Académique Documents
Professionnel Documents
Culture Documents
Niveau : RSI 31
TP 03 Attaque SQL Injection
Année universitaire :
2022/2023
Consignes
Si certains exercices n'ont pas pu être terminés dans le cadre de cette séance, il est fortement
conseillé de les terminer par vous-même chez vous ou en salle libre-service.
Objectifs du TP
Outils
Kali linux : une machine virtuelle kali linux crée sous vmware. Login : root, password :
toor
I- Présentation Sqlmap
MySQL ;
Oracle ;
PostgreSQL ;
récupérer la sortie.
sous-requête
Stacked queries : également connues sous le nom de support piggy : sqlmap teste si
l’application Web prend en charge les requêtes empilées, puis, au cas où elle prendrait
HTTP, une chaîne d’instruction SQL synchroniquement valide contenant une requête
secondes.
Si git est installé sur votre machine télécharger le projet avec la commande ci-dessous :
Pour notre cas pratique, nous allons commencer par déterminer l’ensemble des
utilisateurs de la base de données avec la commande :
avec –dbs pour spécifier qu’on veut toute les bases de données
Nous allons ensuite identifier la base de données utilisée actuellement par le site. Pour le
faire nous allons utiliser la commande suivante:
avec –current-db pour spécifier qu’on veut la base de données utilisé actuellement.
Nous allons continuer en identifiant les différentes tables contenues dans cette base de
données grâce à la commande
avec -D pour spécifier la base de données qu’on veut utiliser et –tables pour avoir la liste
des tables.