miércoles, 10 de julio de 2013

Pentesterlab + sqlmap en modo --wizzard


Vas a hacer la prueba de ver lo potente que puede llegar a ser SQLmap en una web con vulnerabilidades SQLi, y con tan sólo un par de parámetros.
Lo que hemos hecho ha sido coger y montar una máquina virtual con la .iso de pentesterlab.com, una .iso con debian 6 y preparada para hacer un montons de pruebas de penetración. Entre las que estaban las de SQLi.

En un principio queríamos ver cuantas de las herramientas que consisten en búsqueda de vulnerabilidades daban una información correcta o incorrecta. Es decir, ver realmente los falsos positivos que hacían. Utilizamos herramientas como OWASP-ZAP, W3AF, nikto, skipfish , etc. que de un primer vistazo viéramos que vulnerabilidades encontraban y si éstas tenían relación con las que se presentan en dicha .iso.
El resultado variaba dependiendo de la herramienta y del grado de ataque. En la gran mayoría de estas herramientas no encontraba un gran número de vulnerabilidades hasta que no se aplicaba un alto grado de ataque. Y ninguna de ellas mostró vulnerabilidades de SQLi, sin embargo si que todas encontraron fácilmente vulnerabilidades XXS.




Img 1: Parámetros de configuración del asistente de sqlmap

Después de ver el resultado decidimos hacer la prueba basandonos sólo en SQLi ya que hasta ahora no había encontrado nada. Pensamos en hacerlo con SQLmap, pero partiendo desde el asistente de igual forma que lo hicimos con el resto de escaner de vulnerabildiades.
Eso sí, utilizando un nivel bastante alto de ataque.


Img 2: Usuarios y password obtenidos con sqlmap


Esta vez el resultado si que fue muy bueno, mucho más de lo que esperamos.A pesar de que SQLmap se puede configurar a gusto de cada uno eligiendo los parámetros que más nos gusten y teniendo más versatilidad, con tan solo lanzar y asistente, vemos como obtenemos todos los datos de la Base de Datos.
Es en este punto donde queda claro que SQLmap es una de las herramientas más potentes para inyencciones de SQL.

Img 3: Gran cantidad de datos sacados con sqlmap
La imagen anterior solo es una muestra de ejemplo de los nombre de usuarios y contraseña que hemos sacado gracias al asistente, peor más adelante (imagen 3) vemos que nos devuelve un gran número de datos.