Beruflich Dokumente
Kultur Dokumente
[In]Seguridad Informtica
P e n e t r a t i o n T e s t i n g E t h i c a l H a c k i n g V u l n e r a b i l i t i e s
TRASLATE
SelectLanguage
FOLLOWME :
Seguira@CalebDrugs
SGUEME A TRAVS DE
AFILIADOS :
VISITANTES
ENTRADAS RECIENTES
2 0 1 3 ( 8 ) m a r z o ( 1 )
[ S Q L M A P ] S Q L I n j e c t i u t i l i z a n d o m t o d o
f e b r e r o ( 1 ) e n e r o ( 6 ) 2 0 1 2 ( 1 1 8 )
calebbucker.blogspot.ru/2013/03/sqlmap-sql-injection-utilizando-metodo.html
1/7
6/28/13
A l v i s u a l i z a r e s t a v u l n e r a b i l i d a d , s o m o s c o n s c i e n t e q u e s e p u e d e e x p l o t a r m a n u a l m e n t e o a u t o m a t i z a d a m e n t e , p a r a a s o b t e n e r l o s d a t o s q u e n o s p e r m i t a l o g e a r n o s d e u n a m a n e r a c o r r e c t a a l s e r v i d o r . A h o r a , p a r a s e g u i r p r o b a n d o s i e l L O G I N t i e n e a l g n o t r o t i p o d e v u l n e r a b i l i d a d , r e g r e s a m o s a l f o r m y d e j a m o s e n b l a n c o e l u s u a r i o y c l a v e y l e c l i q u e a m o s e n C o n e c t a r , l a c u a l e l s e r v i d o r n o s m u e s t r a l o s i g u i e n t e :
A l g o r a r o c i e r t o ? P o r q u e ? . . . E s t e L O G I N n o s d e m u e s t r a q u e l a s p e t i c i o n e s n o e s t n v a l i d a d a s , q u i e r e d e c i r q u e s i c o l o c a m o s a l g n b y p a s s , e s t a n o s m u e s t r a u n a v u l n e r a b i l i d a d , c o m o t a m b i n s i d e j a m o s l o s f o r m e n b l a n c o y c l i q u e a m o s e n c o n e c t a r , e s t a n o s p e r m i t e s a l t a r n o s d e l l o g i n . B i e n , d e s p u s d e h a b e r l l e g a d o a u n a s p e q u e a s c o n c l u s i o n e s s o b r e q u e e l s e r v i d o r t i e n e u n a v u l n e r a b i l i d a d e n e l l o g i n y q u e l a s p e t i c i o n e s n o e s t n v a l i d a d a s , p r o c e d e r e m o s a u t i l i z a r e l L i v e H T T P H e a d e r s p a r a a s v e r l a s c a b e c e r a s d e l l o g i n a l m o m e n t o q u e c l i q u e e m o s e n C o n e c t a r . E n e s t e c a s o d e s p u s d e h a b e r c o l o c a d o e l L i v e H T T P H e a d e r s a l a e s c u c h a d e l o q u e p a s a p o r e l s e r v i d o r m i e n t r a s c l i q u e a m o s e n C o n e c t a r d e j a n d o t o d o e l b l a n c o , e s t a n o s d e v u e l v e l o s i g u i e n t e :
calebbucker.blogspot.ru/2013/03/sqlmap-sql-injection-utilizando-metodo.html
2/7
6/28/13
H e m o s o b t e n i d o 3 d a t o s m u y i m p o r t a n t e s ! l a s c u a l e s s o n : h t t p : / / w w w . u a p . e d u . p e / i n t r a n e t / l o g o n 2 . a s p P O S T / i n t r a n e t / l o g o n 2 . a s p H T T P / 1 . 1 u s u a r i o = & p w = & u s e r = 0 7 & B 7 = + + C o n e c t a r + + L a p r i m e r a e s p o s i b l e m e n t e l a U R L V u l n e r a b l e , l a s e g u n d a n o s i n d i c a q u e l a v a r i a b l e e s P O S T y e l u l t i m o , l o s p a r m e t r o s q u e p o s i b l e m e n t e s o n v u l n e r a b l e s . E n t o n c e s p r o c e d e r e m o s a e x p l o t a r l a v u l n e r a b i l i d a d a u t o m a t i z a d a m e n t e q u e s e e n c u e n t r a e n e l L O G I N , u t i l i z a n d o S Q L M A P y e j e c u t a n d o e l s i g u i e n t e c o m a n d o b a s n d o n o s e n l o s d a t o s o b t e n i d o s p o r e l L i v e H T T P H e a d e r s . . / s q l m a p . p y u " h t t p : / / w w w . u a p . e d u . p e / i n t r a n e t / l o g o n 2 . a s p " d a t a = " u s u a r i o = & p w = & u s e r = 0 7 & B 7 = + + C o n e c t a r + + " p " u s u a r i o " l e v e l = 5 r i s k = 5 d b s
D e s p u s d e q u e l a h e r r a m i e n t a t e r m i n e d e a u d i t a r e l s e r v i d o r , e s t a d e t e c t a r a q u e e l p a r m e t r o P O S T " u s u a r i o " e s v u l n e r a b l e , t a l c u a l s e m u e s t r a e n l a s i g u i e n t e i m a g e n :
calebbucker.blogspot.ru/2013/03/sqlmap-sql-injection-utilizando-metodo.html
3/7
6/28/13
A p a r t i r d e a l l , y a s a b e m o s q u e d i c h o L O G I N e s r e a l m e n t e v u l n e r a b l e y l o h e m o s e x p l o t a d o c o n t o t a l s a t i s f a c c i n o b t e n i e n d o a s t o d a l a b a s e d e d a t o s d e l s e r v i d o r .
A h o r a s i ! c o n e s t a D B o b t e n d r e m o s l o s r e s p e c t i v o s d a t o s r e a l e s p a r a p o d e r l o g e a r n o s s a t i s f a c t o r i a m e n t e e n e l L O G I N q u e t a n t o d e s e a m o s ; ) E s p e r o l e s s i r v a . S a l u d o s .
P u b l i c a d o p o r C a l e b B u c k e r e n d o m i n g o , m a r z o 2 4 , 2 0 1 3
21 comentarios:
C a s h . N e t2 4 d e m a r z o d e 2 0 1 3 1 4 : 4 0 M u y b u e n o e l p o s t , c o m o s e p u e d e p r e v e n i r e s t e t i p o d e a t a q u e s ? ? R e s p o n d e r
calebbucker.blogspot.ru/2013/03/sqlmap-sql-injection-utilizando-metodo.html
4/7
6/28/13
B T s h e l l2 4 d e m a r z o d e 2 0 1 3 1 4 : 4 6 C o m o s i e m p r e , m u y b u e n o c a l e . A T T E : B T s h e l l R e s p o n d e r
A n n i m o2 4 d e m a r z o d e 2 0 1 3 1 6 : 3 9 M e r e c i o l a p e n a l a e s p e r a , e x c e l e n t e C a l e . R e s p o n d e r
A n n i m o2 4 d e m a r z o d e 2 0 1 3 1 7 : 2 5 G e n i a l , s i e m p r e e s t o y e s p e r a n d o n u e v o s a r t c u l o s , n o p a r e s . G r a c i a s . R e s p o n d e r
A n n i m o2 4 d e m a r z o d e 2 0 1 3 1 8 : 1 5 y s i t i e n e f w a c t i v o R e s p o n d e r
D a n i e l M a l d o n a d o2 5 d e m a r z o d e 2 0 1 3 0 4 : 3 4 M u y b u e n a d e m o p a r a d e m o s t r a r u n a n l i s i s y r a z o n a m i e n t o a n t e s d e c o m e n z a r l a s p r u e b a s d e i n t r u s i n . S a l u d o s . R e s p o n d e r
O m a r R o d r i g u e z2 5 d e m a r z o d e 2 0 1 3 1 0 : 1 8 Q u e b u e n p o s t b r o , e x e l e n t e R e s p o n d e r
A n n i m o2 5 d e m a r z o d e 2 0 1 3 1 5 : 0 6 B u e n p o s t c a l e b d e b e r a s a a d i r e s t o h e r m a n o p a r a e l a n l i s i s s e a a n n i m o h t t p : / / w w w . e l p a l o m o . c o m / 2 0 1 2 / 0 4 / a n o n i m a t o e n i n t e r n e t t o r p o l i p o y s q l m a p / c o m m e n t p a g e 1 / # c o m m e n t 1 3 2 1 E x c e l e n t e R e s p o n d e r
A n n i m o2 9 d e m a r z o d e 2 0 1 3 0 1 : 0 3 s i e m p r e p u b l i c a n d o b u e n a s n o t a s h a c e r c a d e s e g u r i d a d e l p u n t o e s a p r e n d e r e s p e r o s i g a s p u b l i c a n d o c o s a s t a n b u e n a s e i n t e r e s a n t e s c o m o s i e m p r e t o d o s l o s p o s t s o n i n t e r e s a n t e s e n l a g o o g l e m i l e s d e b l o g s c o m o e l t u y o d e u n p o c o a q u i y o t r o a c a s e a p r e n d e , s i g u e a s i . R e s p o n d e r R e s p u e s t a s A n n i m o5 d e a b r i l d e 2 0 1 3 1 4 : 2 7 A p r e n d e a e s c r i b i r a n i m a l ! h a c e r c a ? ? ? ? R e s p o n d e r
