* Parametro básico para auditar la seguridad con SQLmap:
sqlmap -u "http://direccionweb.com/pagina.php?id=1" --dbs
Desglosemos un poco:
sqlmap: comando para ejecutar la herramienta
-u: le decimos a sqlmap que ingresaremos un URL
http://direccionweb.com/pagina.php?id=1: le damos la URL a sqlmap, importante es el prefijo ?id=1
--dbs: indicamos que deseamos obtener mediante SQL injection el listado de base de datos.
Veamos un ejemplo:
 |
| Imagen 1: ejecutamos el comando sqlmap -u www.direccionweb.com/pagina.php?id=1--dbs para obtener el listado de base de datos almacenadas en el servidor a auditar. |
 |
| Imagen 2: confirmarnos mediante "y" que solo deseamos escanear el servidor solo con MySQL |
 |
| Imagen 3: sqlmap informa que el sitio es vulnerable mediante el parámetro ID... le damos a "y" |
 |
| Imagen 4: Una vez completada las inyecciones SQL se nos mostrara en consola las base de datos. En este caso vemos un servidor Apache 2.2.31 trabajando con PHP 5.3 y mySQL 5.0 el cual contiene dos base de datos; la principal (tachada) y la que viene con la instalacion "information_schema" |
0 comentarios:
Publicar un comentario