¿Quieres practicar inyección SQL? Aquí tienes un laboratorio

En Github  hay un repositorio  muy interesante perteneciente al holandés Audi-1 llamado SQLI-LABS que permite montar una plataforma para aprender y practicar inyecciones SQL:

– Inyecciones basadas en error (Union Select): 1. String 2. Integer
– Inyecciones basadas en error (Double Injection Based)
– Inyecciones ciegas: 1. booleanas 2.basadas en tiempo
– Inyecciones de peticiones update
– Inyecciones de peticiones insert
– Inyecciones en la cabecera HTTP 1. basadas en referer. 2. basadas en user-agent. 3. basadas en la cookie
– Inyecciones de segundo órden
– Evasión de WAF
– bypass de filtros de Blacklist: Stripping comentarios, OR & AND, espacios y UNION & SELECT
– Impidence mismatch
– Bypass de addslashes()
– Bypass de mysql_real_escape_string. (bajo ciertas condiciones especiales)
– Inyecciones SQL de tipo stacked
– Extracción Secondary channel

Manual:

– Descomprimir los contenidos dentro de la carpeta de apache, por ejemplo en /var/www para crear el directorio sql-labs.
– También es posible usar el comando git directamente desde la carpeta /var/www: git clone https://github.com/Audi-1/sqli-labs.git sqli-labs
– Abrir el archivo “db-creds.inc” que se encuentra debajo del dirirectorio sql-labs/sql-connections.
– Actualizar el nombre de usuario y la contraseña de la base de datos MYSQL. (Por defecto root:toor)
– Desde el navegador acceder a la url con path sql-labs para cargar index.html.
– Haer clic en la configuración del enlace setup/resetDB para crear una base de datos, las tablas y completar los datos.
– En este paso el laboratorio ya estaría preparado para usar, hacer clic en el número de la lección para abrir la página correspondiente.

Descargar el laboratorio:

https://github.com/Audi-1/sqli-labs

¡Que aproveche!

(Post relacionado https://www.hackplayers.com/2018/09/laboratorio-inyecciones-sql.html)

Anuncios

Acerca de mitch

Quiero compartir mis experiencias y mis humildes conocimientos
Esta entrada fue publicada en Backend. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s