Download - INYECCION SQL
-
INTRODUCCION
Una inyeccin SQL es un mtodo de infiltracin de cdigo intruso que se vale de una vulnerabilidad
informtica presente en una aplicacin en el nivel de validacin de las entradas para realizar
consultas a una base de datos.
Para esta prctica utilizramos el sistema operativo DEVIAN OS en el cual instalaremos una
herramienta llamada SQLMAP Y una aplicacin llamada BADSTORE. Lo que haremos es atacar
BASTORE de tal manera q podamos ingresar a las bases de datos y mirar su informacin como las
tablas y campos de estas, por medio de SQLMAP que es la que nos permitir manipular el contenido
de BASTORE.
Objetivo General
Realizar un ataque a la base de datos de badstore.
Objetivo Especfico:
Hacer uso de SQLMAP para realizar el ataque a la base de datos y manipular su informacin.
MARCO TEORICO
SQLMAP:
Es una herramienta desarrollada en Python para realizar inyeccin de cdigo SQL automticamente.
Su objetivo es detectar y aprovechar las vulnerabilidades de inyeccin SQL en aplicaciones web. Una
vez que se detecta una o ms inyecciones SQL en el host de destino, el usuario puede elegir entre
una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseas, los
privilegios, las bases de datos, todo el volcado de tablas / columnas especficas del DBMS, ejecutar
su propio SQL SELECT, leer archivos especficos en el sistema de archivos y mucho ms.
BADSTORE:
Es una aplicacin insegura utilizado para la demostracin, formacin en seguridad y las pruebas
propsitos.
Ha sido desarrollado para ilustrar las vulnerabilidades comunes presentes en muchas aplicaciones
expuestas a intranets, extranets e internets.
BADSTORE es un live CD con trinux, que ocupa nicamente 10 MB. No pide apenas recursos para
arrancar de (64 MB de ram).
Simula una tienda virtual vulnerable, a la que podremos hacer todo tipo de ataques.
HERRAMIENTAS:
VMWARE WORKSTATION
BADSTORE
SQLMAP
DEVIAN OS
-
INYECCIN SQL EN BADSTORE USANDO SQLMAP
En este caso usaremos dos mquinas virtuales:
Badstore
Deban OS
Iniciamos badstore y con el comando ifconfig averiguamos la ip.
-
Iniciamos deban aplicaciones internet navegador web lceweasel
Digitamos la direccin ip que nos dio el badstore: 192.168.218.132
Ahora necesitaremos generar la URL que usaremos para la inyeccin sql. Para ello
necesitaremos introducir en la bsqueda hi y oprimimos el icono de la lupa.
-
Descargamos el archivo sqlmapproject-sqlmap-0.9-4124-ge8f87bf.tar y lo
descomprimimos en: carpeta personal de deban
Abrimos una terminal aplicaciones accesorios -- terminal
-
Identificamos el gestor de la base de datos y el servidor.
Mostramos las bases de datos.
-
Mostramos las tablas de la base de datos badstoredb.
Mostramos las columnas de la tabla itemdb
-
Mostramos el contenido de la columna itemnum de la tabla itemdb.
-
BIBLIOGRAFA
http://www.slideshare.net/Tensor/inyecciones-sql-para-aprendices
http://calebbucker.blogspot.com/2012/06/explotando-vulnerabilidades-de.html
-
http://redesitmedwin.wikispaces.com/Badstore+y+Virtual+Box