INYECCION SQL

9
INTRODUCCION Una inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. Para esta práctica utilizáramos el sistema operativo DEVIAN OS en el cual instalaremos una herramienta llamada SQLMAP Y una aplicación llamada BADSTORE. Lo que haremos es atacar BASTORE de tal manera q podamos ingresar a las bases de datos y mirar su información como las tablas y campos de estas, por medio de SQLMAP que es la que nos permitirá manipular el contenido de BASTORE. Objetivo General Realizar un ataque a la base de datos de badstore. Objetivo Específico: Hacer uso de SQLMAP para realizar el ataque a la base de datos y manipular su información. MARCO TEORICO SQLMAP: Es una herramienta desarrollada en Python para realizar inyección de código SQL automáticamente. Su objetivo es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web. Una vez que se detecta una o más inyecciones SQL en el host de destino, el usuario puede elegir entre una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseñas, los privilegios, las bases de datos, todo el volcado de tablas / columnas específicas del DBMS, ejecutar su propio SQL SELECT, leer archivos específicos en el sistema de archivos y mucho más. BADSTORE: Es una aplicación insegura utilizado para la demostración, formación en seguridad y las pruebas propósitos. Ha sido desarrollado para ilustrar las vulnerabilidades comunes presentes en muchas aplicaciones expuestas a intranets, extranets e internets. BADSTORE es un live CD con trinux, que ocupa únicamente 10 MB. No pide apenas recursos para arrancar de (64 MB de ram). Simula una tienda virtual vulnerable, a la que podremos hacer todo tipo de ataques. HERRAMIENTAS: VMWARE WORKSTATION BADSTORE SQLMAP DEVIAN OS

description

SQL

Transcript of INYECCION SQL

  • INTRODUCCION

    Una inyeccin SQL es un mtodo de infiltracin de cdigo intruso que se vale de una vulnerabilidad

    informtica presente en una aplicacin en el nivel de validacin de las entradas para realizar

    consultas a una base de datos.

    Para esta prctica utilizramos el sistema operativo DEVIAN OS en el cual instalaremos una

    herramienta llamada SQLMAP Y una aplicacin llamada BADSTORE. Lo que haremos es atacar

    BASTORE de tal manera q podamos ingresar a las bases de datos y mirar su informacin como las

    tablas y campos de estas, por medio de SQLMAP que es la que nos permitir manipular el contenido

    de BASTORE.

    Objetivo General

    Realizar un ataque a la base de datos de badstore.

    Objetivo Especfico:

    Hacer uso de SQLMAP para realizar el ataque a la base de datos y manipular su informacin.

    MARCO TEORICO

    SQLMAP:

    Es una herramienta desarrollada en Python para realizar inyeccin de cdigo SQL automticamente.

    Su objetivo es detectar y aprovechar las vulnerabilidades de inyeccin SQL en aplicaciones web. Una

    vez que se detecta una o ms inyecciones SQL en el host de destino, el usuario puede elegir entre

    una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseas, los

    privilegios, las bases de datos, todo el volcado de tablas / columnas especficas del DBMS, ejecutar

    su propio SQL SELECT, leer archivos especficos en el sistema de archivos y mucho ms.

    BADSTORE:

    Es una aplicacin insegura utilizado para la demostracin, formacin en seguridad y las pruebas

    propsitos.

    Ha sido desarrollado para ilustrar las vulnerabilidades comunes presentes en muchas aplicaciones

    expuestas a intranets, extranets e internets.

    BADSTORE es un live CD con trinux, que ocupa nicamente 10 MB. No pide apenas recursos para

    arrancar de (64 MB de ram).

    Simula una tienda virtual vulnerable, a la que podremos hacer todo tipo de ataques.

    HERRAMIENTAS:

    VMWARE WORKSTATION

    BADSTORE

    SQLMAP

    DEVIAN OS

  • INYECCIN SQL EN BADSTORE USANDO SQLMAP

    En este caso usaremos dos mquinas virtuales:

    Badstore

    Deban OS

    Iniciamos badstore y con el comando ifconfig averiguamos la ip.

  • Iniciamos deban aplicaciones internet navegador web lceweasel

    Digitamos la direccin ip que nos dio el badstore: 192.168.218.132

    Ahora necesitaremos generar la URL que usaremos para la inyeccin sql. Para ello

    necesitaremos introducir en la bsqueda hi y oprimimos el icono de la lupa.

  • Descargamos el archivo sqlmapproject-sqlmap-0.9-4124-ge8f87bf.tar y lo

    descomprimimos en: carpeta personal de deban

    Abrimos una terminal aplicaciones accesorios -- terminal

  • Identificamos el gestor de la base de datos y el servidor.

    Mostramos las bases de datos.

  • Mostramos las tablas de la base de datos badstoredb.

    Mostramos las columnas de la tabla itemdb

  • Mostramos el contenido de la columna itemnum de la tabla itemdb.

  • BIBLIOGRAFA

    http://www.slideshare.net/Tensor/inyecciones-sql-para-aprendices

    http://calebbucker.blogspot.com/2012/06/explotando-vulnerabilidades-de.html

  • http://redesitmedwin.wikispaces.com/Badstore+y+Virtual+Box


INYECCION OPTRA

INYECCION OPTRA

inyeccion rocas

inyeccion rocas

INYECCION ENDOVENOSA

INYECCION ENDOVENOSA

Inyeccion Electronica

Inyeccion Electronica

curso inyeccion

curso inyeccion

Ataques de Inyeccion SQL Avanzadov1.1

Ataques de Inyeccion SQL Avanzadov1.1

Inyeccion Diesel.

Inyeccion Diesel.

Momento 2 Bases de Datos - Inyeccion SQL y Sniffing

Momento 2 Bases de Datos - Inyeccion SQL y Sniffing

Inyeccion Final

Inyeccion Final

Inyeccion II

Inyeccion II

Curso Sistemas Inyeccion Convencional Diesel Inyeccion Electronica Eui Heui

Curso Sistemas Inyeccion Convencional Diesel Inyeccion Electronica Eui Heui

Inyeccion Ppp

Inyeccion Ppp

Proyecto inyeccion

Proyecto inyeccion

Inyeccion sql

Inyeccion sql

Inyeccion de

Inyeccion de

INYECCION CAPILAR

INYECCION CAPILAR

INYECCION 2012

INYECCION 2012

Inyeccion Trail

Inyeccion Trail

Trabajo Inyeccion

Trabajo Inyeccion

inyeccion monopunto

inyeccion monopunto