En esta ocasión, los expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán LazySQLMap, una herramienta disponible en GitHub para la inyección SQL automatizada. A diferencia de SQLMap, no se necesita ingresar largos comandos, puesto que la herramienta hará prácticamente todo el trabajo por usted.
Para empezar debemos buscar un sitio web vulnerable donde podamos probar la herramienta. Completemos este paso usando Dorks o cualquier herramienta de análisis de vulnerabilidades.
LazySQLMap es instalada y lanzada usando el siguiente comando:
apt install git python2
git clone https://github.com/Yukinoshita47/lazysqlmap.git
cd lazysqlmap
chmod 777 install.sh
./install.sh
Ejecute la herramienta con el siguiente comando:
lazysqlmap
Acorde a los expertos en seguridad informática, la herramienta podría lanzar algunas preguntas durante la ejecución. Recuerde leerlas cuidadosamente y responder con “Sí” o “No”.
El programa encontró lo que necesitaba:
No necesitamos information_schema, intentemos buscar algo interesante en wciom_info:
Como se menciona anteriormente, no es necesario que ingrese el comando, ya que el programa le preguntará qué necesita para su investigación. En este ejemplo, buscamos información sobre wciom_info:
La captura de pantalla anterior muestra toda la información recolectada.
A la siguiente solicitud del programa, solo responderemos con el parámetro be_users:
Buscamos y elegimos lo que necesitamos ingresar la próxima vez. Elegimos lo que necesitamos e ingresamos los parámetros separados por comas:
Hemos obtenido dos hashes, mismos que aprenderemos a descifrar en otra ocasión junto con los expertos en seguridad informática.
Para mayor información consulte las plataformas oficiales del Instituto Internacional de Seguridad Cibernética (IICS). Recuerde que este material fue elaborado con fines educativos.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad