Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
A
deben tener como nombre de dominio el nombre y apellido
CTUALMENTE las organizaciones cuentan con sistemas de
del estudiante.
información para poder gestionar los datos, ya sean
2. Descripción del proceso de instalación del servidor Apache
relacionados con el negocio o los propios para el
y de DVWA.
funcionamiento de la entidad. Es importante que los sistemas
3. Documentación de los ataques que seleccionó para
de información cuenten con varios niveles de seguridad en la
realizar, con base en referencias válidas. Descripción de la
entrada de la información por parte de los usuarios, ya que hoy
realización de cada ataque con evidencias.
en día son muy comunes los ataques como Inyección de
4. Conclusiones
código SQL, XSS Cross-Site Scripting (Ejecución de
5. Referencias
comandos en sitios cruzados) y CSRF Cross-Site Request
Forgery (Falsificación de solicitud entre sitios), entre otros.
III.DESARROLLO DE LA ACTIVIDAD
El desarrollo de este laboratorio pretende que el estudiante
monte un ambiente cliente servidor en una máquina virtual en
Linux e instale la aplicación DVWA (Damn Vulnerable Web
A. INSTALACION DE XAMPP EN MAQUINA VIRTUAL
Application), la cual está desarrollada en PHP con base de
UBUNTU
datos MySQL y se utiliza para el entrenamiento para
profesionales, investigadores y estudiantes para la explotación
de las vulnerabilidades que presenta esta aplicación. En la página oficial de XAMPP se busca la versión para
Linux, este programa incluye el servidor web Apache,
Una vez montado el ambiente en la primera máquina Lenguaje de código abierto PHP y la base de datos MySQL,
virtual, se procede a instalar otra máquina con Kali Linux, la entre otras utilidades.
cual se encargará de realizar los ataques a DVWA.
2
Se inicia la configuración de la instalación de XAMPP. Fig 8. Pregunta obtener más información sobre bitnami
Ahora el proceso de instalación de XAMPP está listo para
iniciar.
El proceso de instalación de XAMPP ha finalizado con Fig 13. Panel de control de XAMPP
éxito.
Una vez los servicios estén arriba, se prueba el
funcionamiento en el navegador Mozilla. En la barra del
navegador se escribe localhost, se presiona enter, e
inmediatamente se visualiza la página de Xampp.
Fig 15. Administrador de base de datos MySQL PhpMyAdmin Fig 18. Aplicación DVWA descargada
Fig 42. Se realiza un ataque de inyección de código Fig 44. Se ejecuta la sentencia para obtener las tablas de la base de datos dvwa
Aparece la lista de las bases de datos que están vulnerables, Se obtienen las tablas de la base de datos dvwa, cuenta con
para el ejemplo se va a enfocar en la base de datos dvwa. las tablas guestbook y users.
Para que aparezcan las tablas que pertenecen a la base de Se va trabajar con la tabla users, por tanto, se ejecuta ahora
datos dvwa ejecutamos el siguiente comando: la siguiente sentencia:
Fig 46. Sentencia ejecutada para la visualziación de los usuarios del sistema
Fig 50. Se ingresa a las opciones del navegador Mozilla Fig 52. Configuración del proxy en el navegador
Posteriormente en la opción de menú Advanced A continuación, se abre la aplicación Burp Suite, la cual
(Avanzada), seleccionar la pestaña Network (Red). tiene la versión gratuita instalada en la distribución Kali de
Linux.
En la opción de que por defecto se encuentra en Use system Fig 53. Inicio de Burp Suite
proxy settings, cambiarla a Manual proxy settings, en el
campo HTTP Proxy, colocar la dirección interna del equipo Se aceptan los términos y condiciones del programa Burp
local, para el caso es 127.0.0.1, y en el puerto colocar 8080, Suite.
correspondiente a peticiones HTTP, al finalizar, pulsar el
botón OK.
12
Fig 64. Autenticación en la página DVWA Fig 66. Pestaña HTTP History con la información de parámetros y cookies
Se visualiza nuevamente la pestaña Raw, y se visualizan Para llevar a cabo el ataque, se ejecuta la siguiente
ahora los datos de acceso al sitio, como nombre de usuario, sentencia:
contraseña y el token de ingreso del usuario.
curl -b “security=low;
PHPSESSID=mq4b1qq219d46dmihla6vbmjp0” –location
“http://192.168.0.18/DVWA-master/index.php” | grep -i
Welcome
F. TERCER ATAQUE, FUERZA BRUTA PARA CONOCER Fig 70. Sección fuerza bruta de DVWA
LA CONTRASEÑA DEL USUARIO QUE SE AUTENTICA,
MEDIANTE HYDRA Para poder ver los detalles de la sesión y adquirir las
cookies, se utiliza nuevamente Burp Suite, para empezar, se
Hydra permite llevar a cabo ataques para lograr descubrir crea un proyecto temporal.
contraseñas, cuenta con soporte para varios tipos de protocolo.
En la actualidad tiene soporte para HTTP, FTP, MySQL Cisco
Auth, MS-SQL, IMAP, Asterisk, entre otros.
Fig 81. Pestaña HTTP History del Burp Suite, con información de las cookies
REFERENCIAS
Fig 82. Obtención de la contraseña del usuario admin de la aplicación DVWA [5] Dragon JAR. SQLMap – Herramienta Automática de Inyección
SQL. Disponible en: https://www.dragonjar.org/sqlmap-herramienta-
Al ejecutar la sentencia, se visualiza la contraseña del automatica-de-inyeccion-sql.xhtml
usuario Admin, la cual es password, de esta forma se ataca con
fuerza bruta la aplicación DVWA con un nivel de seguridad [6] Youtube. Curso de Hacking con Kali Linux: DVWA (SQL
bajo. Injection) (Septiembre 2018). Disponible en:
https://www.youtube.com/watch?v=KmbMtiOfTnQ
DVWA ofrece un ambiente de entrenamiento para [8] Youtube. DVWA - Burp suite y ataque man in the middle
profesionales, investigadores y estudiantes, donde pueden (Febrero 2017). Disponible en: https://www.youtube.com/watch?
v=16yxu9rvmcw
exploran las vulnerabilidades que ofrece la herramienta y
posteriormente realizar el ataque. [9] ReyDes. Ataque Remoto De Contraseñas Utilizando THC-Hydra
(Junio 2014). Disponible en: http://www.reydes.com/d/?
La aplicación Buro Suite permite llevar a cabo pruebas de q=Ataque_Remoto_de_Contrasenas_utilizando_THC_Hydra
seguridad en aplicaciones web, entre las utilidades que tiene
está el servidor proxy, el cual permite examinar y modificar el [10] Youtube. Website hacking - Damn Vulnerable Web App
tráfico de red, intermediando entre la aplicación web y el (DVWA) - Brute force password (Low level) (Abril 2017).
navegador del cliente, cuenta con un escáner de Disponible en: https://www.youtube.com/watch?v=G3UlKUX87tE
vulnerabilidades y un repetidor entre otras utilidades.
[11] OpenWebinars. Hacer testeo con Burp Suite (Noviembre 2017).
Disponible en: https://openwebinars.net/blog/hacer-testeo-con-burp-
La consola Sqlmap permite llevar a cabo inyección de suite/
código SQL, aprovechando las vulnerabilidades de los
aplicativos web, permitiendo al atacante tener una gran
variedad de acciones como: Listar usuarios del sistema, hashes
de las contraseñas, privilegios, conocer las bases de datos y su
estructura; permite además la ejecución de consultas
personalizadas. Actualmente tiene soporte para motores de
bases de datos conocidos como: Oracle, PostgreSQL, SQL
Server, MySQL, Informix, DB2, Sybase y Microsoft Access. Primer Autor: Jaison Josué Ospina Penagos,
(Ibagué, Septiembre 1 de 1979) Ingeniero de
La herramienta Curl, utiliza la línea de comandos que tiene, Sistemas egresado de la Universidad de Ibagué
para transferir datos mediante la URL o barra de direcciones. en 2005, con amplia experiencia como
desarrollador tanto en el sector público como en
Hydra es utilizado para poder descubrir contraseñas, tiene el privado, actualmente presta sus servicios en el
Instituto para la protección de la niñez y la
soporte para protocolos como HTTP, FTP, MySQL Cisco
Juventud (IDIPRON), desarrollando el sistema
Auth, MS-SQL, IMAP, Asterisk, entre otros. misional de la entidad.
19