PEN-TESTING: SQL-Injection Mini-MySqlatOr

Ya hablamos en su día de sql-injection (ver 1,2), y en particular de como hacerlo contra la base de datos MySQL. En este post, vamos a repasar una herramienta que, sin ser a prueba de bombas, nos puede resultar de gran ayuda cuando intentamos automatizar el proceso de crackeo de una web a través de sql-injection contra alguno de sus parámetros, MiniMySqlatOr.

El uso e instalación de esta herramienta es muy sencillo. Primero, le diremos que haga crawling de la página web que queremos atacar:

crawling.jpg

Después del crawling, en la siguiente pestaña, le diremos que examine todos los parámetros y le daremos a buscar sql-injection:

buscar-sqli.jpg

Como podéis ver, ha marcado en rojo todos los parámetros sobre los que puede hacerse sql-injection. Ahora, seleccionamos uno de ellos y vamos a la siguiente pestaña, donde le diremos que "explote" la vulnerabilidad. Al cabo de un rato, si es que lo consigue (no siempre pasa), nos dará una lista de todas las tablas que podemos leer:

exploiting.jpg

En este caso, elegiremos la que contiene los usuarios y passwords de la web, y le damos a dump:

dump.jpg

Como habéis visto, una herramienta muy sencilla y que nos ayudará en muchas ocasiones. Eso sí, sólo para mysql y sabiendo que si falla no quiere decir que no se pueda hacer sql-injection, sino que la herramienta no es perfecta. De hecho, la mayoría de las herramientas para sql-injection fallan bastante, y siempre debemos probar con unas cuantas hasta que lo conseguimos.

Por último, notar que la herramienta tiene un inconveniente un poco feo: no puede configurarse para que vaya a través de proxy.

Un saludo y hasta pronto.
Fuente

Comentarios

Accede o Regístrate para comentar.