Subido pordavidalbanc
PPTX, PDF242 vistas

Aprendiz unad

Este documento presenta información sobre herramientas de seguridad en base de datos como VirtualBox, Badstore, SQLmap y Wireshark. Explica cómo instalar estas herramientas y realizar tareas como capturar paquetes de red, analizar tráfico DNS, e identificar solicitudes HTTP. Concluye que la práctica permitió conocer la funcionalidad y uso de estos programas de análisis de tráfico de red.

Incrustar presentación

Descargar para leer sin conexión
SEGURIDAD EN BASE DE DATOS PRESENTADO POR: DAVID ALEJANDRO ALBAN CRUZ C.C.1.143.827.466 FORO MOMENTO 2 GRUPAL UNIVERSIDAD NACIONAL ABIERTA A DISTANCIA – UNAD CIENCIAS BASICAS TECNOLOGÍA EN INGENIERIA EL BORDO, CAUCA 2014
INSTALACION DE VIRTUAL BOEXJETURAR SIGUIENTE NEXT SI INSTALAR LA INSTALACIÓN HA SIDO UN ÉXITO INSTALAND O VIRTUAL BOX
DENTRO DE LA MAQUINA VIRTUAL DAMOS CLIC EN NUEVO E INGRESAMOS LOS DATOS DE BADSTORE ENSEGUIDAD TE PIDE CONFIRMACION DE LA MEMORIA RAM EN ESTE CASO DE 128 MB PARA EL SERVIDOR
USAMOS UN DISCO DURO VIRTUAL DE ARANQUE EN LA MAQUINA VIRTUAL PUEDE CREAR UN NUEVO DISCO DURO O SELECCIONAR UNA LISTA DESPLEGABLE SI NESESITAS UN DISCO DURO CON MAYOR CAPACIDAD PUEDES OMITIR EL PASO EN LA SIGUIENTE OPCION DEVES ELEGIR DINAMICA EN ESTA OPCION NOS DEJA VER EL TAMAÑO QUE SE UTILIZARA EN NUESTRO DISCO DURO DENTRO LA MAQUINA VIRTUAL 50 MB CABE DESTACAR QUE ISO PESA 12MB ENSEGUIDA NEXT, LUEGO T ENEMOS QUE DARLE LA UBICACIÓN DE BADSTORE.ISO Y FINALIZIR PARA DAR INICIO CERRAR PARA QUE LA RED SEA MAS SEGURA NO DIRIGUIMOS A CONFIGURACIÓN/RED Y SELECONAMOS ASI: ACEPTA R
CUANDO LE DAMOS CLICK EN INICIAR ENPIEZA EL PROCESO DE INSTALACION DE BADSTORE SE MANEJA CONFIGURACION DHCP UNA VEZ TERMINE LA INSTALACION NOS MUESTRA LA CONSOLA DE NUESTRO SERVIDOR LUEGO LE DAMOS ENTER Y DIGITAMOS IPCONFIG
EL PROGRAMA SQLMAP SIRVE PARA REALIZAR ATAQUE POR INYECCIÓN DE CÓDIGO SQL SE INSTALA DE LA SIGUIENTE MANERA ABRIMO VIRTUAL BOX DEBEMOS TENER UN SISTEMA OPERATIVO INSTALADO EN LA MAQUNA UBUNTU ABRIMOS EL TERMINAL DE UBUNTU PARA INCIAR LA INSTALACION DIGITAMOS: SUDO -SH
CD /OPT APT-GET INSTALL GIT GIT CLONE GIF:// GITHUB.COM/SQLMAPPROJECT /SQL/SQLMAP.GIT DE ESTA MANERA HEMOS INGRESADO AL PROGRAMA SQLMAP
TO RUN IT ---- SUDO -SH ------- CD/OTP ----------- PYTHON SQLMAP. PY SQLMAP ES UNA HERRAMIENTA DE PRUEBAS DE PENETRACIÓN DE CÓDIGO ABIERTO QUE AUTOMATIZA EL PROCESO DE DETECTAR Y EXPLOTAR LOS ERRORES DE INYECCIÓN SQL Y HACERSE CARGO DE LOS SERVIDORES DE BASES DE DATOS. VIENE CON UN POTENTE MOTOR DE DETECCIÓN, MUCHAS CARACTERÍSTICAS DE NICHO PARA EL PROBADOR DE PENETRACIÓN MÁXIMA Y UNA AMPLIA GAMA DE INTERRUPTORES DE DURACIÓN DE LAS HUELLAS DACTILARES DE BASE DE DATOS, MÁS DE CAPTACIÓN DE DATOS DE LA BASE DE DATOS, PARA ACCEDER AL SISTEMA DE ARCHIVOS SUBYACENTE Y EJECUTAR COMANDOS EN EL SISTEMA OPERATIVO A TRAVÉS DE RESULTADOS DE BANDA CONEXIONES. SQL INJECTION ES UNA TÉCNICA DE ATAQUE A PAGINAS O APLICACIONES, QUE INTENTA INYECTAR CÓDIGO SQLDENTRO DE LA APLICACIÓN DESTINO, PARA ROMPER O ACCEDER A INFORMACIÓN. POR EJEMPLO CUANDO UNA WEB TIENE UN ÁREA DE INGRESO DE USUARIO O LOGIN USUALMENTE EL DESARROLLADOR PARA VALIDARLO, HACE LO SIGUIENTE: SELECT * FROM Users WHERE Username='usuario' AND Password='contraseña‘ SI LAS VARIABLES USUARIO Y CONTRASEÑA SE TOMAN DIRECTAMENTE DE EL FORMULARIO SIN NINGÚN TIPO DE ESCAPE DE CARACTERES Y SE INGRESAN EN LA CONSULTA, PODRÍAMOS HACER QUE EL USUARIO Y CONTRASEÑA TENGAN COMO VALOR ‘1’ OR ‘1’ = ‘1’. SELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1′'= '1'
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB CONSISTE EN LA INSERCIÓN DE CÓDIGO SQL POR MEDIO DE LOS DATOS DE ENTRADA DESDE LA PARTE DEL CLIENTE HACIA LA APLICACIÓN. ES DECIR, POR MEDIO DE LA INSERCIÓN DE ESTE CÓDIGO EL ATACANTE PUEDE MODIFICAR LAS CONSULTAR ORIGINALES QUE DEBE REALIZAR LA APLICACIÓN Y EJECUTAR OTRAS TOTALMENTE DISTINTAS CON LA INTENCIÓN DE ACCEDER A LA HERRAMIENTA, OBTENER INFORMACIÓN DE ALGUNA DE LAS TABLAS O BORRAR LOS DATOS ALMACENADOS, ENTRE OTRAS MUCHAS COSAS A REALIIZAR EL LOGIN Y ENTRA AL SISTEMA DE INFORMACION SE ENVIA LA INFORMACION A UNA SENTENCIA SQL QUE SERÁ EJECUTADA CONTRA LA BASE DE DATOS DE LA APLICACIÓN EJM: • $sql = SELECT * FROM usuarios WHERE usuario = ‘$usuario’ and password = ‘$pass’; DIGAMOS QUE USUARIO: DavidAlbanc ---- CONTRASEÑA: Dav123 • $sql = SELECT * FROM usuarios WHERE usuario = ‘DavidAlbanc’ and password = ’Dan123′; COMO RESPUESTA DARA • $sql= SELECT * FROM usuarios WHERE usuario =
