viernes, 12 de febrero de 2021

Automatización de ataques de inyección SQL con LAZYSQLMAP. pruebe la seguridad de su aplicación web

En esta ocasión, los expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán LazySQLMap, una herramienta disponible en GitHub para la inyección SQL automatizada. A diferencia de SQLMap, no se necesita ingresar largos comandos, puesto que la herramienta hará prácticamente todo el trabajo por usted.

Para empezar debemos buscar un sitio web vulnerable donde podamos probar la herramienta. Completemos este paso usando Dorks o cualquier herramienta de análisis de vulnerabilidades.

LazySQLMap es instalada y lanzada usando el siguiente comando:

1
2
3
4
5
apt install git python2
git clone https://github.com/Yukinoshita47/lazysqlmap.git
cd lazysqlmap
chmod 777 install.sh
./install.sh

Ejecute la herramienta con el siguiente comando:

1
lazysqlmap

Acorde a los expertos en seguridad informática, la herramienta podría lanzar algunas preguntas durante la ejecución. Recuerde leerlas cuidadosamente y responder con “Sí” o “No”.

El programa encontró lo que necesitaba:

No necesitamos information_schema, intentemos buscar algo interesante en wciom_info:

Como se menciona anteriormente, no es necesario que ingrese el comando, ya que el programa le preguntará qué necesita para su investigación. En este ejemplo, buscamos información sobre wciom_info:

La captura de pantalla anterior muestra toda la información recolectada.

A la siguiente solicitud del programa, solo responderemos con el parámetro be_users:

Buscamos y elegimos lo que necesitamos ingresar la próxima vez. Elegimos lo que necesitamos e ingresamos los parámetros separados por comas:

Hemos obtenido dos hashes, mismos que aprenderemos a descifrar en otra ocasión junto con los expertos en seguridad informática.

Para mayor información consulte las plataformas oficiales del Instituto Internacional de Seguridad Cibernética (IICS). Recuerde que este material fue elaborado con fines educativos.

Fuente: https://noticiasseguridad.com/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

 

 

No hay comentarios:

Publicar un comentario

Más leídas este mes