sqlmap

Iniciado por Panic0, 5 Diciembre 2020, 00:19 AM

0 Miembros y 1 Visitante están viendo este tema.

Panic0

Hola a todos,pregunta que se puede hacer con una sql injection?,perdon por mi ignorancia pero se puede hacer algún cambio en alguna pagina con una sql injection?
(al fin y al cabo si no pregunto no aprendo)

Gracias y que tengan buen dia u noche!








:-[
Los ataques de pánico suelen comenzar de forma súbita, sin advertencia.

zellion

Buenas Panic0, todas las preguntas que tengas, realizalas que para estamos por aquí.

Respecto a tu consulta, conseguir realizar una SQL Injection en una web, significa que puedes hacer cualquier cosa con los datos de esa plataforma, ya que estas haciendo peticiones directamente a la base de datos.

Comentarte que para realizar SQL Injection no necesitas ningún programa como sqlmap, es verdad que lo facilita, pero tienes conocer como funciona las sentencias sql y buscar posibles vectores de ataque. Por ejemplo, los campos más comunes son los de los formularios, aunque hay muchos más.

Te dejo un link de la web w3school donde lo explica con ejemplo, pero en internet podrás encontrar bastante información sobre ello.

Link: https://www.w3schools.com/sql/sql_injection.asp

Un saludo.

Panic0

Cita de: zellion en  5 Diciembre 2020, 00:31 AM
Buenas Panic0, todas las preguntas que tengas, realizalas que para estamos por aquí.

Respecto a tu consulta, conseguir realizar una SQL Injection en una web, significa que puedes hacer cualquier cosa con los datos de esa plataforma, ya que estas haciendo peticiones directamente a la base de datos.

Comentarte que para realizar SQL Injection no necesitas ningún programa como sqlmap, es verdad que lo facilita, pero tienes conocer como funciona las sentencias sql y buscar posibles vectores de ataque. Por ejemplo, los campos más comunes son los de los formularios, aunque hay muchos más.

Te dejo un link de la web w3school donde lo explica con ejemplo, pero en internet podrás encontrar bastante información sobre ello.

Link: https://www.w3schools.com/sql/sql_injection.asp

Un saludo.

Ah zellion,muchisimas gracias
Los ataques de pánico suelen comenzar de forma súbita, sin advertencia.

el-brujo

INYECCIÓN SQLi - Medio - Avanzado
https://github.com/Y000o/Sql_injection_medium-advanced.md/blob/main/Sql_injection_medium-advanced.md

INYECCIÓN SQL BÁSICA 💉
https://github.com/Y000o/sql_injection_basic

Puedas practicar con la pagina testphp.vulnweb.com que es específicamente diseñada para entender este tipo de vulnerabilidades, en la imagen podemos observar su panel principal.

O bien Damn Vulnerable Web App (DVWA) es una aplicación web desarrollada en PHP y MySQL para poder montarnos nuestro propio laboratorio.

CitarDamn Vulnerable Web App (DVWA) es una aplicación web desarrollada en PHP y MySQL para poder montarnos nuestro propio laboratorio de explotación de vulnerabilidades web, perfecto para poner a pruebas nuestras habilidades en el tema e igualmente para aprender nuevas técnicas.

Ejemplo OWASP Mutillidae
Para ello, vamos a coger un ejemplo de una máquina vulnerable, llamada "OWASP Mutillidae II".

Se accede la web: https://192.168.0.21/mutillidae/ y, usando los menús, se accede a "User Info (SQL)":

Ejemplo bWAPP
Se carga la aplicación web bWAPP y se accede al siguiente enlace: https://192.168.0.21/bWAPP/login.php

Posteriormente se introducen las credenciales: bee/bug y se selecciona el menú SQL Injection (Search/GET)

Herramientas automatizadas para ataques SQL injection
https://blog.elhacker.net/2016/04/herramientas-automatizadas-para-ataques-tecnica-sql-injection.html

Tutorial - Manual SQLmap: ataques SQLi - Inyección SQL
https://blog.elhacker.net/2014/06/sqlmap-automatizando-ataques-sqli-injection.html

jSQL Injection: herramienta automatizada en Java para realizar ataques inyección SQL

https://blog.elhacker.net/2017/04/jsql-injection-herramienta-automatizada-java-ataques-inyeccion-sql.html