INFORMACION GENERAL DE LA BASE DE DATOS DATABASE "C:ARCHIVOS DE PROGRAMAFIREBIRDFIREBIRD_1_5HTTP://WWW.INPEC.GOV.CO:7777/SSO/JSP/LOGIN.JSP?SI TE2PSTORETOKEN", USER: SYSDBA SQL> NOMBRE DB TABLAS DE LA BD DESPCION DE LA BD • MYSQL> SELECT DATABASE(); +---------- --+ | DATABASE() | +---------- --+ | INPEC | • MYSQL> SHOW TABLES; • mysql> DESCRIBE pet; +---------+-------------+------+-----+--------- | Field | Type | Null | Key | Default | Extra | +---------+-------------+------+-----+--------- | name | varchar(20) | YES | | NULL | | | owner | varchar(20) | YES | | NULL | | | species | varchar(20) | YES | | NULL | | | sex | char(1) | YES | | NULL | | | birth | date | YES | | NULL | | | death | date | YES | | NULL | | +---------+-------------+------+-----+--------- +---------------------+ | TABLE DEL INPEC | +---------------------+ | EVENT | | PET |  CUAL ES SU SERVIDOR DE BASE DE DATOS MYSQL $DATABASE_HOST = "LOCALHOST";  CUAL ES EL NOMBRE DE LA BASE DE DATOS QUE ESTÁ USANDO $DATABASE_NAME = “INPEC DB";  CUAL ES EL NOMBRE DE USUARIO QUE ACCEDE A ESA BASE DE DATOS? $DATABASE_USER = “INPEC";  Y LA PALABRA CLAVE QUE USARÁ $DATABASE_PASSWORD = ‘INPEC123';
EL SOFTWARE WIRESHARK WIRESHARK POSEE UNA INTERFAZ GRÁFICA, LA CUAL FACILITA MUCHO SU USO, AUNQUE TAMBIÉN DISPONEMOS DE UNA VERSIÓN EN MODO TEXTO LLAMADA TSHARK. SELECCIONAREMOS LA INTERFAZ EN LA QUE QUERAMOS CAPTURAR. EN MI CASO ES WLAN0 SE CAPTURA MUCHO PAQUETES Y SE MANDA EL BROADCAST CADA 31 SEGUNDOS FILTRANDO POR DNS ESTAS PETICIONES LAS PODEMOS CONOCER APLICANDO EL FILTRO “HTTP.REQUEST“. DE ESTE MODO, PODREMOS CONOCER TODOS LOS GET Y POST QUE HAYAN SIDO REALIZADOS DURANTE LA CAPTURA.
CONCLUSION EN ESTA PRACTICA SE CONOCIÓ LA FUNCIONALIDAD E UTILIZACIÓN DE LOS PROGRAMAS QUE ANALIZAN EL TRAFICO DE LA RED: VIRTUAL BOX, BADSTORE, SQLMAP, WIRESHARK DONDE SE DOCUMENTO EN INTERNET ACERCA DEL MANEJO DE LOS SOFTWARE DONDE SE OBSERVARON LA CAPTURA DE LOS PAQUETES RESPECTIVOS Y ANALIZANDO OTRAS FUNCIONALIDADES APARTIR DE LA DOCUMENTACIÓN Y EL MANEJO DE LA HERRAMIENTA EN ESTA PRACTICA SE EVIDENCIO CON ILUSTRACIONES LAS CUALES DEMOSTRABAN LA FUNCIONALIDADES BÁSICAS COMO CAPTURA Y ANÁLISIS DE LOS PAQUETES EN SUS RESPECTIVOS APLICATIVOS SOLICITADO EN LA GUIA

Más contenido relacionado

DOCX
Esquemas de seguridad para el servidor
porAlberto Arredondo Infante
 
PPT
VPN en TMG reglas
porPercy Quintanilla
 
PPTX
Sistemas rourter tp link
porAndrés Regalado Zúñiga
 
PPTX
TMG CONFIGURACIÓN DE CLIENTE VPN
porSaul Curitomay
 
PDF
Vpn en forefront tmg 2010
porAndres Ldño
 
PDF
Suse samba pdc_ldap
porAlberto Mayo Vega
 
PDF
Encriptación asimétrica con GPG en Ubuntu
porTotus Muertos
 
PDF
Manual de instalacion de Servicio de archivos
porAndres Ldño
 
Esquemas de seguridad para el servidor
porAlberto Arredondo Infante
 
VPN en TMG reglas
porPercy Quintanilla
 
Sistemas rourter tp link
porAndrés Regalado Zúñiga
 
TMG CONFIGURACIÓN DE CLIENTE VPN
porSaul Curitomay
 
Vpn en forefront tmg 2010
porAndres Ldño
 
Suse samba pdc_ldap
porAlberto Mayo Vega
 
Encriptación asimétrica con GPG en Ubuntu
porTotus Muertos
 
Manual de instalacion de Servicio de archivos
porAndres Ldño
 

Destacado

PPTX
Dons e ministérios
porCristiane Lino Bucar
 
PPT
Seguridad en base de datos
pordavidalbanc
 
PPTX
Aprendiz unad
pordavidalbanc
 
PPTX
Presentación1
pordavidalbanc
 
PPTX
SEGURIDAD EN REDES
pordavidalbanc
 
PPTX
Sexual harassment
porCatherineRincon
 
PPTX
Sexual harassment
porCatherineRincon
 
PPTX
Sexual harassment
porCatherineRincon
 
PPTX
Sexual harassment
porCatherineRincon
 
PPT
Arzu instruction
porArzu Canalan
 
PPTX
Lana del ray analysis A2
porZoe Franklin
 
DOC
Ki kdklsviii-submitted22 april2013
poratika90
 
PDF
Cara posting-mitra-faliang
porMuhamad Anam
 
DOCX
What is brain gate
porsaxenaagransh
 
PPTX
Low budget video analysis
porZoe Franklin
 
Dons e ministérios
porCristiane Lino Bucar
 
Seguridad en base de datos
pordavidalbanc
 
Aprendiz unad
pordavidalbanc
 
Presentación1
pordavidalbanc
 
SEGURIDAD EN REDES
pordavidalbanc
 
Sexual harassment
porCatherineRincon
 
Sexual harassment
porCatherineRincon
 
Sexual harassment
porCatherineRincon
 
Sexual harassment
porCatherineRincon
 
Arzu instruction
porArzu Canalan
 
Lana del ray analysis A2
porZoe Franklin
 
Ki kdklsviii-submitted22 april2013
poratika90
 
Cara posting-mitra-faliang
porMuhamad Anam
 
What is brain gate
porsaxenaagransh
 
Low budget video analysis
porZoe Franklin
 

Similar a Aprendiz unad

PDF
Inyecciones sql para todos
porcsaralg
 
PDF
Ataque por inyección de código sql y sniffing
porMagda Mayery Baquero Cardona
 
PDF
Ataques a-bases-de-datos
porJuvenal Hernandez
 
PPTX
Mejores prácticas desarrollo de base de datos
porEduardo Castro
 
PDF
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
porFrancisco Medina
 
PPTX
Practica 1 seguridad en bases de datos
porCarlos Otero
 
PPT
Ponencia sql avanzado y automatizado
porn3xasec
 
PPTX
Inyecciones sql para aprendices
porTensor
 
PPTX
Ataque sql web
porkateqr
 
PDF
Investigacion formativa 4 (trabajo grupal)proyecto base de datos
porCesar Pedro Quiñones Roque
 
PPTX
Ataque inyeccion sql
porDaniel L.
 
DOCX
Articulo ieee ataque_i
poralexander valencia valderrama
 
PPTX
Ataques a bases de datos
porFernando Hernandez
 
PDF
Ataques a-bases-de-datos
poralan moreno
 
PDF
Sql injection
porMauro Gomez Mejia
 
PPTX
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
poralexander valencia valderrama
 
DOCX
Inyeccion sql by Anonymous - Americalatina
porAnonymous - Americalatina Anonymous - Americalatina
 
PDF
Cliente servidor
porCincoC
 
PDF
All your data are belong to us - FIST Conference 2007
porChristian Martorella
 
PPTX
Presentación ataque 1 sql
porAlexander Valderrama
 
Inyecciones sql para todos
porcsaralg
 
Ataque por inyección de código sql y sniffing
porMagda Mayery Baquero Cardona
 
Ataques a-bases-de-datos
porJuvenal Hernandez
 
Mejores prácticas desarrollo de base de datos
porEduardo Castro
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
porFrancisco Medina
 
Practica 1 seguridad en bases de datos
porCarlos Otero
 
Ponencia sql avanzado y automatizado
porn3xasec
 
Inyecciones sql para aprendices
porTensor
 
Ataque sql web
porkateqr
 
Investigacion formativa 4 (trabajo grupal)proyecto base de datos
porCesar Pedro Quiñones Roque
 
Ataque inyeccion sql
porDaniel L.
 
Articulo ieee ataque_i
poralexander valencia valderrama
 
Ataques a bases de datos
porFernando Hernandez
 
Ataques a-bases-de-datos
poralan moreno
 
Sql injection
porMauro Gomez Mejia
 
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
poralexander valencia valderrama
 
Inyeccion sql by Anonymous - Americalatina
porAnonymous - Americalatina Anonymous - Americalatina
 
Cliente servidor
porCincoC
 
All your data are belong to us - FIST Conference 2007
porChristian Martorella
 
Presentación ataque 1 sql
porAlexander Valderrama
 

Último

PDF
Presentaciones con NotebookLM - Estilo cómic-Receta de pelota dulce valenciana
porProfesorProductivo
 
PDF
Revolución IA La Gran Transformación Laboral.pdf
porEspanhol Online
 
PDF
Geometria Pre San Marcos ME5 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Filemón 1 (1a. Parte) El amor y la fe de Filemón. Por Humberto Rendon.pdf
porHumberto Rendon
 
PDF
Curso de Matemáticas Superiores - Kudriávtsev Editorial MIR Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
LA BIODIVERSIDAD DE LAS ISLAS GALÁPAGOS EN IMÁGENES
porMaria Jose Fernandez Rosado
 
PDF
Curso de Álgebra Superior - Kurosch - Editorial MIR Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
HIDRAULICA DE CANALES - DISEÑO DE CANALES (1).pdf
pormichaelccahuaniancco
 
PDF
MBA Guia Visual de Liderazgo Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
La Estrategia de la Negociacion Alejandro Hernandez Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Los Lideres comen al final - Simon Sinek Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Teoría Axiomática de Conjuntos - Patrick Suppes Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PPTX
DECLARACION de NUESTRA SOBERANIA ORIGINAL
porJesus Gonzalez Losada
 
PDF
Algebra de Funciones Algebraicas MB1 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
El mal común debajo del Sol | Eclesiastés 6:1-2
porYHWH es mi salvación
 
PDF
Proyecto Curricular Institucional (PCI).
poryamidamian48
 
PPTX
Copia de Libros Históricos, de una presentación
porOscarManuelMndezGonz
 
PPTX
Crecimiento 1. Clase 4. P.P..ESTUDIO BIBLICO
poradanportillo64
 
PDF
La Paradoja del Progreso según Glubb....
porElara Mara
 
DOCX
Tabla comparativa_ Material didáctico y Recurso didáctico.docx
porbenjafob
 
Presentaciones con NotebookLM - Estilo cómic-Receta de pelota dulce valenciana
porProfesorProductivo
 
Revolución IA La Gran Transformación Laboral.pdf
porEspanhol Online
 
Geometria Pre San Marcos ME5 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Filemón 1 (1a. Parte) El amor y la fe de Filemón. Por Humberto Rendon.pdf
porHumberto Rendon
 
Curso de Matemáticas Superiores - Kudriávtsev Editorial MIR Ccesa007.pdf
porDemetrio Ccesa Rayme
 
LA BIODIVERSIDAD DE LAS ISLAS GALÁPAGOS EN IMÁGENES
porMaria Jose Fernandez Rosado
 
Curso de Álgebra Superior - Kurosch - Editorial MIR Ccesa007.pdf
porDemetrio Ccesa Rayme
 
HIDRAULICA DE CANALES - DISEÑO DE CANALES (1).pdf
pormichaelccahuaniancco
 
MBA Guia Visual de Liderazgo Ccesa007.pdf
porDemetrio Ccesa Rayme
 
La Estrategia de la Negociacion Alejandro Hernandez Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Los Lideres comen al final - Simon Sinek Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Teoría Axiomática de Conjuntos - Patrick Suppes Ccesa007.pdf
porDemetrio Ccesa Rayme
 
DECLARACION de NUESTRA SOBERANIA ORIGINAL
porJesus Gonzalez Losada
 
Algebra de Funciones Algebraicas MB1 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
El mal común debajo del Sol | Eclesiastés 6:1-2
porYHWH es mi salvación
 
Proyecto Curricular Institucional (PCI).
poryamidamian48
 
Copia de Libros Históricos, de una presentación
porOscarManuelMndezGonz
 
Crecimiento 1. Clase 4. P.P..ESTUDIO BIBLICO
poradanportillo64
 
La Paradoja del Progreso según Glubb....
porElara Mara
 
Tabla comparativa_ Material didáctico y Recurso didáctico.docx
porbenjafob
 

Aprendiz unad

  • 1.
    SEGURIDAD EN BASEDE DATOS PRESENTADO POR: DAVID ALEJANDRO ALBAN CRUZ C.C.1.143.827.466 FORO MOMENTO 2 GRUPAL UNIVERSIDAD NACIONAL ABIERTA A DISTANCIA – UNAD CIENCIAS BASICAS TECNOLOGÍA EN INGENIERIA EL BORDO, CAUCA 2014
  • 2.
    INSTALACION DE VIRTUALBOEXJETURAR SIGUIENTE NEXT SI INSTALAR LA INSTALACIÓN HA SIDO UN ÉXITO INSTALAND O VIRTUAL BOX
  • 3.
    DENTRO DE LAMAQUINA VIRTUAL DAMOS CLIC EN NUEVO E INGRESAMOS LOS DATOS DE BADSTORE ENSEGUIDAD TE PIDE CONFIRMACION DE LA MEMORIA RAM EN ESTE CASO DE 128 MB PARA EL SERVIDOR
  • 4.
    USAMOS UN DISCODURO VIRTUAL DE ARANQUE EN LA MAQUINA VIRTUAL PUEDE CREAR UN NUEVO DISCO DURO O SELECCIONAR UNA LISTA DESPLEGABLE SI NESESITAS UN DISCO DURO CON MAYOR CAPACIDAD PUEDES OMITIR EL PASO EN LA SIGUIENTE OPCION DEVES ELEGIR DINAMICA EN ESTA OPCION NOS DEJA VER EL TAMAÑO QUE SE UTILIZARA EN NUESTRO DISCO DURO DENTRO LA MAQUINA VIRTUAL 50 MB CABE DESTACAR QUE ISO PESA 12MB ENSEGUIDA NEXT, LUEGO T ENEMOS QUE DARLE LA UBICACIÓN DE BADSTORE.ISO Y FINALIZIR PARA DAR INICIO CERRAR PARA QUE LA RED SEA MAS SEGURA NO DIRIGUIMOS A CONFIGURACIÓN/RED Y SELECONAMOS ASI: ACEPTA R
  • 5.
    CUANDO LE DAMOSCLICK EN INICIAR ENPIEZA EL PROCESO DE INSTALACION DE BADSTORE SE MANEJA CONFIGURACION DHCP UNA VEZ TERMINE LA INSTALACION NOS MUESTRA LA CONSOLA DE NUESTRO SERVIDOR LUEGO LE DAMOS ENTER Y DIGITAMOS IPCONFIG
  • 6.
    EL PROGRAMA SQLMAPSIRVE PARA REALIZAR ATAQUE POR INYECCIÓN DE CÓDIGO SQL SE INSTALA DE LA SIGUIENTE MANERA ABRIMO VIRTUAL BOX DEBEMOS TENER UN SISTEMA OPERATIVO INSTALADO EN LA MAQUNA UBUNTU ABRIMOS EL TERMINAL DE UBUNTU PARA INCIAR LA INSTALACION DIGITAMOS: SUDO -SH
  • 7.
    CD /OPT APT-GETINSTALL GIT GIT CLONE GIF:// GITHUB.COM/SQLMAPPROJECT /SQL/SQLMAP.GIT DE ESTA MANERA HEMOS INGRESADO AL PROGRAMA SQLMAP
  • 8.
    TO RUN IT---- SUDO -SH ------- CD/OTP ----------- PYTHON SQLMAP. PY SQLMAP ES UNA HERRAMIENTA DE PRUEBAS DE PENETRACIÓN DE CÓDIGO ABIERTO QUE AUTOMATIZA EL PROCESO DE DETECTAR Y EXPLOTAR LOS ERRORES DE INYECCIÓN SQL Y HACERSE CARGO DE LOS SERVIDORES DE BASES DE DATOS. VIENE CON UN POTENTE MOTOR DE DETECCIÓN, MUCHAS CARACTERÍSTICAS DE NICHO PARA EL PROBADOR DE PENETRACIÓN MÁXIMA Y UNA AMPLIA GAMA DE INTERRUPTORES DE DURACIÓN DE LAS HUELLAS DACTILARES DE BASE DE DATOS, MÁS DE CAPTACIÓN DE DATOS DE LA BASE DE DATOS, PARA ACCEDER AL SISTEMA DE ARCHIVOS SUBYACENTE Y EJECUTAR COMANDOS EN EL SISTEMA OPERATIVO A TRAVÉS DE RESULTADOS DE BANDA CONEXIONES. SQL INJECTION ES UNA TÉCNICA DE ATAQUE A PAGINAS O APLICACIONES, QUE INTENTA INYECTAR CÓDIGO SQLDENTRO DE LA APLICACIÓN DESTINO, PARA ROMPER O ACCEDER A INFORMACIÓN. POR EJEMPLO CUANDO UNA WEB TIENE UN ÁREA DE INGRESO DE USUARIO O LOGIN USUALMENTE EL DESARROLLADOR PARA VALIDARLO, HACE LO SIGUIENTE: SELECT * FROM Users WHERE Username='usuario' AND Password='contraseña‘ SI LAS VARIABLES USUARIO Y CONTRASEÑA SE TOMAN DIRECTAMENTE DE EL FORMULARIO SIN NINGÚN TIPO DE ESCAPE DE CARACTERES Y SE INGRESAN EN LA CONSULTA, PODRÍAMOS HACER QUE EL USUARIO Y CONTRASEÑA TENGAN COMO VALOR ‘1’ OR ‘1’ = ‘1’. SELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1′'= '1'
  • 9.
    ATAQUE CON INYECCIÓNDE CÓDIGO SQL A SITIO WEB CONSISTE EN LA INSERCIÓN DE CÓDIGO SQL POR MEDIO DE LOS DATOS DE ENTRADA DESDE LA PARTE DEL CLIENTE HACIA LA APLICACIÓN. ES DECIR, POR MEDIO DE LA INSERCIÓN DE ESTE CÓDIGO EL ATACANTE PUEDE MODIFICAR LAS CONSULTAR ORIGINALES QUE DEBE REALIZAR LA APLICACIÓN Y EJECUTAR OTRAS TOTALMENTE DISTINTAS CON LA INTENCIÓN DE ACCEDER A LA HERRAMIENTA, OBTENER INFORMACIÓN DE ALGUNA DE LAS TABLAS O BORRAR LOS DATOS ALMACENADOS, ENTRE OTRAS MUCHAS COSAS A REALIIZAR EL LOGIN Y ENTRA AL SISTEMA DE INFORMACION SE ENVIA LA INFORMACION A UNA SENTENCIA SQL QUE SERÁ EJECUTADA CONTRA LA BASE DE DATOS DE LA APLICACIÓN EJM: • $sql = SELECT * FROM usuarios WHERE usuario = ‘$usuario’ and password = ‘$pass’; DIGAMOS QUE USUARIO: DavidAlbanc ---- CONTRASEÑA: Dav123 • $sql = SELECT * FROM usuarios WHERE usuario = ‘DavidAlbanc’ and password = ’Dan123′; COMO RESPUESTA DARA • $sql= SELECT * FROM usuarios WHERE usuario =
  • 10.
    INFORMACION GENERAL DELA BASE DE DATOS DATABASE "C:ARCHIVOS DE PROGRAMAFIREBIRDFIREBIRD_1_5HTTP://WWW.INPEC.GOV.CO:7777/SSO/JSP/LOGIN.JSP?SI TE2PSTORETOKEN", USER: SYSDBA SQL> NOMBRE DB TABLAS DE LA BD DESPCION DE LA BD • MYSQL> SELECT DATABASE(); +---------- --+ | DATABASE() | +---------- --+ | INPEC | • MYSQL> SHOW TABLES; • mysql> DESCRIBE pet; +---------+-------------+------+-----+--------- | Field | Type | Null | Key | Default | Extra | +---------+-------------+------+-----+--------- | name | varchar(20) | YES | | NULL | | | owner | varchar(20) | YES | | NULL | | | species | varchar(20) | YES | | NULL | | | sex | char(1) | YES | | NULL | | | birth | date | YES | | NULL | | | death | date | YES | | NULL | | +---------+-------------+------+-----+--------- +---------------------+ | TABLE DEL INPEC | +---------------------+ | EVENT | | PET |  CUAL ES SU SERVIDOR DE BASE DE DATOS MYSQL $DATABASE_HOST = "LOCALHOST";  CUAL ES EL NOMBRE DE LA BASE DE DATOS QUE ESTÁ USANDO $DATABASE_NAME = “INPEC DB";  CUAL ES EL NOMBRE DE USUARIO QUE ACCEDE A ESA BASE DE DATOS? $DATABASE_USER = “INPEC";  Y LA PALABRA CLAVE QUE USARÁ $DATABASE_PASSWORD = ‘INPEC123';
  • 11.
    EL SOFTWARE WIRESHARK WIRESHARK POSEE UNA INTERFAZ GRÁFICA, LA CUAL FACILITA MUCHO SU USO, AUNQUE TAMBIÉN DISPONEMOS DE UNA VERSIÓN EN MODO TEXTO LLAMADA TSHARK. SELECCIONAREMOS LA INTERFAZ EN LA QUE QUERAMOS CAPTURAR. EN MI CASO ES WLAN0 SE CAPTURA MUCHO PAQUETES Y SE MANDA EL BROADCAST CADA 31 SEGUNDOS FILTRANDO POR DNS ESTAS PETICIONES LAS PODEMOS CONOCER APLICANDO EL FILTRO “HTTP.REQUEST“. DE ESTE MODO, PODREMOS CONOCER TODOS LOS GET Y POST QUE HAYAN SIDO REALIZADOS DURANTE LA CAPTURA.
  • 12.
    CONCLUSION EN ESTAPRACTICA SE CONOCIÓ LA FUNCIONALIDAD E UTILIZACIÓN DE LOS PROGRAMAS QUE ANALIZAN EL TRAFICO DE LA RED: VIRTUAL BOX, BADSTORE, SQLMAP, WIRESHARK DONDE SE DOCUMENTO EN INTERNET ACERCA DEL MANEJO DE LOS SOFTWARE DONDE SE OBSERVARON LA CAPTURA DE LOS PAQUETES RESPECTIVOS Y ANALIZANDO OTRAS FUNCIONALIDADES APARTIR DE LA DOCUMENTACIÓN Y EL MANEJO DE LA HERRAMIENTA EN ESTA PRACTICA SE EVIDENCIO CON ILUSTRACIONES LAS CUALES DEMOSTRABAN LA FUNCIONALIDADES BÁSICAS COMO CAPTURA Y ANÁLISIS DE LOS PAQUETES EN SUS RESPECTIVOS APLICATIVOS SOLICITADO EN LA GUIA