PRÁCTICAS TEMA 3.

- SECURIZACIÓN DE REDES Y SISTEMAS

Práctica 1.- Explotando vulnerabilidades Web

Alumno: Luis Javier Acevedo Utrilla

Escenario:
Máquinas Virtuales:
- Kali Linux: 192.168.1.106
- OWASPBWA: 192.168.1.109
- Web for Pentesters 192.168.1.112

Ejercicio1.- XSS Reflejado de web for Pentesters

Ejercicio2.- XSS Reflejado de web for Pentesters

El script introducido se almacenaría en la BD del servidor, por lo que afectaría a cada visitante del
formulario.
Ejercicio3.- RFI de web for Pentesters

Se basa en la idea de que, al igual que es posible cargar un fichero local para su inclusión
dentro de la página, podríamos cargar uno remoto que contuviese código malicioso.

Primero, detectamos la variable en la que inyectar el archivo.

Ahora añadimos la URL de una web externa: https://www.marca.com

Ejercicio4.- LFI de web for Pentesters

Vamos a probar a cargar los archivos passwd e interfaces de la máquina servidora.

Ejercicio5.- SQLi de web for Pentesters

SQLi: Mediante la inyección de código SQL conseguimos saltar las tres capas de un sistema
Web: 1) Interfaz del Cliente, 2) Código fuente del Servidor y 3) Base de Datos. Las
posibilidades que se pueden obtener de esta vulnerabilidad son muy amplias, desde
una fuga de información, pasando por un defacement o llevar a cabo la ejecución de
código en el servidor.

Buscamos el usuario root

Inyectamos ahora ´or ´1´=´1 de para obtener más información:

http://192.168.1.112/sqli/example1.php?name=%27%20or%20%271%27=%271