Login
English French German Italian Portuguese Russian
Get Adobe Flash player

Laboratorio para practicar inyecciones SQL (más de 60 ejercicios/lecciones)

(Artículo aparecido en HACKPLAYERS)

El holandés Audi-1 tiene un repositorio en Github muy interesante llamado SQLI-LABS que nos permitirá montar rápidamente una plataforma para aprender y practicar inyecciones SQL de diferentes tipos:

- Inyecciones basadas en error (Union Select): 1. String 2. Integer
- Inyecciones basadas en error (Double Injection Based)
- Inyecciones ciegas: 1. booleanas 2.basadas en tiempo
- Inyecciones de peticiones update
- Inyecciones de peticiones insert
- Inyecciones en la cabecera HTTP 1. basadas en referer. 2. basadas en user-agent. 3. basadas en la cookie
- Inyecciones de segundo órden
- Evasión de WAF
      - bypass de filtros de Blacklist: Stripping comentarios, OR & AND, espacios y UNION & SELECT
       - Impidence mismatch
- Bypass de addslashes()
- Bypass de mysql_real_escape_string. (bajo ciertas condiciones especiales)
- Inyecciones SQL de tipo stacked
- Extracción Secondary channel



Instrucciones

- Descomprime los contenidos dentro de la carpeta de apache, por ejemplo en /var/www. Esto creará el directorio sql-labs.
- Como alternativa, se puede usar el comando git directamente desde la carpeta /var/www: git clone https://github.com/Audi-1/sqli-labs.git sqli-labs
- Abre el archivo "db-creds.inc" que se encuentra debajo del dir sql-labs/sql-connections.
- Actualiza el nombre de usuario y la contraseña de la base de datos MYSQL. (Por defecto root:toor)
- Desde el navegador accede a la url con path sql-labs para cargar index.html.
- Haz clic en la configuración del enlace setup/resetDB para crear una base de datos, las tablas y completar los datos.
- Los labs ya estarían listos para usar, haz clic en el número de la lección para abrir la página correspondiente.
- Disfruta de los laboratorios!

Tienes videotutoriales, walkthroughts y explicaciones en distintos sites del autor: 

http://dummy2dummies.blogspot.com
http://www.securitytube.net/user/Audi
https://www.facebook.com/sqlilabs

También tiene un libro pero todavía está en desarrollo: https://leanpub.com/SQLI-LABS

Repo: https://github.com/Audi-1/sqli-labs

 

El enlace a la noticia original es:  https://www.hackplayers.com/2018/09/laboratorio-inyecciones-sql.html

Prácticas en Redes

Prácticas en Redes (2)

juanluis

Plataforma educativa de Juan Luis

alex

Plataforma educativa de Luis Alejandro

laura

Plataforma educativa  de

Eduardo, Gopal, Juan José, Miguel y David


 
   Centro autorizado de academia Cisco
     Centro autorizado como Academia Cisco