Introduccion básica a SQL Injection – Hackerfire CTF SQL (nivel bajo) Introduccion básica a SQL Injection – Hackerfire CTF SQL (nivel bajo)
{:es}En esta entrada describimos el proceso básico de SQL Injection realizado integramente de manera manual, sin utilizar ningún software que automatice el proceso como... Introduccion básica a SQL Injection – Hackerfire CTF SQL (nivel bajo)

{:es}En esta entrada describimos el proceso básico de SQL Injection realizado integramente de manera manual, sin utilizar ningún software que automatice el proceso como SQLmap. Para ello, y como ejemplo, utilizamos un reto de la plataforma Hackerfire, en ella puedes encontrar un CTF completo si te gustan este tipo de «juegos».

En concreto, el reto es el nivel 2 de la parte de seguridad web y se llama «I can see Everything» vamos a ver si es verdad y podemos ver todo lo que esconde incluida la flag que nos permite completar el reto.

La web que nos presentan tiene este aspecto:

Salta a la vista el campo donde podemos probar, como veremos el parametro se pasa por GET y por tanto podemos hacer las inyecciones directamente en la URL sin necesidad de utilizar un proxy web como puede ser BurpSuite. Por tanto vamos a trabajar sin software, sin script y sin ayuda externa, intentemos entender como funcionan las inyecciones de SQL desde la base con este sencillo reto.

Cuando hago la primera prueba, lo que casi cualquier mortal, el típico ‘or ‘1’=’1 se me acaba el artículo:

Ya tengo la flag, ha sido demasiado fácil. Intentemos seguir un poco más a ver que tenemos por ahí y de paso aprender un poco la filosofía de las inyecciones de SQL para entender un poco como funcionan de una manera básica.

Por ejemplo, parece por la tabla que muestra que tiene tres columnas la consulta:

Falta el comentario para que ignore el resto de la consulta SQL que lanza la aplicación por detrás, por lo que parece…

Ya tenemos más información, es un ubuntu con mysql 5.5.41

El usuario que ejecuta la base de datos es everything, bueno al menos no es root.

De la misma manera que hemos hecho hasta ahora veamos como se llama la base de datos que hay por detrás y luego seguimos:

A partir de aquí podemos seguir descubriendo que hay detrás, podemos investigar la estructura de tablas, para ello usaremos el esquema de base de datos:

https://dev.mysql.com/doc/refman/5.7/en/information-schema.html

Esto será en siguientes entradas.

Saludos.{:}{:en}In this entry we describe the basic process of SQL injection entirely performed manually, without using any software that automates the process as SQLmap. For this, and as an example, we use a challenge of the platform Hackerfire, in it you can find a full CTF if you like this type of «games».

Specifically, the challenge is level 2 of the Web security part and is called «I can see everything» let’s see if it is true and we can see everything hidden including the flag that allows us to complete the challenge.

The web has this aspect:

Obviosuly the field where we can test, as we will see the parameter is passed by get and therefore we can make the injections directly in the URL without having to use a Web proxy like can be BurpSuite. Therefore we will work without software, without script and without external help, try to understand how SQL injections work from the base with this simple challenge.

When I do the first Test, which almost any mortal, the typical ‘ or ‘ 1 ‘ = ‘ 1…. I finish the article:

I’ve got the flag, it’s been too easy. Let’s try to follow a little more to see what we have out there and learn a little bit the philosophy of SQL injections to understand a bit how they work in a basic way.

For example, it seems because of the table that shows that it has three columns the query:

The comment is missing to ignore the rest of the SQL query that launches the application from behind, so it seems…

We have more information, is an Ubuntu with MySQL 5.5.41

The user running the database is everything, well at least it’s not root.

In the same way that we have done so far we see what is called the database behind it and then continue:

From here we can continue discovering that there is behind, we can investigate the structure of tables, for this we will use the database schema, information schema in mysql

https://dev.mysql.com/doc/refman/5.7/en/information-schema.html

This will be in next post …

Best regards.{:}

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image