Para este tema debemos descargar en nuestro PC el lenguaje python (versión 2.7) y la herramienta SQLMAP, dejaré enlaces de descarga al final de este post, una vez tengamos descargado los dos requisitos empezaremos a usar sqlmap.
INTRODUCCIÓN A SQLMAP: SQLMAP es un software dedicado para realizar consultas SQL a una URL con el objetivo de adentrar/conseguir datos de la web victima, funciona a través de la terminal de linux o la cmd de Windows a través de comandos, esta herramienta verifica que una web es explotable, esto es fundamental para hacer comercio de esto.
¿CÓMO EMPEZAMOS A USAR SQLMAP?: Depende del sistema operativo, si estás en Windows deberás abrir la cmd e ir a la ruta donde hemos instalado la carpeta de sqlmap, suponiendo que lo hemos descargado en el disco duro y nuestra terminal arranca automáticamente desde el Escritorio tendremos que ir hacia atrás para buscar la carpeta, ejemplo: "C:/USUARIO/Escritorio" es la ruta donde empieza nuestra terminal, usaremos el comando 'cd..' en terminal para ir hacia atrás, si usamos el comando una sola vez nos llevará a "C:/USUARIO" por lo que debemos hacer dos veces el comando hasta llegar a "C:/", una vez lleguemos al disco duro haremos cd 'nombre de la carpeta de sqlmap' ejemplo: "C:/cd sqlmap", esto nos llevará a la carpeta sqlmap y la direccion debería verse así -> "C:/sqlmap", una vez estemos dentro de esta carpeta SQLMAP estará preparada para ser usada.
- Primer paso, saber base de datos: Para saber cual es la base de datos que usa la web vulnerable deberás hacer el siguiente comando: (SI ESTAS EN WINDOWS PON sqlmap.py)
Si todo ha salido bien y sqlmap ha conseguido inyectarse habremos recibido las bases de datos de la web.
- Segundo paso, seleccionar base de datos y ver tablas: Lo mismo, usaremos el siguiente comando para ver las tablas de la base de datos que hayamos seleccionado:
Si todo ha salido bien obtendremos todas las tablas de la base de datos.
- Tercer paso, obtener datos de tablas:Lo mismo, más comandos, en este caso este:
Esto nos descargará a nuestro PC los datos que hemos escogido a través de los parámetros escogidos.
Ale, aquí tenéis un tutorial ultraresumido de como obtener datos de web's vulnerables, el próximo será de como encontrar los paneles de administración.
DESCARGAS:
SQLMAP: SQLmap (DESCARGA OFICIAL)
PYTHON: Python (DESCARGA OFICIAL)
INTRODUCCIÓN A SQLMAP: SQLMAP es un software dedicado para realizar consultas SQL a una URL con el objetivo de adentrar/conseguir datos de la web victima, funciona a través de la terminal de linux o la cmd de Windows a través de comandos, esta herramienta verifica que una web es explotable, esto es fundamental para hacer comercio de esto.
¿CÓMO EMPEZAMOS A USAR SQLMAP?: Depende del sistema operativo, si estás en Windows deberás abrir la cmd e ir a la ruta donde hemos instalado la carpeta de sqlmap, suponiendo que lo hemos descargado en el disco duro y nuestra terminal arranca automáticamente desde el Escritorio tendremos que ir hacia atrás para buscar la carpeta, ejemplo: "C:/USUARIO/Escritorio" es la ruta donde empieza nuestra terminal, usaremos el comando 'cd..' en terminal para ir hacia atrás, si usamos el comando una sola vez nos llevará a "C:/USUARIO" por lo que debemos hacer dos veces el comando hasta llegar a "C:/", una vez lleguemos al disco duro haremos cd 'nombre de la carpeta de sqlmap' ejemplo: "C:/cd sqlmap", esto nos llevará a la carpeta sqlmap y la direccion debería verse así -> "C:/sqlmap", una vez estemos dentro de esta carpeta SQLMAP estará preparada para ser usada.
- Primer paso, saber base de datos: Para saber cual es la base de datos que usa la web vulnerable deberás hacer el siguiente comando: (SI ESTAS EN WINDOWS PON sqlmap.py)
Si todo ha salido bien y sqlmap ha conseguido inyectarse habremos recibido las bases de datos de la web.
- Segundo paso, seleccionar base de datos y ver tablas: Lo mismo, usaremos el siguiente comando para ver las tablas de la base de datos que hayamos seleccionado:
Si todo ha salido bien obtendremos todas las tablas de la base de datos.
- Tercer paso, obtener datos de tablas:Lo mismo, más comandos, en este caso este:
Esto nos descargará a nuestro PC los datos que hemos escogido a través de los parámetros escogidos.
Ale, aquí tenéis un tutorial ultraresumido de como obtener datos de web's vulnerables, el próximo será de como encontrar los paneles de administración.
DESCARGAS:
SQLMAP: SQLmap (DESCARGA OFICIAL)
PYTHON: Python (DESCARGA OFICIAL)
Comentarios
Publicar un comentario