elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Avanzado (Moderadores: ANELKAOS, toxeek)
| | |-+  Base de datos de webs con certificado SSL ( HTTPS)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Base de datos de webs con certificado SSL ( HTTPS)  (Leído 430 veces)
Reddington

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Base de datos de webs con certificado SSL ( HTTPS)
« en: 2 Enero 2018, 01:30 »

Hola,

Quiero saber una manera de obtener una base de datos ( no estoy interesado en credenciales ni nada por el estilo, con sacar lista de nombres, números... y una lista de tablas me basta), de una pagina web con certificado SSL, ya que en otras sin dicha seguridad es mas fácil obtenerla, suelo usar kali linux.

¿Que manera hay para poder hacerlo?

Gracias de antemano.
En línea

engel lex
CoAdmin
***
Desconectado Desconectado

Mensajes: 13.198



Ver Perfil
Re: Base de datos de webs con certificado SSL ( HTTPS)
« Respuesta #1 en: 2 Enero 2018, 02:20 »

que  tiene que ver el certificado ssl aquí? si es http/s es simplemente eso, tu estás atacando una vulnerabilidad de capa 4... recomiendo estudiar y aprender la teoría antes de intentar cualquier cosa, practica sin teoría es como un ciego con una cámara fotografica
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
chapo

Desconectado Desconectado

Mensajes: 7



Ver Perfil
Re: Base de datos de webs con certificado SSL ( HTTPS)
« Respuesta #2 en: 2 Enero 2018, 05:26 »

Que tal engel lex, me pareció interesante tu respuesta, me imagino que si dices capa 4 te refieres al modelo OSI ya que si fuera la TCP/IP fuera la ultima capa, esta es una de las cosas interesantes pensadlo así rápido en efecto empezaría el SSL en la capa de presentación (capa 6), y mucha gente se puede confundir ya que trabaja arribista de tcp/IP, insisto me pareció una buena respuesta basándote en las capas. Se que no tiene nada que ver con el tema pero viendo un ejemplo de una DB como SQL encajaría mas en la capa 5 por mantener sesiones entre los queries del cliente y la DB del server y mas por el uso del concepto de transacciones, ya en la capa 4 nos enfocaríamos mas en los puertos como no se mysql 3306, en fin ya escribí mucho pero con la leída que di me pusiste a pensar.

saludos
En línea

engel lex
CoAdmin
***
Desconectado Desconectado

Mensajes: 13.198



Ver Perfil
Re: Base de datos de webs con certificado SSL ( HTTPS)
« Respuesta #3 en: 2 Enero 2018, 06:32 »

en hecho, por encima de la capa 4 las llamamos "capas virtuales" ya que no son "reales" (a nivel de protocolo o fincionamiento) por lo tanto se vuelven difusas y tema de discusión que capa es que... siendo contrapuesto al objetivo mismo del osi (y por esto el tcp/ip no las incluye)

en tal caso está hablando del mysql y de ssl, si está buscando atacar el ssl es una vulnerabilidad de capa 4... aunque ahora que lo describes, creo que había entendido con contrario de lo que quería D: aquí estamos enfrentandonos a un ataque a un servicio (tras otro servicio web processor  ->  database)
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Reddington

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Base de datos de webs con certificado SSL ( HTTPS)
« Respuesta #4 en: 2 Enero 2018, 13:52 »

que  tiene que ver el certificado ssl aquí? si es http/s es simplemente eso, tu estás atacando una vulnerabilidad de capa 4... recomiendo estudiar y aprender la teoría antes de intentar cualquier cosa, practica sin teoría es como un ciego con una cámara fotografica

Primero decir que soy algo novato en este mundo, disculpad por si digo alguna cosa sin mucho sentido.
Si no entendí mal, puedo hacerlo de la misma manera, sin importar que tenga seguridad SSL, ¿cierto?
En línea

engel lex
CoAdmin
***
Desconectado Desconectado

Mensajes: 13.198



Ver Perfil
Re: Base de datos de webs con certificado SSL ( HTTPS)
« Respuesta #5 en: 2 Enero 2018, 16:11 »

basicamente lo que estás diciendo es "quiero abrir una caja fuerte, pero el lobby del banco tiene sillas de cuero"
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Reddington

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Base de datos de webs con certificado SSL ( HTTPS)
« Respuesta #6 en: 2 Enero 2018, 17:00 »

Vale, entiendo.

Quisiera comentarte ahora, que entré en sqlmap para poder intentar sacar dicha base de datos, al introducir la pagina me saltó esto: " Heuristics detected that the target is protected by some king of WAF/IPS/IDS ", después de decirle que acepto que siga hacia delante, me salta esto otro: " WAF/IPS/IDS identified as "Generic (Uknown)". Please consider usage of tamper scripts". Y ya después para el proceso.

A eso me refiero con el que no es lo mismo con que sin esa seguridad. Aunque ahora entiendo mejor, el que da igual que tenga dicha seguridad, no se solucionar esto. ¿Que podría hacer?
En línea

#!drvy
CoAdmin
***
Desconectado Desconectado

Mensajes: 4.736



Ver Perfil WWW
Re: Base de datos de webs con certificado SSL ( HTTPS)
« Respuesta #7 en: 2 Enero 2018, 17:47 »

WAF = Web Application Firewall
IPS = Intrusion Prevention System
IDF = Intrusion Detection System

https://es.wikipedia.org/wiki/Web_application_firewall
https://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
https://es.wikipedia.org/wiki/Sistema_de_prevenci%C3%B3n_de_intrusos

No tienen nada que ver con SSL. Cuando SQLMap detecta que el servicio que intentas atacar tiene un WAF/IPS/IDF, generalmente quiere decir que hay un servicio encargado de detectar y prevenir los ataques y que no puede continuar sin tampear (ocultar/modificar) los vectores de ataque.

Dicho de otro modo, imagínate que estas atracando la caja fuerte de un banco cuyo lobby tiene asientos de cuero y que nada más entras, te para un guardia y te pregunta que "que haces".

Tendrás que saltarte al guardia de algún modo...


Saludos
« Última modificación: 2 Enero 2018, 17:51 por #!drvy » En línea

Reddington

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Base de datos de webs con certificado SSL ( HTTPS)
« Respuesta #8 en: 2 Enero 2018, 18:04 »

Al final el ejemplo nos va a dar historia XD

Al caso, si estuve leyendo que quería decir ese tipo de seguridad y ya he comprendido bien el SSL y todo esto. He intentado saltarme dicha seguridad, y como mucho he conseguido el nombre de la empresa y el tipo de aplicación creo que usa para protegerse. Es: Big-IP Application Security Manager y la empresa: F5 Networks. Y según he leído también es una buena segurudad, ya sabes la empresa la vende como la mejor, ¿hay alguna manera de saltarse esto? Algun tamper o alguna otra herramienta fuera aparte de sqlmap
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
web https con certificado que admite password erroneas
Hacking Básico
T0rete 2 979 Último mensaje 7 Noviembre 2006, 14:50
por dimitrix
Conexiones Https a servidor con certificado autofirmado
Java
alzehimer_cerebral 0 1,777 Último mensaje 20 Junio 2010, 13:43
por alzehimer_cerebral
Alguna manera de cojer base de datos de webs?
Seguridad
Puntoinfinito 1 1,028 Último mensaje 9 Marzo 2012, 18:10
por el-brujo
[TUTORIAL] Certificado HTTPS ¡GRATIS!
Seguridad
kub0x 9 8,036 Último mensaje 18 Agosto 2016, 05:40
por Diabliyo
cURL error 77 al conectar una https con certificado
PHP
Apokryphos 0 974 Último mensaje 21 Junio 2017, 21:35
por Apokryphos
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines