Anuncia aquí

Herramientas de automatización de BLIND SQL INJECTION (I de III)

Por Jaime Gutiérrez | 30 julio 2007 | 2 Comentarios
Para aquellos que conozcan las técnicas de inyección de código a ciegas sabrán el divertido calvario que hay que pasar para realizar buenas cadenas de inyección (tipo comparando los resultados con valores ASCII, hexadecimales...). Voy a hablaros sobre algunas herramientas de automatización de estas tareas - algunas de las herramientas usadas fueron mencionadas por alex en las 15 herramientas gratuitas para detectar inyección SQL -.

# Mysql_Bftools
printa1mysqlbftools.jpg

Herramienta de pen-test implementada y escrita en C. Mediante fuerza bruta prueba miles de combinaciones (en modo de peticiones/inyecciones) al servidor/aplicación. Se interactúa desde linea de comandos y la estructura es la siguiente

code:
mysqlbf.exe "www.target.com/file/parametrovulnerable?=ID "[1]" "[2]"
[1] Función que queramos adivinar... soporta system_user(), version().... [2] Palabra que haya en la página para saber si nos encontramos ante una página distinta o estamos en la página original. Aparte mysqbftools viene acompañado por dos herramientas más: mysqlget y mysqlst. Mysqlget te permite bajar archivos de la aplicación vulnerable y mysqlst es una herramientas usada para leer y parsear tablas sin necesidad de bajarse toda la base de datos. En la próxima veremos y explicaremos el funcionamiento de Sqlninja.

Esta entrada fue publicada en Blind SQL INJECTION, Recursos

2 Comentarios

  1. 1 NOVA Informatica (2 de marzo de 2009, 02:24:42 pm) http://www.informaticanova.com

    Esta muy interesante. Aqui dejo los manuales con capturas de pantalla del absinthe y del blql hacker.. dos magníficas herramientas de automatizacion de ataque bsql inyection... Saludos
  2. 2 NOVA Informatica (2 de marzo de 2009, 02:25:53 pm) http://www.informaticanova.com

    Pues no han pasado los enlaces.. a ver ahora:

    http://informaticanova.com/NOTICIAS-SEGURIDAD-INFORMATICA/bsql-hacker-manual-en-espanol.html

    http://informaticanova.com/NOTICIAS-SEGURIDAD-INFORMATICA/tutorial-absinthe-blind-sql-inyection-inyecciones-ciegas-sql.html

Publicar un Comentario

Tu email nunca será publicado o compartido. Los campos requeridos están marcados con un *

*
*

Puedes usar estas etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>