SQL Injection, y ahora que?

Iniciado por laotze, 28 Febrero 2011, 19:54 PM

0 Miembros y 1 Visitante están viendo este tema.

laotze

Hola, mi situación es la siguiente:

Navegando encontré una web, a la que voy a llamar web@dominio.com.ar, desarrollada en php y mysql. Al realizar la tipica prueba de " AND 1=2" descubro que la web es vulnerable a SQL Injection, por lo que empiezo las pruebas para conseguir datos de la misma. Luego de un rato se que:

1.Existe una tabla llamada USUARIOS
2.La tabla USUARIOS tiene al menos las siguientes columnas: id,nombre,apellido,password,email
3. La cantidad de registros de la tabla es 1
4. El campo "nombre" del registro unico es "NOMBREUS" (no es el real)
5. El campo "password" del registro unico es "PASSUS"
6. El email del mismo es "email@dominio.com.ar"
7. La version de mysql es la 5

Hasta ahí todo bien. Y considerando que hay un solo registro en la tabla de usuarios, sopongo que debe ser administrador (quizás me equivoque?)

Ahora bien, recién estoy comenzando con esto, y no se como conectarme, teniendo esos datos, a la base de datos. Lo que yo probé fue crear un nuevo Origen de Datos de Usuario (ODBC)  con el driver de mysql OBDC 5.1 driver, al que complete con los datos siguientes:

data source: cualquier nombre
tcp-ip server: web@dominio.com.ar ( tambien probe poniendo la ip que obtuve al hacer ping a la web)
puerto: 3306 ( comprobe que estuviera abierto escaneando con nmap la web, y lo esta)
usuario: probe con NOMBREUSS y tambien con el email de la base de datos
password: PASSUS obtenido de la SQL injection

Al intentar conectar me dice que la autenticacion falla...
Estoy haciendo algo mal? sera que los datos de login son de otro protocolo como FTP, o el de acceso al webmail (ya probe ingresar en ambos con los datos pero me da error).

Alguien me puede aconsejar que es lo que puede estar pasando?
Espero haberme explicado bien, muchas gracias!!

Shell Root

Supongo que esos son los datos de la aplicación no del FTP... XD
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

xassiz~

Cita de: Shell Root en 28 Febrero 2011, 20:35 PM
Supongo que esos son los datos de la aplicación no del FTP... XD
Claro, la página tendrá algún gestor de contenidos, un "panel de administración" ;D

laotze

Es verdad, tan simple, no se me habia ocurrido. Ahora voy a ver la forma de encontrar el gestor.. gracias!

laotze

RESUELTO, después de encontrar el panel CMS, idea básica que no se me habia ocurrido, probe con los datos que había encontrado, pero no funcionaba. Cuando hice de nuevo SQL Injection a la base me di cuenta que la clave habia cambiado, y que lo hacia cada cierto tiempo. Asi que volvi a poner los datos y ACCESO PERMITIDO!.. a otra cosa..

Saludos a todos, y gracias

santiblack

ahora que as entrado intenta rootear

D4RIO

Claro, es fácil decirlo cuando tu IP no está siendo registrada. Amigo, si no sabes borrar tus huellas y caminar sin tocar el piso, entonces mejor que esa página sea de un amigo tuyo, porque si es una empresa y te registra, te meterás en tu primer problema con esto.

Por un lado, no creo que una empresa seria tenga semejante agujero, incluyendo un pass sin cifrar, y si lo es me jugaría a que es un honeypot, pero en caso de que sea una empresa seria con un serio conflicto de seguridad, no estarán agradecidos de que lo explotes. Se sentirán pateados en la ingle y te buscarán, y no es difícil encontrarte.
OpenBSDFreeBSD

zerocoolcom

pues mira mmmmmm se supone lograste injectar codigo puedes hacer tu usuario un superadministrador agregar un usuario q le haga de superadministrador y con eso tendras el control de la base de datos y supongo en esa base de datos podria tener contraseñas desencritar alguna o algo asi podrias jugar con esas contraseñas a ver a dodne te llevan y dependiendo done te lleven es q ahgas

Uruguayo Alpha

mas te vale que sepas borrar tus huellas.

KrossPock

No entiendo porque tanta paranoia, yo era asi antes, entiendo eso si estas ingresando en la db del fbi, pero de una empresita, con un nivel de seguridad tan bajo, que te van a hacer? Yo uso un proxy y listo, es cuestion de logica, que le va a costar mas a la empresa, entrar en contacto con vos, y solucionar el bug, o contratar un equipo de seguridad que rastree tu ip a travez del proxy, en caso de llegar a la ip, si es dinamica, tienen que comunicarse con el isp quien no va a revelar datos asi nomas, seguro se debe necesitar una orden judicial, en caso de llegar hasta tu ip, si la empresa es de otro pais de seguro te tienen qe deportar, no pueden deportar a narcos y asescinos, te van a deportar por cambiar el index de la web de la empresa?
Ovbiamente, tampoco es salir a defacear lo que se nos cruce sin ningun cuidado, pero tampoco es tan asi lo de "borrar todas tus huellas".

Esa es mi humilde opinion (?)