elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  SQL Injection, y ahora que?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SQL Injection, y ahora que?  (Leído 6,612 veces)
laotze

Desconectado Desconectado

Mensajes: 3


Ver Perfil
SQL Injection, y ahora que?
« en: 28 Febrero 2011, 19:54 pm »

Hola, mi situación es la siguiente:

Navegando encontré una web, a la que voy a llamar web@dominio.com.ar, desarrollada en php y mysql. Al realizar la tipica prueba de " AND 1=2" descubro que la web es vulnerable a SQL Injection, por lo que empiezo las pruebas para conseguir datos de la misma. Luego de un rato se que:

1.Existe una tabla llamada USUARIOS
2.La tabla USUARIOS tiene al menos las siguientes columnas: id,nombre,apellido,password,email
3. La cantidad de registros de la tabla es 1
4. El campo "nombre" del registro unico es "NOMBREUS" (no es el real)
5. El campo "password" del registro unico es "PASSUS"
6. El email del mismo es "email@dominio.com.ar"
7. La version de mysql es la 5

Hasta ahí todo bien. Y considerando que hay un solo registro en la tabla de usuarios, sopongo que debe ser administrador (quizás me equivoque?)

Ahora bien, recién estoy comenzando con esto, y no se como conectarme, teniendo esos datos, a la base de datos. Lo que yo probé fue crear un nuevo Origen de Datos de Usuario (ODBC)  con el driver de mysql OBDC 5.1 driver, al que complete con los datos siguientes:

data source: cualquier nombre
tcp-ip server: web@dominio.com.ar ( tambien probe poniendo la ip que obtuve al hacer ping a la web)
puerto: 3306 ( comprobe que estuviera abierto escaneando con nmap la web, y lo esta)
usuario: probe con NOMBREUSS y tambien con el email de la base de datos
password: PASSUS obtenido de la SQL injection

Al intentar conectar me dice que la autenticacion falla...
Estoy haciendo algo mal? sera que los datos de login son de otro protocolo como FTP, o el de acceso al webmail (ya probe ingresar en ambos con los datos pero me da error).

Alguien me puede aconsejar que es lo que puede estar pasando?
Espero haberme explicado bien, muchas gracias!!
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.723


<3


Ver Perfil WWW
Re: SQL Injection, y ahora que?
« Respuesta #1 en: 28 Febrero 2011, 20:35 pm »

Supongo que esos son los datos de la aplicación no del FTP... XD
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
xassiz~


Desconectado Desconectado

Mensajes: 457



Ver Perfil WWW
Re: SQL Injection, y ahora que?
« Respuesta #2 en: 28 Febrero 2011, 21:38 pm »

Supongo que esos son los datos de la aplicación no del FTP... XD
Claro, la página tendrá algún gestor de contenidos, un "panel de administración" ;D
En línea

laotze

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: SQL Injection, y ahora que?
« Respuesta #3 en: 28 Febrero 2011, 21:54 pm »

Es verdad, tan simple, no se me habia ocurrido. Ahora voy a ver la forma de encontrar el gestor.. gracias!
En línea

laotze

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: SQL Injection, y ahora que?
« Respuesta #4 en: 1 Marzo 2011, 03:30 am »

RESUELTO, después de encontrar el panel CMS, idea básica que no se me habia ocurrido, probe con los datos que había encontrado, pero no funcionaba. Cuando hice de nuevo SQL Injection a la base me di cuenta que la clave habia cambiado, y que lo hacia cada cierto tiempo. Asi que volvi a poner los datos y ACCESO PERMITIDO!.. a otra cosa..

Saludos a todos, y gracias
En línea

santiblack

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: SQL Injection, y ahora que?
« Respuesta #5 en: 26 Marzo 2011, 21:54 pm »

ahora que as entrado intenta rootear
En línea

D4RIO


Desconectado Desconectado

Mensajes: 1.004


U N I X


Ver Perfil WWW
Re: SQL Injection, y ahora que?
« Respuesta #6 en: 7 Abril 2011, 15:50 pm »

Claro, es fácil decirlo cuando tu IP no está siendo registrada. Amigo, si no sabes borrar tus huellas y caminar sin tocar el piso, entonces mejor que esa página sea de un amigo tuyo, porque si es una empresa y te registra, te meterás en tu primer problema con esto.

Por un lado, no creo que una empresa seria tenga semejante agujero, incluyendo un pass sin cifrar, y si lo es me jugaría a que es un honeypot, pero en caso de que sea una empresa seria con un serio conflicto de seguridad, no estarán agradecidos de que lo explotes. Se sentirán pateados en la ingle y te buscarán, y no es difícil encontrarte.
En línea

OpenBSDFreeBSD
zerocoolcom

Desconectado Desconectado

Mensajes: 79


Ver Perfil
Re: SQL Injection, y ahora que?
« Respuesta #7 en: 13 Abril 2011, 13:27 pm »

pues mira mmmmmm se supone lograste injectar codigo puedes hacer tu usuario un superadministrador agregar un usuario q le haga de superadministrador y con eso tendras el control de la base de datos y supongo en esa base de datos podria tener contraseñas desencritar alguna o algo asi podrias jugar con esas contraseñas a ver a dodne te llevan y dependiendo done te lleven es q ahgas
En línea

Uruguayo Alpha

Desconectado Desconectado

Mensajes: 6


Lammer Profesional.


Ver Perfil
Re: SQL Injection, y ahora que?
« Respuesta #8 en: 1 Mayo 2011, 22:37 pm »

mas te vale que sepas borrar tus huellas.
En línea

KrossPock

Desconectado Desconectado

Mensajes: 208



Ver Perfil
Re: SQL Injection, y ahora que?
« Respuesta #9 en: 5 Mayo 2011, 04:54 am »

No entiendo porque tanta paranoia, yo era asi antes, entiendo eso si estas ingresando en la db del fbi, pero de una empresita, con un nivel de seguridad tan bajo, que te van a hacer? Yo uso un proxy y listo, es cuestion de logica, que le va a costar mas a la empresa, entrar en contacto con vos, y solucionar el bug, o contratar un equipo de seguridad que rastree tu ip a travez del proxy, en caso de llegar a la ip, si es dinamica, tienen que comunicarse con el isp quien no va a revelar datos asi nomas, seguro se debe necesitar una orden judicial, en caso de llegar hasta tu ip, si la empresa es de otro pais de seguro te tienen qe deportar, no pueden deportar a narcos y asescinos, te van a deportar por cambiar el index de la web de la empresa?
Ovbiamente, tampoco es salir a defacear lo que se nos cruce sin ningun cuidado, pero tampoco es tan asi lo de "borrar todas tus huellas".

Esa es mi humilde opinion (?)
En línea


Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sql injection
Nivel Web
TheAnswer 1 3,505 Último mensaje 11 Octubre 2004, 08:07 am
por Jec
SQL Injection
Nivel Web
Adept 4 4,305 Último mensaje 7 Diciembre 2004, 22:56 pm
por PaK0
Super duda! que pasa ahora con los dvd que antes 4,7 y ahora 4,3 ?
Dudas Generales
sauces 9 5,881 Último mensaje 15 Junio 2010, 14:34 pm
por Akai
CAST EXEC en sql injection(Automated Sql Injection)
Nivel Web
EvilGoblin 2 4,955 Último mensaje 11 Julio 2010, 22:25 pm
por EvilGoblin
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines