2021

Práctica 2.7 Inyección SQL

La inyección de SQL es un tipo de ciberataque que se aprovecha de errores
existentes en aplicaciones web. En concreto, los ciberdelincuentes atacan bases de
datos de SQL (Structure Query Language), el lenguaje de dominio específico
utilizado en programación. Durante sus acciones, insertan un código propio con el
fin de quebrantar las medidas de seguridad y privacidad. De esta manera, acceden
a datos protegidos o de carácter sensible.

Su objetivo es, por tanto, eliminar información o incluso editar las bases de datos de
empresas financieras. Y es que gracias a los ataques de inyección SQL, los ‘malos’
acceden a datos sensibles, como contraseñas, detalles de tarjetas de crédito o
información personal.

Consecuencias y clases

Los ataques de este tipo pueden conllevar diversas consecuencias tanto a nivel
personal como empresarial. En cuanto a los usuarios, estos pueden perder dinero
debido a la intrusión de la página web de su banco o al robo de su identidad.
A escala empresarial, pueden causar el robo de datos confidenciales, sabotaje y
filtraciones de seguridad. Todo ello, provocando una pérdida de reputación por parte
de los clientes y su público objetivo.

No obstante, las consecuencias de estas amenazas dependen de su tipología. De

hecho, existen tres clases de ataques principales de inyección SQL. Estos son:

• Ataque por error: Son los más comunes. Con ellos se pueden obtener
información de la base de datos.
• Ataque por unión: Una página web muestra más resultados de los que
debería, entre los que se incluye la amenaza.
• Ataque ciego: Es el ataque más complicado de realizar. En él se realizan
preguntas cerradas a la base de datos.

Desarrollo de la practica

1. Es necesario arrancar las máquinas virtuales de nuestro entorno de pruebas,

primero

el metasploitable, y posteriormente nuestro kali linux.

2. Iniciar el mestasploitable, utilizando el password y contraseña descritos en el

mismo

“msfadmin” para usuario y contraseña

3. Obtener la ip del sistema operativo con el comando ifconfig:

4. En el Kali Linux acceder al navegador y escribir la dirección obtenida:

5. Acceder a Mutillidae:
6. Hacemos clic en la opción Login/Register, posteriorment en la opción please

register here y creamos un nuevo usuario, utilicen su primer nombre como usuario

y como password, es decir por ejemplo conmigo, el usuario sería luis, y el password

sería luis

7. Posteriormente hacemos clic en Back, e iniciamos sesión con el usuario ya

creado, una vez comprobado que el usuario ingresa correctamente, salir de la
sesión haciendo clic en Logout.
8. Estamos listos para iniciar el proceso, ahora iniciaremos sesión nuevamente, en
el usuario escriban el usuario creado en mi caso “luis” pero en el campo password
escriban sólo una comilla simple ', vean la información que les envía que hubo un
error en la base de datos, pero aquí lo importante es que nos muestra la sentencia
SQL del error, esta sentencia SQL, la copiaremos y pegaremos en algún editor de
texto, puede ser el “LeafPad” de Kali Linux:
14. Continuando con la inyección SQL, ahora probaremos en el programa DVWA,
ingresar la contraseña password con el usuario admin.
16. Esa es la primera parte de la inyección SQL, ahora aumentaremos la seguridad
en mutillidae, para ello hacer clic en la opción core Controls y posteriormente en
Toogle Security, como se muestra en la imagen, la seguridad cambiará de 0 a 1. Si
intentamos hacer nuevamente la inyección SQL, como el punto anterior ahora
enviará un mensaje como el siguiente: