MoocHackingMU – Unidad 2 – Tarea 2 – SQL injection

En esta segunda tarea de la unidad 2, hay que meterle mano al SQL injection, es una técnica donde un atacante crea o altera comandos SQL existentes para exponer datos ocultos, sobrescribir los valiosos, o peor aún, ejecutar comandos peligrosos a nivel de sistema en el equipo que hospeda la base de datos. Esto se logra a través de la práctica de tomar la entrada del usuario y combinarla con parámetros estáticos para elaborar una consulta SQL.

Para eso atacamos una maquina virtual con DVWA.

mooc_sql

Primero es importante que cambien la configuración de red de la Maquina virtual, para que cuando la arranques tengas una dirección IP automática.

Esto lo puedes hacer desde el VirtualBox en la configuración de la Maquina Virtual.(VM – Virtual Machine), dentro del apartado red.

Asegurate de tener Marcado el Adaptador Puente, y en nombre tu tarjeta de red. (puede que tengas 2, la de Cable RJ45, o la tarjeta de red WIFI), selecciona con la que estés conectado a internet. (en mi caso la tarjeta de red WIFI.

red_vm

Sobre esta maquina virtual hacemos una serie de cambios, a través del interfaz web http://direccionIP/login.php

Lo importante en este caso era seguir los pasos de las tareas 7, 8 , 9 de esta pagina web, para ir haciendo pruebas y algunos ejemplos de como acceder a tablas, campos y datos de la base de datos.

sql(Uppss Pista para el Enigma…..)

Una vez que hayas hecho los ejemplos, podrás hacer el enigma sin mucha complicación (es mas fácil de lo que imaginas), cuando se pase la fecha publicare como resolver el enigma (la entrada en blog ya esta lista, solo falta publicarla, jejeje)

Personalmente tengo pendiente leer el libro de la editorial 0xword, sobre Hacking de Aplicaciones Web: SQL Injection. 2ª Edición, pero por si os interesa saber mas sobre este tema, creo que merecerá la pena.

Alfonso López

Alfonso López

Instagram

MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

También te podría gustar...

1 respuesta

  1. 9 Octubre, 2015

    […] En el articulo del SQL injection, se hace pruebas para sacar información de otras tablas, así que lo que se necesita es cambiar la instrucción para que apunte a la tabla que queremos. […]

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies