|
Título: SQL Injection, y ahora que? Publicado por: laotze en 28 Febrero 2011, 19:54 pm Hola, mi situación es la siguiente:
Navegando encontré una web, a la que voy a llamar web@dominio.com.ar, desarrollada en php y mysql. Al realizar la tipica prueba de " AND 1=2" descubro que la web es vulnerable a SQL Injection, por lo que empiezo las pruebas para conseguir datos de la misma. Luego de un rato se que: 1.Existe una tabla llamada USUARIOS 2.La tabla USUARIOS tiene al menos las siguientes columnas: id,nombre,apellido,password,email 3. La cantidad de registros de la tabla es 1 4. El campo "nombre" del registro unico es "NOMBREUS" (no es el real) 5. El campo "password" del registro unico es "PASSUS" 6. El email del mismo es "email@dominio.com.ar" 7. La version de mysql es la 5 Hasta ahí todo bien. Y considerando que hay un solo registro en la tabla de usuarios, sopongo que debe ser administrador (quizás me equivoque?) Ahora bien, recién estoy comenzando con esto, y no se como conectarme, teniendo esos datos, a la base de datos. Lo que yo probé fue crear un nuevo Origen de Datos de Usuario (ODBC) con el driver de mysql OBDC 5.1 driver, al que complete con los datos siguientes: data source: cualquier nombre tcp-ip server: web@dominio.com.ar ( tambien probe poniendo la ip que obtuve al hacer ping a la web) puerto: 3306 ( comprobe que estuviera abierto escaneando con nmap la web, y lo esta) usuario: probe con NOMBREUSS y tambien con el email de la base de datos password: PASSUS obtenido de la SQL injection Al intentar conectar me dice que la autenticacion falla... Estoy haciendo algo mal? sera que los datos de login son de otro protocolo como FTP, o el de acceso al webmail (ya probe ingresar en ambos con los datos pero me da error). Alguien me puede aconsejar que es lo que puede estar pasando? Espero haberme explicado bien, muchas gracias!! Título: Re: SQL Injection, y ahora que? Publicado por: Shell Root en 28 Febrero 2011, 20:35 pm Supongo que esos son los datos de la aplicación no del FTP... XD
Título: Re: SQL Injection, y ahora que? Publicado por: xassiz~ en 28 Febrero 2011, 21:38 pm Supongo que esos son los datos de la aplicación no del FTP... XD Claro, la página tendrá algún gestor de contenidos, un "panel de administración" ;DTítulo: Re: SQL Injection, y ahora que? Publicado por: laotze en 28 Febrero 2011, 21:54 pm Es verdad, tan simple, no se me habia ocurrido. Ahora voy a ver la forma de encontrar el gestor.. gracias!
Título: Re: SQL Injection, y ahora que? Publicado por: laotze en 1 Marzo 2011, 03:30 am RESUELTO, después de encontrar el panel CMS, idea básica que no se me habia ocurrido, probe con los datos que había encontrado, pero no funcionaba. Cuando hice de nuevo SQL Injection a la base me di cuenta que la clave habia cambiado, y que lo hacia cada cierto tiempo. Asi que volvi a poner los datos y ACCESO PERMITIDO!.. a otra cosa..
Saludos a todos, y gracias Título: Re: SQL Injection, y ahora que? Publicado por: santiblack en 26 Marzo 2011, 21:54 pm ahora que as entrado intenta rootear
Título: Re: SQL Injection, y ahora que? Publicado por: D4RIO en 7 Abril 2011, 15:50 pm Claro, es fácil decirlo cuando tu IP no está siendo registrada. Amigo, si no sabes borrar tus huellas y caminar sin tocar el piso, entonces mejor que esa página sea de un amigo tuyo, porque si es una empresa y te registra, te meterás en tu primer problema con esto.
Por un lado, no creo que una empresa seria tenga semejante agujero, incluyendo un pass sin cifrar, y si lo es me jugaría a que es un honeypot, pero en caso de que sea una empresa seria con un serio conflicto de seguridad, no estarán agradecidos de que lo explotes. Se sentirán pateados en la ingle y te buscarán, y no es difícil encontrarte. Título: Re: SQL Injection, y ahora que? Publicado por: zerocoolcom en 13 Abril 2011, 13:27 pm pues mira mmmmmm se supone lograste injectar codigo puedes hacer tu usuario un superadministrador agregar un usuario q le haga de superadministrador y con eso tendras el control de la base de datos y supongo en esa base de datos podria tener contraseñas desencritar alguna o algo asi podrias jugar con esas contraseñas a ver a dodne te llevan y dependiendo done te lleven es q ahgas
Título: Re: SQL Injection, y ahora que? Publicado por: Uruguayo Alpha en 1 Mayo 2011, 22:37 pm mas te vale que sepas borrar tus huellas.
Título: Re: SQL Injection, y ahora que? Publicado por: KrossPock en 5 Mayo 2011, 04:54 am No entiendo porque tanta paranoia, yo era asi antes, entiendo eso si estas ingresando en la db del fbi, pero de una empresita, con un nivel de seguridad tan bajo, que te van a hacer? Yo uso un proxy y listo, es cuestion de logica, que le va a costar mas a la empresa, entrar en contacto con vos, y solucionar el bug, o contratar un equipo de seguridad que rastree tu ip a travez del proxy, en caso de llegar a la ip, si es dinamica, tienen que comunicarse con el isp quien no va a revelar datos asi nomas, seguro se debe necesitar una orden judicial, en caso de llegar hasta tu ip, si la empresa es de otro pais de seguro te tienen qe deportar, no pueden deportar a narcos y asescinos, te van a deportar por cambiar el index de la web de la empresa?
Ovbiamente, tampoco es salir a defacear lo que se nos cruce sin ningun cuidado, pero tampoco es tan asi lo de "borrar todas tus huellas". Esa es mi humilde opinion (?) |