depuis plusieurs années et notamment via les fonctions xmltransform ( lien ) et stragg ( lien ) pour extraire le contenu des bases Oracle ( lien ). Elle restait encore peu documentée jusqu’à ce papier ( lien ) de Daniel Kachakil qui s’intéresse ici aux versions 2005/2008 de Microsoft SQL Server ( lien ), 2000 est également concernée mais avec quelques ajustements.

Cette technique est basée sur la clause FOR XML ( lien ) généralement associée à l’instruction déclarative SELECT ( lien ), cette clause étant supportée par Microsoft SQL Server depuis la version 2000. Son intérêt repose sur le fait qu’elle permet de convertir ( lien ) selon différents modes (RAW, AUTO, EXPLICIT, PATH) et via une seul requête l’ensemble du contenu d’une table en une chaîne unique qui pourra être récupérée via l’exploitation d'un champ d’entrée depuis le formulaire d'un site Web vulnérable.

Aucun droit spécifique n’est requis pour que attaque soit un succès. Afin de démontrer la faisabilité de cette technique, une Preuve de Concept ( PoC - lien ) homonyme, SFX-SQLi, a été développée par Daniel Kachakil, elle implémente de façon automatisée et optimisée les étapes nécessaires à l’extraction. Certaines étapes préalables ne peuvent cependant pas être automatisées et impliquent quelques ajustements manuels pour forger les requêtes SQL de type UNION ( lien ) nécessaires à la redirection du contenu des tables vers les réponses à ces requêtes.

Une fois que l’ensemble de ces informations a été recensé, SFX-SQLi peut alors extraire les données des tables de la base ciblée dans des conditions extrêmement performantes. SFX-SQLi est téléchargeable ( lien ) sur le site de l’auteur, comme son code source ( lien ) d'ailleurs. Bien que ses sources soient disponibles, la licence de SFX-SQLi ne permet pas de le modifier pour en effectuer la redistribution et encore moins de l’inclure dans des solutions commercialisées.

L’auteur se déresponsabilise d’ailleurs de toutes dégradations pouvant être occasionnées par les utilisateurs de son outil. A noter finalement que cette technique, utilisée conjointement avec d’autres techniques d’injection SQL, pourrait permettre à un attaquant de récupérer le contenu d’un fichier, comme « boot.ini » par exemple ou autres, en une seule et unique requête SQL d’extraction et cela toujours par l’intermédiaire de Microsoft SQL Server et d’un formulaire vulnérable.

Source : Packet Storm Security Tools ( lien )