Scribd
Cargar
11 vistas3 páginas

Inyeccion Sqlmap

Cargado por

Johan Esneyder Martinez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
11 vistas3 páginas

Inyeccion Sqlmap

Cargado por

Johan Esneyder Martinez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 3

1

INYECCION DE CODIGO CON SQLMAP SC


(octubre de 2023)
Sonia Liseth Rodriguez Martinez, Daniel Espíndola Martinez y Johan Esneyder
Martinez Silva

Resumen – Hoy en día en el mercado las empresas utilizan


medios tecnológicos y medios eléctricos como servidores externos
(hosting) donde alojan sus sitios web, en las cuales ofrecen
productos, servicios e información; algunas otra maneja base de
datos de información de sus clientes, es por eso vital importancia
salvaguardar sus sitios web con medios de seguridad que evitan
un ataque a sus servidores

I. INTRODUCCIÓN

E n la actualidad es muy común encontrar ataques


cibernéticos a sitios de alojamiento web para robar
información de importancia de las empresas, clientes o
empleados.
Existen variedades de ataques que se puede utilizar como por Como segundo paso agregamos al final del link de la página
ejemplo ataques dirigidos atreves de internet de infiltración de una comilla simple (´) para que nos muestre la vulnerabilidad
redes para captar datos personales o búsqueda de figuras de de la página mediante un error el cual nos dará el abal para
datos. En estos casos se puede inyectar o dejar fuera del realizar la inyección de código.
servicio el sitio solamente.
En esta ocasión utilizaremos el ataque de inyección SQLMAP,
el cual busca las vulnerabilidades de las páginas mediante la
inyección de una línea de códigos en sus archivos de raíz, las
cuales permiten abrir puertas traseras brindando información
de las cuentas de usuarios o las bases de datos.

II. EJECUCUIN DE INYECCION DE CODIGO CON


SQLMAP

A. SQLMAP
Es una herramienta desarrollada en Python para detector
vulnerabilidades de las páginas web, como lo veremos a
continuación
Para realizar el ataque se debe ejecutar desde el sistema
operativo Kali-linux, la página que se va a realizar el ataque es
http://www.altcine.com/details.php?id=329
Como siguiente paso se instaló una imagen de Kali Linux
mediante una máquina virtual (Virtual Box) la cual vamos a
utilizar para continuar nuestra inyección de código.
2

(sqlmap -u http://www.altcine.com/details.php?id=329 -D
altcine_in --tables) donde seleccionaremos la base de datos a
la cual vamos a ingresar en este caso seleccionamos la base de
daros altcine_in.

Al evidenciar el error se procede a ejecutar desde la terminar


el programa SQLMAP el siguiente código el cual lleva la
URL de la página sobre la cual y el comando --dbs la cual
enlista las bases de datos que contiene la página Web.
Se visualizan las 17 tablas que se encuentran dentro de la base
de datos altcine_in a la cual ingresamos en el paso anterior.
sqlmap -u http://www.altcine.com/details.php?id=3%C2%B4´
--dbs

Continuando con el proceso al terminar de cargar el comando


nos muestra un listado con las bases de datos existentes en la
página Web de la página altcine

Al visualizar las 17 tablas encontradas en la base de datos


vamos a ingresar a la tabla (config) con la ejecución del
siguiente comando (sqlmap -u
http://www.altcine.com/details.php?id=329 -D altcine_in -T
config –column) donde se indica la tabla que queremos
visualizar y el comando --column donde indicamos la forma
de la cual visualizaremos la información.

Como siguiente paso al ver las listas de bases de datos


provenientes de la página ejecutaremos el siguiente comando
3

IX. CONCLUSIÓN

Es importante protegerse contra los ataques de inyección


SQL porque estos ataques pueden comprometer la
confidencialidad y la integridad de los datos almacenados en
una base de datos. También pueden causar una denegación de
servicio (DoS) y dañar la reputación de una organización.
Además, no protegerse contra estos ataques puede llevar a
incumplir regulaciones de seguridad y privacidad. Para
evitarlos, es crucial implementar buenas prácticas de
seguridad y educar a los usuarios sobre estas amenazas.
Ahora vamos a realizar la inyección de código con el comando
--dump de la siguiente (sqlmap -u
http://www.altcine.com/details.php?id=329 -D altcine_in -T REFERENCIA:
config --columns –dump) como se evidencia a continuación. [1] https://presencial.aulasuniminuto.edu.co/pluginfile.php/1422462/mod_re
source/content/1/SEMANA%207%20%20PRACTICA%20SQLMAP.pd
f

[2] https://www.youtube.com/watch?v=2y70Yj0oSxw

Para finalizar la inyección de código la terminal nos mostrara


la tabla con los campos (id, value, descriptión) con la
información de la tabla config, en este caso no se evidencian
registro en la tabla ya que se encuentra estructurada, pero sin
información.

También podría gustarte