MoocHackingMU – Unidad 2 – Tarea 2 – SQL injection

En esta segunda tarea de la unidad 2, hay que meterle mano al SQL injection, es una técnica donde un atacante crea o altera comandos SQL existentes para exponer datos ocultos, sobrescribir los valiosos, o peor aún, ejecutar comandos peligrosos a nivel de sistema en el equipo que hospeda la base de datos. Esto se logra a través de la práctica de tomar la entrada del usuario y combinarla con parámetros estáticos para elaborar una consulta SQL.

Para eso atacamos una maquina virtual con DVWA.

mooc_sql

Primero es importante que cambien la configuración de red de la Maquina virtual, para que cuando la arranques tengas una dirección IP automática.

Esto lo puedes hacer desde el VirtualBox en la configuración de la Maquina Virtual.(VM – Virtual Machine), dentro del apartado red.

Asegurate de tener Marcado el Adaptador Puente, y en nombre tu tarjeta de red. (puede que tengas 2, la de Cable RJ45, o la tarjeta de red WIFI), selecciona con la que estés conectado a internet. (en mi caso la tarjeta de red WIFI.

red_vm

Sobre esta maquina virtual hacemos una serie de cambios, a través del interfaz web http://direccionIP/login.php

Lo importante en este caso era seguir los pasos de las tareas 7, 8 , 9 de esta pagina web, para ir haciendo pruebas y algunos ejemplos de como acceder a tablas, campos y datos de la base de datos.

sql(Uppss Pista para el Enigma…..)

Una vez que hayas hecho los ejemplos, podrás hacer el enigma sin mucha complicación (es mas fácil de lo que imaginas), cuando se pase la fecha publicare como resolver el enigma (la entrada en blog ya esta lista, solo falta publicarla, jejeje)

Personalmente tengo pendiente leer el libro de la editorial 0xword, sobre Hacking de Aplicaciones Web: SQL Injection. 2ª Edición, pero por si os interesa saber mas sobre este tema, creo que merecerá la pena.

Alfonso López

Alfonso López

Instagram

Curso Superior Universitario en Auditoría y Seguridad Informática
Certified Information Security Manager.
MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

Latest posts by Alfonso López (see all)

1 respuesta

  1. 9 octubre, 2015

    […] En el articulo del SQL injection, se hace pruebas para sacar información de otras tablas, así que lo que se necesita es cambiar la instrucción para que apunte a la tabla que queremos. […]

Animate a Comentar

Centro de preferencias de privacidad

Cookies de rendimiento

Este tipo de Cookie recuerda sus preferencias para las herramientas que se encuentran en los servicios, por lo que no tiene que volver a configurar el servicio cada vez que usted visita.
Se usan para almacenar tu nombre, correo, IP y demás datos que dejas en los formularios de comentarios, contacto, acceso y tus preferencias de privacidad.

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, comment_author, comment_author_email, comment_author_url, rated, gdpr, gawdp

Cookies de terceros

Usamos cookies de terceros en las que se almacenan externamente para conocer tus usos de navegación, si ya estás suscrito al boletín y los elementos compartidos en redes sociales

cfduit_, intercom-id, intercom-lou, mailerlite:language, mailerlite:webform, _ga, _gid
_ga, _gid

¿Quieres cerrar tu cuenta?

Se cerrará tu cuenta y todos los datos se borrarán de manera permanente y no se podrán recuperar ¿Estás seguro?