Scribd
Cargar
575 vistas12 páginas

Guía de SQL Injection con SQLMap

Este documento presenta las instrucciones para realizar un ataque de inyección SQL utilizando la herramienta SQLMap contra la aplicación vulnerable DVWA. Se explican los 13 pasos a seguir, que incluyen descargar e instalar WebGoat y DVWA, identificar los parámetros vulnerables utilizando SQLMap y extraer la información de las tablas de datos de la base de datos.

Cargado por

EDU
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
575 vistas12 páginas

Guía de SQL Injection con SQLMap

Este documento presenta las instrucciones para realizar un ataque de inyección SQL utilizando la herramienta SQLMap contra la aplicación vulnerable DVWA. Se explican los 13 pasos a seguir, que incluyen descargar e instalar WebGoat y DVWA, identificar los parámetros vulnerables utilizando SQLMap y extraer la información de las tablas de datos de la base de datos.

Cargado por

EDU
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

Actividades

Actividad: Realizar ataques SQL Injection a DVWA

En la siguiente actividad debes descargar WebGoat, para realizar ataques utilizando la


técnica de SQL injection con la aplicación SQLMap (instalada en Kali).

Para realizar este trabajo debes explicar todos los pasos a seguir para realizar los
ataques SQL Inject con SQLmap.

Extensión máxima: 10 páginas (Georgia 11 e interlineado 1,5).

1.- Descargamos webgoat

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

2.- Instalamos el webgoat en la maquina con Kali Linux

3.-Corre en el puerto 8080

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

4.- Ingresamos a: localhost:8080/Webgoat

5.- Creamos usuario nuevo:

Usuario:edu123 ; clave: ali123

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

6.- Vericamos que nuestras máquinas se encuentren en la misma red


Ip: [Link] máquina con webgoat instalado – Instalamos Zap
Ip: [Link] máquina atacante.

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

7.-Instalamos DVWA en la maquina Kali con IP [Link]

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

8.- Ingresamos al DVWA desde la maquina atacante con IP. [Link]

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

9.- Para determinar los parámetros de vulnerabilidad entramos a la opción SQL


Injection y ejecutamos:
NORMAL:

LUEGO DE EJCUTAR:

Se muestran cambios en la cabecera de http,cambiando la url,mostrandonos el


parametro vulnerable ID:

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

10.- Ingresamos al sqlmap y ejecutamos el siguiente comando,la informacion se obtiene


del complemnto de firefox “http header live” de los campos:
Users agents, cookie y la ruta http del browser.

11.- Luego del proceso nos vota que existen 2 bases de datos:

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

12.- Obtenemos los nombres de las tablas de la base de datos dvwa:


Ejecutamos el comando:

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

Obtenemos las tablas:


Guestbook
Users

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

13.- Ahora recuperamos el contenido de las tablas Guestbook y Users.


Recuperamos el contenido de la tabla guestbook.
Ejecutamos el comando:

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)


Asignatura Datos del alumno Fecha

Análisis de
19 DE JULIO DEL 2021
Vulnerabilidades

Recuperamos el contenido de la tabla users.


Ejecutamos el comando:

Obtenemos las tablas: 5 tablas

TEMA 3 – Actividades © Universidad Internacional de La Rioja, S. A. (UNIR)

También podría gustarte