A n n i m o3 0 d e m a r z o d e 2 0 1 3 1 0 : 3 0 S Q L M A P u n a H e r r a m i e n t a m u y b u e n a R e s p o n d e r
G e c k o C r u z3 1 d e m a r z o d e 2 0 1 3 1 1 : 5 1 E s t a i n f o r m a c i n e s m u y v a l i o s a , p e r o i g u a l t e n g o l a m i s m a d u d a , c m o p o d e m o s e v i t a r u n a t a q u e s i m i l a r ? o q u s u g i e r e s p a r a d e j a r u n s i s t e m a l o m a s s e g u r o p o s i b l e ( a p a r t e d e n i u s a r w i n d o w s j e j e j e j e j e ) ? R e s p o n d e r R e s p u e s t a s E d i s o n J i m n e z2 4 d e a b r i l d e 2 0 1 3 0 6 : 3 2
calebbucker.blogspot.ru/2013/03/sqlmap-sql-injection-utilizando-metodo.html
5/7
6/28/13
A n n i m o4 d e a b r i l d e 2 0 1 3 0 9 : 4 1 E r e s u n m u y m a l o t e c a l e v ! t a d m i r o m u c h ! s l d o s d s d a r g e n t n a R e s p o n d e r
A n n i m o1 3 d e a b r i l d e 2 0 1 3 1 4 : 5 0 v e r y f u c k i n g c o o l b r o ! * O * R e s p o n d e r
A n n i m o1 9 d e a b r i l d e 2 0 1 3 2 1 : 2 8 Q u e b u e n B l o g , t e f e l i c i t o , l l e v o u n a s e m a n a d e p r e d a n d o l a i n f o d e t u g e n i a l b l o g ( l e y e n d o ) , u n s a l u d o y e s t o y m u y a t e n t o a l a p r x i m a e n t r e g a . S l d s . R e s p o n d e r
W a l t e r H u g o1 0 d e m a y o d e 2 0 1 3 1 2 : 2 1 p u b l i c a d e l a P a g i n a J o o m l a , d e l a U N P S u s v u l n e r a b i l i d a d e s l o s l i n k y q t i p o d e v u l n e r a b i l i d a d e s . R e s p o n d e r
A n n i m o1 5 d e m a y o d e 2 0 1 3 1 2 : 0 6 c a n w e h a v e a n y u p d a t e p l e a s e , c o n g r a t u l a t i o n s f o r t h e b l o g . K i n g R e g a r d s . R e s p o n d e r
A n n i m o8 d e j u n i o d e 2 0 1 3 0 7 : 3 1 B u e n p o s t c a l e b d e b e r a s a a d i r a l g u n a e n t r a d a n u e v a e n t u b l o g , e s m u c h o t i e m p o s i n t e n e r n o v e d a d e s . S l d s . R e s p o n d e r
A n n i m o1 1 d e j u n i o d e 2 0 1 3 1 6 : 0 2 f u e f a c i l s e n o t a q u e l a s e g u r i d a d e s p e s i m a . R e s p o n d e r A a d i r c o m e n t a r i o
I n t r o d u c et uc o m e n t a r i o . . .
P g i n a p r i n c i p a l
E n t r a d a a n t i g u a
calebbucker.blogspot.ru/2013/03/sqlmap-sql-injection-utilizando-metodo.html
6/7
6/28/13
S u s c r i b i r s e a : E n v i a r c o m e n t a r i o s ( A t o m )
C L S e c u r i t y @ C a l e b B u c k e r . P l a n t i l l a P i c t u r e W i n d o w . I m g e n e s d e p l a n t i l l a s d e f o l l o w 7 7 7 . C o n l a t e c n o l o g a d e B l o g g e r .
calebbucker.blogspot.ru/2013/03/sqlmap-sql-injection-utilizando-metodo.html
7/7