Ingeniera de Telecomunicaciones

Seguridad de Redes

Tarea 4

SQL injection

Cesar Rios Morales

2013-01

SQLinject Primero ubicamos una pgina que pueda ser vulnerable peruana. Para este ejercicio escog http://envivo.universia.edu.pe/detalle_empleo.php?id=8608

Procedo a verificar si es vulnerable para empezar a trabajar con ella. Para ello incluir una comilla para saber si me muestra error de la base de datos

Como podemos observar en la siguiente imagen al agregarle la comilla nos muestra un error sql. Por lo que esta pgina es un gran candidato para atacarla con SQLinject.

Ahora vamos al bactrack y vamos /pentest/database/sqlmap y procedemos con la inyeccin de SQLinject.

Luego de introducir el comando con la pgina que encontramos anteriormente procederemos a intentar obtener la base de datos de dicha pgina.

Como vimos la base de datos de dicho server se llama sitios ahora intentaremos obtener sus tablas con:

Luego de introducir este comando pudimos obtener satisfactoriamente las tablas de dicha base de datos

Para ver un ejemplo de cmo podamos obtener las columnas de una de las tablas escogimos una de ella, la cual fue dbo.pontutema_administradores. Para ello introducimos el siguiente comando:

Luego de introducirlo pudimos obtener las siguientes columnas:

Ahora ms general si queremos ver la data de las columnas de dbo.pontutema_administradores, usamos el siguiente comando

Satisfactoriamente pudimos obtener la data de dicha tabla que al parecer es la cuenta de administrador de dicha pgina.

Bueno finalmente satisfactoriamente pudimos obtener la informacin de la base de datos de dicha pgina mediante SQLinject.