Curso básico seguridad web. Práctica Sql Injection

2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.

3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas.

4. SEGURIDAD Y APLICACIONES WEB Practica SQLi Práctica SQL Injection

5. SEGURIDAD Y APLICACIONES WEB Practica SQLi Para la realización de las prácticas vamos a utilizar una suite de aprendizaje que consiste en un una imagen virtualbox que contiene instaladas varias aplicaciones vulnerables y algunas herramientas para facilitar la realización de ataques sobre ellas. Esta imagen se llama Web Security Dojo. Ha sido preparada por Maven Security y se puede encontrar en: http://www.mavensecurity.com/web_security_dojo/

7. Google's gruyere

8. Damn Vulnerable Web App

9. Hacme Casino

10. OWASP Insecure WebApp

11. W3af's test website

13. w3af

14. sqlmap

15. arachni

16. metasploit

17. Zed Attack Proxy

18. OWASP Skavenger

19. OWASP Dirbuster

21. Ratproxy

22. skipfish

23. websecurify

24. davtest

25. J-Baah

26. JBroFuzz

27. Watobo

28. RATS

29. helpful Firefox add-ons Herramientas:

31. SEGURIDAD Y APLICACIONES WEB Practica SQLi Webgoat es una aplicación ofrecida por OWASP y es una aplicación diseñada para el aprendizaje en pentesting con diversas vulnerabilidades cuya explotación es guiada por la aplicación.

33. Se abrirá una ventana de firefox con la página inicial cargada.

34. Usuario: guest

35. Contraseña:guest

36. SEGURIDAD Y APLICACIONES WEB Practica SQLi

37. SEGURIDAD Y APLICACIONES WEB Practica SQLi

40. SEGURIDAD Y APLICACIONES WEB Practica SQLi

41. SEGURIDAD Y APLICACIONES WEB Practica SQLi

43. Configuramos el navegador para que apunte como proxy a webScarab

44. IP: 127.0.0.1

45. Puerto: 8008

46. Configuramos webScarab para que intercepte las peticiones get y post

47. SEGURIDAD Y APLICACIONES WEB Practica SQLi

48. SEGURIDAD Y APLICACIONES WEB Practica SQLi

51. Entender como funcionan

52. Entender como prevenirlos

55. Modificar el valor de tal forma que la query que se ejecuta sobre la BD devuelva todos los registros

56. SEGURIDAD Y APLICACIONES WEB Practica SQLi

58. Nos aparecerán todos los campos que se intercambian y podremos modificarlos pulsando sobre ellos.

59. Una vez modificados pulsaremos en “Accept Changes” para enviar la solicitud modificada al servidor

60. La aplicación devolverá el resultado de la operación

61. SEGURIDAD Y APLICACIONES WEB Practica SQLi

62. SEGURIDAD Y APLICACIONES WEB Practica SQLi

63. SEGURIDAD Y APLICACIONES WEB Practica SQLi

65. SEGURIDAD Y APLICACIONES WEB Practica SQLi ¿Que habría que introducir para que la consulta devuelva todos registros de la tabla? ¿?

67. SEGURIDAD Y APLICACIONES WEB Practica SQLi

69. Al intentar el ataque de nuevo nos indica que existe un error de parseo ya que el campo introducido no es un entero

70. SEGURIDAD Y APLICACIONES WEB Practica SQLi

71. SEGURIDAD Y APLICACIONES WEB Practica SQLi Vamos a revisar un poco como funciona todo esto a nivel código con otra práctica

73. El objetivo es logarnos como el usuario administrador

75. El campo usuario viene en un combo

76. No tenemos información de la query que se ejecuta a priori (Blind SQL injection)

78. La última nos obliga a pensar en como debería ser la query que se esta ejecutando:

79. ¿Select * from tablaEmpleados where numeroEmpleado=x AND pass=y?

80. SEGURIDAD Y APLICACIONES WEB Practica SQLi

82. Internamente se esta componiendo la query que se va a realizar en la BD de la siguiente manera:

83. String query = "SELECT * FROM employee WHERE userid = " + userId + " and password = '" + password + "'";

87. SEGURIDAD Y APLICACIONES WEB Practica SQLi ¿Y solo se puede hacer esto con SQL injection? NOOOOOO Podemos insertar o modificar datos

90. Los campos son userid y salary

93. Podemos utilizar el punto y coma para ejecutar varias sentencias

94. Tras ejecutar esta query podemos volver a poner jsmith para comprobar que se ha modificado la tabla

96. SEGURIDAD Y APLICACIONES WEB Practica SQLi Pero,... aquí falta algo ¿ como sabemos los nombres de las tablas y los campos para realizar estas inyecciones?

98. Obtener datos sobre la estructura interna de la misma.

100. La aplicación solo informa de que se ha producido un error de manera genérica (Blind SQLi)

102. Arrancamos la aplicación DVWA

103. Arrancamos sqlmap (se abrirá una consola)

104. SEGURIDAD Y APLICACIONES WEB Practica SQLi

105. SEGURIDAD Y APLICACIONES WEB Practica SQLi

110. SEGURIDAD Y APLICACIONES WEB Practica SQLi

111. SEGURIDAD Y APLICACIONES WEB Practica SQLi

114. python sqlmap.py -u 'http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie='PHPSESSID=r0ne9pqfj3du14d64bttchgrj5; security=low' --string="Surname" --dbs

116. [02:28:54] [INFO] the back-end DBMS is MySQL

117. web server operating system: Linux Ubuntu 10.04 (Lucid Lynx)

118. web application technology: PHP 5.3.2, Apache 2.2.14

119. back-end DBMS: MySQL 5.0

120. [02:28:54] [INFO] fetching database names

121. available databases [4]:

122. [*] dvwa

123. [*] information_schema

124. [*] mysql

125. [*] w3af_test

126. SEGURIDAD Y APLICACIONES WEB Practica SQLi Ya sabemos las tecnologías que usa la aplicación y el nombre de las BD que contiene el servidor ¿Que más podríamos sacar? Nombres de tablas Usuarios Passwords …. TODO

128. --users

130. SEGURIDAD Y APLICACIONES WEB Practica SQLi

131. SEGURIDAD Y APLICACIONES WEB Practica SQLi

132. Algunas opciones interesantes SQL map: ( python sqlmap.py -h) --is-dba Detect if the DBMS current user is DBA --roles Enumerate DBMS users roles --dbs Enumerate DBMS databases --columns Enumerate DBMS database table columns --schema Enumerate DBMS schema --dump Dump DBMS database table entries --dump-all Dump all DBMS databases tables entries --sql-query=QUERY SQL statement to be executed --sql-shell Prompt for an interactive SQL shell SEGURIDAD Y APLICACIONES WEB Practica SQLi

134. En todo caso podremos realizar las mismas acciones que el usuario que se conecta a la BD desde la aplicación por lo que siempre es conveniente que este usuario tenga los mínimos privilegios posibles.

136. Vulnerabilidades en la BD

137. Usuario con que se lanza la BD

138. Vulnerabilidades en el SO

139. SEGURIDAD Y APLICACIONES WEB Practica SQLi La criticidad de una vulnerabilidad SQLi no se queda en lo visto hasta ahora que consistiría en acceder a todos los datos y privilegios que el usuario con el que se ejecuta la aplicación. Tenemos acceso a la ejecución de comandos en la BD con lo que en caso de existir vulnerabilidades en la BD podríamos aprovecharlas para escalar privilegios en la mismo o incluso tener acceso a una shell del sistema operativo con lo que poder seguir adentrándonos en el sistema.