SQL Injection

Las ​bases de datos relacionales​ se utilizan, entre otras muchas cosas,

para almacenar información como nombres de usuario y el resumen de
las contraseñas de páginas web con identificación de usuario. Siguiendo el
ejemplo de la identificación de usuarios en las páginas web, sería el motor
o ​back-end​ del sistema el que analizaría la información proporcionada por
el usuario, consultaría su existencia en la base de datos y en función del
resultado proporcionaría acceso a la sección restringida de la página web.

En las bases de datos relacionales juega un papel importante el ​lenguaje

SQL​ (Structured Query Language), un lenguaje de consulta o acceso a
bases de datos relacionales, permitiendo especificar distintos tipos de
operaciones entre los que se encuentran los comúnmente conocidos
SELECT​ e ​INSERT​. Estas operaciones permiten recuperar información así
como hacer cambios en las bases de datos.

En este sentido, la ​inyección SQL​ o ​SQL injection​, es un método de

infiltración de código intruso que se vale de una vulnerabilidad
informática, presente en una aplicación en el nivel de validación de las
entradas, para realizar operaciones sobre una base de datos. El origen de
la vulnerabilidad radica en el incorrecto chequeo o filtrado de las variables
utilizadas en un programa que contiene, o bien genera, código SQL. Es,
de hecho, un error de una clase más general de vulnerabilidades que
puede ocurrir en cualquier lenguaje de programación o script que esté
embebido dentro de otro. Se conoce como Inyección SQL,
indistintamente:

○ al tipo de vulnerabilidad,
○ al método de infiltración,
○ al hecho de incrustar código SQL intruso, y
○ a la porción de código incrustado.
Tarea:

TAREA 2: SQL injection

En esta tarea vamos a usar la técnica SQL injection para obtener

información relevante sobre la estructura de una base de datos.
En concreto, vamos a obtener información de usuarios de un
servidor (nombre de usuario, hash de la contraseña) a partir de
un ataque de SQL injection.

Para ello necesitaras usar una máquina virtual preparada para el software
de simulación ​VirtualBox​. Si no tienes instalado VirtualBox puedes
descargar el instalador desde la siguiente página web:

https://www.virtualbox.org/wiki/Downloads

En el caso de los sistemas GNU/Linux, la instalación se puede realizar a

través del sistema de gestión de paquetes, aunque se recomienda usar
las versiones más recientes disponibles en la web de VirtualBox (ya que
algunos sistemas GNU/Linux tienen versiones algo más antiguas que no
se han probado y no se garantiza que funcionen).

La máquina virtual (380MB) en formato 7-Zip lo podéis descargar a través

del siguiente enlace: ​dvwa7z

Una vez descargada la máquina estos son los pasos a seguir:

1. Descomprimir utilizando un software de compresión compatible con

7-Zip (puedes descargar este último desde su ​página web​).
2. Entrar en la carpeta en la que se ha descomprimido el 7-zip de la
máquina. Allí encontraremos unos ficheros llamados
dvwa-windows.vbox​ (puede que la extensión esté oculta, dependiendo
de la configuración del explorador de ficheros) y ​dvwa-linux. vbox​.

3. Hacemos doble clic sobre el fichero que corresponda al sistema

operativo que estemos usando en nuestro ordenador (p. ej. si estamos
usando Linux hacemos doble clic sobre el fichero dvwa-linux.vbox).

4. Al hacer doble clic se importará la máquina virtual en VirtualBox.

5. Seleccionamos con el ratón la máqina que se llama "dvwa" y pulsamos

sobre el botón llamado "Iniciar":
6. Cuando termine de iniciarse la máquina virtual obtendremos la
siguiente pantalla, donde se nos muestra la dirección IP que ha obtenido
por DHCP, y que deberemos usar posteriormente para conectarnos a ella:

7. Una vez ejecutada la máquina, anota la dirección IP y mediante el

navegador web accede a la dirección http://​direccionIP​/login.php
8. A continuación seguir las indicaciones de los apartados 7, 8 y 9 de
ESTE ARTÍCULO​.

Si quieres continuar con las secciones 10 y 11 del artículo, en las que se

realiza el descubrimiento de contraseñas, necesitas la aplicación ​John The
Ripper​.

9. Una vez realizada la tarea, apagar la máquina virtual haciendo login

mediante el nombre de usuario ​apagar​.

Pasos para la configuración del adaptador de

red (Host-only).
En el supuesto de que tengamos problemas para la configuración del
adaptador de red en modo Host-only, estos son los pasos a seguir:

1.- Desde la pantalla de inicio de VirtualBox acceder a las preferencias

2.- Seleccionar la sección de Red

3.- Seleccionar la pestaña ​Host-only Networks
4.- Pulsar sobre el botón de añadir un nuevo adaptador
5.- El nuevo adaptador nos aparecerá en la ventana al cabo de unos
pocos segundos

6.- Pulsar sobre el botón OK

7.- Ir a la configuración de la máquina
8.- Seleccionar la sección de Red
9.- Seleccionar el adaptador Host-only Adapter y asegurarnos de que la
opción Enable Network Adapter esté seleccionada

10.- Pulsar sobre el botón OK

Siguiendo estos pasos deberíamos de ser capaces de configurar el
adaptador de red adecuadamente para poder acceder a la página web
desde nuestro navegador.