* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
Il est possible de **énumérer les utilisateurs de domaine via une injection SQL à l'intérieur d'un serveur MSSQL** en utilisant les fonctions MSSQL suivantes :
* **`SELECT DEFAULT_DOMAIN()`**: Obtenir le nom de domaine actuel. 
* **`master.dbo.fn_varbintohexstr(SUSER_SID('DOMAIN\Administrator'))`**: Si vous connaissez le nom de domaine (_DOMAIN_ dans cet exemple), cette fonction renverra le **SID de l'utilisateur Administrator** au format hexadécimal. Cela ressemblera à `0x01050000000[...]0000f401`, notez comment les **4 derniers octets** sont le nombre **500** en format **big endian**, qui est l'**ID commun de l'utilisateur administrateur**.\
Cette fonction vous permettra de **connaître l'ID du domaine** (tous les octets sauf les 4 derniers).
* **`SUSER_SNAME(0x01050000000[...]0000e803)`** : Cette fonction renverra le **nom d'utilisateur de l'ID indiqué** (le cas échéant), dans ce cas **0000e803** en big endian == **1000** (généralement c'est l'ID du premier utilisateur régulier créé). Ensuite, vous pouvez imaginer que vous pouvez forcer l'ID utilisateur de 1000 à 2000 et probablement obtenir tous les noms d'utilisateur des utilisateurs du domaine. Par exemple en utilisant une fonction comme celle-ci :
Les injections SQL basées sur les erreurs ressemblent généralement à des constructions telles que `+AND+1=@@version--` et des variantes basées sur l'opérateur «OR». Les requêtes contenant de telles expressions sont généralement bloquées par les WAF. Pour contourner cela, concaténez une chaîne en utilisant le caractère %2b avec le résultat d'appels de fonction spécifiques qui déclenchent une erreur de conversion de type de données sur les données recherchées.
`fn_xe_file_target_read_file` is a function in Microsoft SQL Server that reads the contents of a file from the file system. This function is used by the Extended Events feature to read the contents of an event file.
An attacker can use this function to read arbitrary files from the file system of the server where the MSSQL instance is running. This can lead to sensitive information disclosure, such as credentials, configuration files, and other sensitive data.
To exploit this vulnerability, an attacker needs to have the `VIEW SERVER STATE` permission. This permission is granted by default to members of the `sysadmin` and `serveradmin` roles.
The following query can be used to read the contents of a file:
To mitigate this vulnerability, restrict the `VIEW SERVER STATE` permission to only trusted users. Additionally, limit the file system permissions of the MSSQL service account to only the necessary files and directories.
### `fn_get_audit_file` est une fonction intégrée de Microsoft SQL Server qui permet de récupérer des informations d'audit. Cette fonction peut être utilisée pour extraire des données sensibles telles que des noms d'utilisateur, des adresses IP et des requêtes SQL. Les attaquants peuvent exploiter cette fonction pour extraire des informations confidentielles de la base de données. Il est important de s'assurer que les autorisations d'accès à cette fonction sont correctement configurées pour éviter toute fuite de données.
La fonction `fn_trace_gettable` est une fonctionnalité de Microsoft SQL Server qui permet de récupérer les données de traçage stockées dans un fichier de trace. Cette fonction peut être utilisée pour extraire des informations sensibles telles que des noms d'utilisateur, des mots de passe et d'autres données confidentielles stockées dans les fichiers de trace. Les attaquants peuvent exploiter cette vulnérabilité en injectant du code malveillant dans les fichiers de trace pour récupérer des informations sensibles. Il est donc important de sécuriser les fichiers de trace en limitant l'accès aux utilisateurs autorisés et en supprimant les fichiers de trace obsolètes.
Les méthodes les plus courantes pour effectuer un appel réseau que vous rencontrerez en utilisant MSSQL sont l'utilisation de la procédure stockée `xp_dirtree`, qui est curieusement non documentée par Microsoft, ce qui a conduit à sa [documentation par d'autres personnes sur Internet](https://www.baronsoftware.com/Blog/sql-stored-procedures-get-folder-files/). Cette méthode a été utilisée dans [de multiples exemples](https://www.notsosecure.com/oob-exploitation-cheatsheet/) d'exfiltration de données hors bande et de publications sur l'exploitation hors bande de [SQL Injection](https://gracefulsecurity.com/sql-injection-out-of-band-exploitation/) sur Internet.
Tout comme `LOAD_FILE` de MySQL, vous pouvez utiliser `xp_dirtree` pour effectuer une demande réseau vers **uniquement le port TCP 445**. Vous ne pouvez pas contrôler le numéro de port, mais vous pouvez lire des informations à partir de partages réseau.
**PS:** Cela ne fonctionne pas sur `Microsoft SQL Server 2019 (RTM) - 15.0.2000.5 (X64)` exécuté sur un `Windows Server 2016 Datacenter` dans la configuration par défaut.
Il existe **d'autres** procédures stockées comme [**`master..xp_fileexist`**](https://social.technet.microsoft.com/wiki/contents/articles/40107.xp-fileexist-and-its-alternate.aspx) ou **`xp_subdirs`** qui peuvent être utilisées pour des résultats similaires.
Évidemment, vous pouvez également utiliser **`xp_cmdshell`** pour **exécuter** quelque chose qui déclenche un **SSRF**. Pour plus d'informations, **lisez la section pertinente** de la page :
Il est assez simple d'écrire une **UDF CLR** (Fonction utilisateur définie par Common Language Runtime - code écrit avec l'un des langages **.NET** et compilé en tant que **DLL**) et de **la charger dans MSSQL pour des fonctions personnalisées**. Cependant, cela **nécessite un accès `dbo`** et peut ne pas fonctionner à moins que la connexion de l'application Web à la base de données **soit en tant que `sa` ou un rôle d'administrateur**.
[Ce dépôt Github contient le projet Visual Studio et les instructions d'installation](https://github.com/infiniteloopltd/SQLHttp) pour charger le binaire dans MSSQL en tant qu'assembly CLR et ensuite invoquer des requêtes GET HTTP depuis MSSQL.
[Le code `http.cs` utilise la classe `WebClient` pour effectuer une requête GET et récupérer le contenu](https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/) tel que spécifié.
Dans les instructions d'installation, exécutez ce qui suit avant la requête `CREATE ASSEMBLY` pour ajouter le hachage SHA512 de l'assembly à la liste des assemblies de confiance sur le serveur (vous pouvez voir la liste en utilisant `select * from sys.trusted_assemblies;`)
Il existe deux façons simples de récupérer l'intégralité du contenu d'une table en une seule requête - l'utilisation de la clause FOR XML ou FOR JSON. La clause FOR XML nécessite un mode spécifié tel que «raw», donc en termes de brièveté FOR JSON est plus performant.
Les vecteurs basés sur les erreurs nécessitent un alias ou un nom, car la sortie des expressions sans l'un ou l'autre ne peut pas être formatée en JSON.
**Permissions:** Si l'utilisateur dispose de l'autorisation VIEW SERVER STATE sur le serveur, il verra toutes les sessions en cours d'exécution sur l'instance de SQL Server ; sinon, il ne verra que la session en cours.
Lorsque vous effectuez une injection SQL dans une requête qui utilise l'opérateur UNION, vous pouvez utiliser des notations scientifiques ou hexadécimales pour obfusquer le mot clé UNION et éviter ainsi la détection par les filtres de sécurité.
* Travaillez-vous dans une entreprise de **cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
