Différences

Ci-dessous, les différences entre deux révisions de la page.

--- cyber:outils:sqlmap [2025/06/27 14:41] – [Cas d'utilisation] admin
+++ cyber:outils:sqlmap [2025/06/27 14:45] (Version actuelle) – [Manuel des options principales] admin
@@ Ligne 124: / Ligne 124: @@
 </code>
+===== Exemple d'exploitation ou d'utilisation =====
+Supposons que vous soyez chargé de tester la sécurité d'un site web e-commerce, et que vous ayez découvert une vulnérabilité d'injection SQL potentielle dans le formulaire de recherche du site. Vous souhaitez utiliser SQLmap pour exploiter cette vulnérabilité et extraire des données sensibles de la base de données du site.
+Voici les étapes du chemin d'exploitation :
+  * **1 - Identification de la vulnérabilité** : vous avez identifié un point d'entrée potentiel pour une injection SQL dans le champ de recherche du site.
+  * **2 - Lancement de l'analyse** : vous lancez SQLmap pour analyser le formulaire de recherche et le paramètre associé afin de découvrir de potentielles vulnérabilités dans celui-ci. Vous utilisez l'option "-u" pour spécifier l'URL du site :
+<code class="bash">
+sqlmap -u "https://www.example.com/search?q=test"
+</code>
+  * **3 - Détection de la vulnérabilité** : SQLmap identifie une vulnérabilité grâce à une des injections SQL dans le formulaire de recherche et affiche les résultats avec le type de vulnérabilité trouvé.
+  * **4 - Extraction de données** : vous utilisez SQLmap pour afficher la liste des bases de données disponibles sur le serveur en question :
+<code class="bash">
+sqlmap -u "https://www.example.com/search?q=test" --dbs
+</code>
+  * **5 - Sélection de la base de données** : vous sélectionnez la base de données que vous souhaitez explorer parmi celles détectées par SQLmap.
+  * **6 - Lister les tables** : vous sélectionnez la ou les table(s) de la base de données que vous avez précédemment sélectionnée :
+<code class="bash">
+sqlmap -u "https://www.example.com/search?q=test" -D database_name --tables
+</code>
+  * **7 - Extraction des données de table** : vous procédez à l'extraction des données à partir d'une table spécifique. Vous pouvez extraire des informations clients depuis la table "clients" par exemple :
+<code class="bash">
+sqlmap -u "https://www.example.com/search?q=test" -D database_name -T clients --dump
+</code>
+  * **8 - {{Analyse des données** : vous pouvez ainsi analyser les données extraites afin d'identifier des informations sensibles, telles que les informations de paiement des clients.
+===== References =====
+URL :
+  * https://github.com/sqlmapproject/sqlmap/wiki/Usage
+  * https://book.hacktricks.xyz/pentesting-web/sql-injection/sqlmap
 ====== Retour fiches outils ======
   * [[cyber:outils:accueil|Cyber fiches outils]]