TUTORIAL INYECCION SQL

EDGAR YAMID ALFONSO GUTIERREZ

1115854782
DANILO FLOREZ TUNAROZA
1094268196

PRESENTADO A:
SERGIO PEALOZA

UNIVERSIDAD DE PAMPLONA
FACULTAD DE INGENIERIAS Y ARQUITECTURA
INGENIERIA DE SISTEMAS
PAMPLONA NORTE DE SANTANDER
2015

INTRODUCCION
Una inyeccin SQL es un mtodo de infiltracin de cdigo intruso que se vale de una vulnerabilidad
informtica presente en una aplicacin en el nivel de validacin de las entradas para realizar
consultas a una base de datos.
Para esta prctica utilizramos el sistema operativo DEVIAN OS en el cual instalaremos una
herramienta llamada SQLMAP Y una aplicacin llamada BADSTORE. Lo que haremos es atacar
BASTORE de tal manera q podamos ingresar a las bases de datos y mirar su informacin como las
tablas y campos de estas, por medio de SQLMAP que es la que nos permitir manipular el contenido
de BASTORE.
Objetivo General

Realizar un ataque a la base de datos de badstore.

Objetivo Especfico:

Hacer uso de SQLMAP para realizar el ataque a la base de datos y manipular su informacin.

MARCO TEORICO
SQLMAP:
Es una herramienta desarrollada en Python para realizar inyeccin de cdigo SQL automticamente.
Su objetivo es detectar y aprovechar las vulnerabilidades de inyeccin SQL en aplicaciones web. Una
vez que se detecta una o ms inyecciones SQL en el host de destino, el usuario puede elegir entre
una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseas, los
privilegios, las bases de datos, todo el volcado de tablas / columnas especficas del DBMS, ejecutar
su propio SQL SELECT, leer archivos especficos en el sistema de archivos y mucho ms.
BADSTORE:
Es una aplicacin insegura utilizado para la demostracin, formacin en seguridad y las pruebas
propsitos.
Ha sido desarrollado para ilustrar las vulnerabilidades comunes presentes en muchas aplicaciones
expuestas a intranets, extranets e internets.
BADSTORE es un live CD con trinux, que ocupa nicamente 10 MB. No pide apenas recursos para
arrancar de (64 MB de ram).
Simula una tienda virtual vulnerable, a la que podremos hacer todo tipo de ataques.
HERRAMIENTAS:

VMWARE WORKSTATION
BADSTORE
SQLMAP
DEVIAN OS

INYECCIN SQL EN BADSTORE USANDO SQLMAP

En este caso usaremos dos mquinas virtuales:
Badstore
Deban OS

Iniciamos badstore y con el comando ifconfig averiguamos la ip.

 Iniciamos deban aplicaciones internet navegador web lceweasel

Digitamos la direccin ip que nos dio el badstore: 192.168.218.132

Ahora necesitaremos generar la URL que usaremos para la inyeccin sql. Para ello
necesitaremos introducir en la bsqueda hi y oprimimos el icono de la lupa.

 Descargamos el archivo sqlmapproject-sqlmap-0.9-4124-ge8f87bf.tar y lo

descomprimimos en: carpeta personal de deban

Abrimos una terminal aplicaciones accesorios -- terminal

 Identificamos el gestor de la base de datos y el servidor.

Mostramos las bases de datos.

 Mostramos las tablas de la base de datos badstoredb.

Mostramos las columnas de la tabla itemdb

 Mostramos el contenido de la columna itemnum de la tabla itemdb.

BIBLIOGRAFA
http://www.slideshare.net/Tensor/inyecciones-sql-para-aprendices
http://calebbucker.blogspot.com/2012/06/explotando-vulnerabilidades-de.html

http://redesitmedwin.wikispaces.com/Badstore+y+Virtual+Box