Inyección SQL Con Sqlmap
Inyección SQL Con Sqlmap
Inyección SQL Con Sqlmap
3 DE ABRIL DE 2014
UNIVERSIDAD DE PAMPLONA
NORTE DE SANTANDER
Contenido
INTRODUCCION .......................................................................................................................... 2
OBJETIVOS .................................................................................................................................. 2
MARCO TEORICO....................................................................................................................... 2
HERRAMIENTAS: ........................................................................................................................ 3
1 INYECCIN SQL EN BAD STORE USANDO SQLMAP .................................................. 4
2 INYECCIN SQL EN UNA PAGINA WEB USANDO SQLMAP ....................................... 7
BIBLIOGRAFA ........................................................................................................................... 12
INTRODUCCION
Una inyeccin SQL es un mtodo de infiltracin de cdigo intruso que se vale de
una vulnerabilidad informtica presente en una aplicacin en el nivel de validacin
de las entradas para realizar consultas a una base de datos.
Para esta prctica utilizramos el sistema operativo DEVIAN OS en el cual
instalaremos una herramienta llamada SQLMAP Y una aplicacin llamada
BASTORE. Lo que haremos es atacar BASTORE de tal manera q podamos
ingresar a las bases de datos y mirar su informacin como las tablas y campos de
estas, por medio de SQLMAP que es la que nos permitir manipular el contenido
de BASTORE.
Por otro lado se har el ataque a una aplicacin web (TESTPHP.VULNWEB.COM)
de manera que se pueda visualizar la base de datos y el contenido de estas,
utilizando SQLMAP
OBJETIVOS
Realizar ataques a la aplicacin TESTPHP.VULNWEB.COM,
observar la base de datos y su contenido.
realizar ataques a la aplicacin BASTORE, observar la base de
datos y su contenido.
MARCO TEORICO
SQLMAP:
Sqlmap es una herramienta desarrollada en Python para realizar inyeccin de
cdigo SQL automticamente. Su objetivo es detectar y aprovechar las
vulnerabilidades de inyeccin SQL en aplicaciones web. Una vez que se detecta
una o ms inyecciones SQL en el host de destino, el usuario puede elegir entre una
variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseas,
los privilegios, las bases de datos, todo el volcado de tablas / columnas especficas
del DBMS, ejecutar su propio SQL SELECT, leer archivos especficos en el sistema
de archivos y mucho ms.
BADSTORE:
Es una aplicacin insegura utilizado para la demostracin, formacin en seguridad
y las pruebas propsitos.
HERRAMIENTAS:
VMWARE WORKSTATION
BADSTORE (pgina web)
SQLMAP (pgina web)
DEVIAN OS
c) Iniciar Debian.
d) Abrimos Navegador Web Iceweasel (lo encontramos en Aplicaciones y
luego en Internet) y donde van las URLS escribimos la IP que averiguamos
en el apartado (b).
b) El siguiente paso ser obtener una url, para ello nos dirigimos a categories
y luego escogemos una categora, en este caso hemos escogido Graffity.
BIBLIOGRAFA
http://www.slideshare.net/Tensor/inyecciones-sql-para-aprendices
http://calebbucker.blogspot.com/2012/06/explotando-vulnerabilidades-de.html
http://redesitmedwin.wikispaces.com/Badstore+y+Virtual+Box