Introduccion Hola a todos, soy ANTRAX. En este tutorial les voy a enseñar a como automatizar SQL Injections.Utilizare una herramienta llamada Havij, que automatiza todos los pasos. Desde inyectar, hasta obtener usuario y pass, y hasta el panel de admin.Havij es una herramienta muy cómoda que hace ahorrar mucho tiempo.De forma simple, en este paper les enseñare como usarlo para sacarle provecho.
(http://3.bp.blogspot.com/-Z1JXHcBQi4M/T0QKbGRaPJI/AAAAAAAABLg/Xzj6a7NiMw4/s1600/1.PNG) (http://3.bp.blogspot.com/-Z1JXHcBQi4M/T0QKbGRaPJI/AAAAAAAABLg/Xzj6a7NiMw4/s576/1.PNG)
Esa es su apariencia, con su menú. Como se puede ver, también desencripta los hash de admines utilizando bases de datos online [MD5]
Analizando una web El primer paso será ver si una web es vulnerable o no. Para este tutorial usare la misma web que use en el tutorial anterior: www.samg.es/web
(http://3.bp.blogspot.com/-ygjQfXj7rJI/T0QLAMJSj1I/AAAAAAAABMs/7LmHBAKjFp8/s1600/2.PNG) (http://3.bp.blogspot.com/-ygjQfXj7rJI/T0QLAMJSj1I/AAAAAAAABMs/7LmHBAKjFp8/s640/2.PNG)
Como bien vimos en la parte anterior "SQLi desde Cero" Debemos buscar algo que tenga un "id=X" para poder inyectar desde ahí.En mi caso sería por acá: http://samg.es/web/noticias/noticia.php?id=103 Pruebo como lo hacía en el paper anterior de cambiar el numero del id por -1 o comilla simple. Y al parecer es vulnerable:
(http://3.bp.blogspot.com/-pcThXhMh8MM/T0QKpWmG-bI/AAAAAAAABMI/U8iS3pH1pcQ/s1600/3.PNG) (http://3.bp.blogspot.com/-pcThXhMh8MM/T0QKpWmG-bI/AAAAAAAABMI/U8iS3pH1pcQ/s573/3.PNG)
Bien, ahora que sospechamos que es vulnerable, la probaremos con Havij.
(http://1.bp.blogspot.com/-X5yc8Rcjyjw/T0QKvT5lACI/AAAAAAAABMQ/0juz7N0Ys98/s1600/4.PNG) (http://1.bp.blogspot.com/-X5yc8Rcjyjw/T0QKvT5lACI/AAAAAAAABMQ/0juz7N0Ys98/s640/4.PNG)
Colocamos únicamente que la url en donde vamos a inyectar incluyendo el ID y presionamos en Analyze.Ahora solo toca esperar... En caso de que sea vulnerable, nos mostrara el nombre de la base de datos con sus tablas.
Base de datos, tablas y datos Una vez que termine, veremos que se habilita la opción de tablas y a demás en el Status, nos muestra el nombre de la base de datos:
(http://4.bp.blogspot.com/-m3viputQzb4/T0QK4Q-gFRI/AAAAAAAABMY/RS8EW2Hc7Qo/s1600/5.PNG) (http://4.bp.blogspot.com/-m3viputQzb4/T0QK4Q-gFRI/AAAAAAAABMY/RS8EW2Hc7Qo/s640/5.PNG)
Presionamos sobre el botón Tables
(http://1.bp.blogspot.com/-46DXzeHvISY/T0QK52WbVgI/AAAAAAAABMg/zd4ud9r0bJM/s1600/6.PNG) (http://1.bp.blogspot.com/-46DXzeHvISY/T0QK52WbVgI/AAAAAAAABMg/zd4ud9r0bJM/s640/6.PNG)
Antes de seguir, me detengo un momento aquí para explicarles un poco lo que se ve en la imagen.Este maravilloso programa, tiene la facilidad de mostrarnos datos importantes solo con unos clicks del mouse...Este programa esta ordenado de cierta forma, y hay que seguir el orden de izquierda a derecha.Lo que muestra ahora la imagen, es el nombre de la base de datos, lo que sigue, es clickear el botón de su derecha "Get Tables" para obtener los nombres de todas las tablas
(http://2.bp.blogspot.com/-cqBZeSiiu_0/T0QK_ndYXwI/AAAAAAAABMo/3Bq1oYfoO4Q/s1600/7.PNG) (http://2.bp.blogspot.com/-cqBZeSiiu_0/T0QK_ndYXwI/AAAAAAAABMo/3Bq1oYfoO4Q/s647/7.PNG)
Como se puede apreciar, me listo todas las tablas la base de datos. En ese listado, debemos buscar alguna tabla que pueda contener datos de interés. En mi caso se llama samg_administradoresUna vez seleccionada, presionamos el siguiente botón que es Get Columns para que nos muestre las columnas de esa tabla
(http://2.bp.blogspot.com/-5cYa_7pb8i4/T0QLBSwIANI/AAAAAAAABM4/S0W-MMMiN0E/s1600/8.PNG) (http://2.bp.blogspot.com/-5cYa_7pb8i4/T0QLBSwIANI/AAAAAAAABM4/S0W-MMMiN0E/s645/8.PNG)
Seleccionamos las columnas que más nos interesen, yo solo quiero user y pass. Una vez tildados, damos en Get Data para obtener los datos de los administradores
(http://1.bp.blogspot.com/-oz5lHHRwN68/T0QLDPIzicI/AAAAAAAABNA/_rSN6lSeB34/s1600/9.PNG) (http://1.bp.blogspot.com/-oz5lHHRwN68/T0QLDPIzicI/AAAAAAAABNA/_rSN6lSeB34/s638/9.PNG)
Como se puede ver, ahí me muestra el usuario y contraseña de admin. Lamentablemente no es la misma del tutorial anterior, ya que algún tonto sin ética entro y lo modifico...
Panel de admin Finalmente buscaremos el panel de administración para loguearnos y podes entrar con los datos recientemente sacados.Para ello, Havij cuenta con un Admin Finder, que es el botón Find Admin. Presionamos ahí y colocamos la url de la página:
(http://1.bp.blogspot.com/-4sTSqzcb9po/T0QKZcYhvwI/AAAAAAAABLQ/sfgOqirh5_s/s1600/10.PNG) (http://1.bp.blogspot.com/-4sTSqzcb9po/T0QKZcYhvwI/AAAAAAAABLQ/sfgOqirh5_s/s638/10.PNG)
Damos en Start y esperamos a que nos muestre la url del panel:
(http://1.bp.blogspot.com/-r-7ky-2ccRA/T0QKZYtO0QI/AAAAAAAABLU/W0EVB5UyBT8/s1600/11.PNG) (http://1.bp.blogspot.com/-r-7ky-2ccRA/T0QKZYtO0QI/AAAAAAAABLU/W0EVB5UyBT8/s644/11.PNG)
Probamos si es esa y colocamos los datos obtenidos:
(http://3.bp.blogspot.com/-m2mq70DJWGI/T0QKb0yFdaI/AAAAAAAABLo/f9HG1lYYYSs/s1600/12.PNG) (http://3.bp.blogspot.com/-m2mq70DJWGI/T0QKb0yFdaI/AAAAAAAABLo/f9HG1lYYYSs/s498/12.PNG)
(http://4.bp.blogspot.com/-mEvfQkBsLMY/T0QKiDL0AXI/AAAAAAAABLw/zHw3hvzcaO4/s1600/13.PNG) (http://4.bp.blogspot.com/-mEvfQkBsLMY/T0QKiDL0AXI/AAAAAAAABLw/zHw3hvzcaO4/s640/13.PNG)
Y estamos adentro!!
MD5 Decrypter Pero... ¿qué pasa si me muestra el usuario y la contraseña esta encriptada?
(http://3.bp.blogspot.com/-yXiRNiF6HZw/T0QKkJzlSjI/AAAAAAAABL4/o6ZCXy8nn4Y/s1600/14.PNG) (http://3.bp.blogspot.com/-yXiRNiF6HZw/T0QKkJzlSjI/AAAAAAAABL4/o6ZCXy8nn4Y/s640/14.PNG)
Acá se puede ver que las pass están en MD5. Havij cuenta con un decrpyter. Damos click en la llavecita que dice MD5, colocamos el hash y esperamos a que busque en bases de datos online hasta que lo encuentre:
(http://3.bp.blogspot.com/-ussw7lu5Bz4/T0QKkqS8nrI/AAAAAAAABMA/nOrDqO5jdOw/s1600/15.PNG) (http://3.bp.blogspot.com/-ussw7lu5Bz4/T0QKkqS8nrI/AAAAAAAABMA/nOrDqO5jdOw/s602/15.PNG)
Como se puede ver, la pass es atencao
Despedida: Bueno, esto es todo por ahora, espero que les haya gustado y nos vemos en un próximo tutorial.Greets: Cronos - Dracko.rx
Tutorial hecho solo con fines educativos
Hola! eh seguido! este tutorial de la forma manual y la automatizada. y me fue bien! ya que eh logrado encontrar el user y el pass
http://a7.sphotos.ak.fbcdn.net/hphotos-ak-ash3/529712_447474015279542_100000508433957_1695574_1837884364_n.jpg
http://a1.sphotos.ak.fbcdn.net/hphotos-ak-snc6/150103_447466268613650_100000508433957_1695542_472217204_n.jpg
pero me la dio encribtada segui con el tutorial pero no encontraba nada.
http://a1.sphotos.ak.fbcdn.net/hphotos-ak-ash3/545776_447474121946198_100000508433957_1695575_1807573882_n.jpg
me eh pasado un buen tiempo tratando de decifrar en paginas online : 843e9e2b6db7b4b9a480f6b5b353f6e3:e7
:( abra algun metodo? porque lo eh intentado en muchas paginas mas y me manda el pass encrybtada..! espero me ayuden! ( Y si hay mas tutoriales! para personas que se inician si me dejan el url le estaria muy agradecido ;D) este es un buen tuto! Gracias! salu2
pues : 843e9e2b6db7b4b9a480f6b5b353f6e3 lo sospeche desde un principio!, tambien le quite :e7 y me pase por todo http://www.crypo.com para decencryptar por el Havij tmb pero sin resultados. ;D!
Hoy has posteado bastantes herramientas buenas. Antrax Bien ahí 8)
Magnifico tutorial! muchas gracias.
Al respecto, me surge 1 pregunta:
Si encuentras una vulnerabilidad en una web (desde mi criterio) deberia avisar del problema, pero, de que manera lo haces? es decir, como te pones en contacto y que les explicas? porque claro, lo primero que viene a la cabeza de cualquiera es: que estarias "buscando o haciendo para encontrar eso y porque.
Como explicas que estas haciendo una "auditioria web" al azar y que te has topado con eso?
Espero haberme explicado bien jejejeje.
Gracias :)
Siento ser tan pesado, pero me asalta otra duda.
Al utiliza tanto este metodo como el "manual" de SQLi, se deja algun tipo de rastro? es decir, alguien revisando "algo" podria llegar a saber que se ha "atacado su web", sacar tu ip y desde donde se realiza el ataque o algo asi?
Perdonad si pregunto chorradas, pero estoy tan perdido que lo que se me va ocurriendo lo pregunto :D
Muchas gracias!
Todas las ip's quedan en los logs... Usa condon , es decir vpn de pago que no dejen logs a terceros, y si no tienes money o no lo quieres gastar , un vpn gratuito o usar tor como minimo.
exelente tuto antrax me ha servido mucho ya ke apenas estoy aprendiendo esto del defacing y no esperaba menos de alguien como vos en un tuto tan bueno solo tengo una pregunta hice todo lo ke indicaste en tu tuto la pagina ke estoy chekando es http://www.eventdirect.ca/game.php?ID=62
la meti a havij logre entrar a todo las tablas de admin me dan acceso al user id al password al user name y el email cuando le doy get data me dice ke el user id es 1 ke el user name es eventdirect y el pass es 12345 segun me lo da el md5 el md5 hash es e10adc3949ba59abbe56e057f20f883e no se si alguien me puede ayudar con esto como les digo soy noob con deseos de aprender espero ke alguien me pueda ayudar se los agradesco de ante mano
Yo veo off tu web.
Pero busca algo similar a id= y eso es lo que debes poner