lunes, 20 de enero de 2014

Proxy Strike



Primeros Paso:

1 Auditar la Pagina que deseamos encontrar una vulnerabilidad

Este paso quizas suene un poco raro y algo nuevo para algunos ustedes en si, pero para poder dar un paso a penetrar ya sea una web o ordenador es encontrar un error /Bug del sistema sabian que un pequeño error puede abrir puertas para que una persona pueda entrar y salir como en su casa , pues es verdad ahora haremos un escaneo como un programa de Auditoria Web , llamado Proxy Strike la cual Podemos encontrar ya instalada en el Sistema Operativo Backtrack R3 , este eficas escanner es capas de dectectar diferentes tipos de vulnerabilidades entre ellas las mas famosas como son  los errores de SQL,XSS,RFI entre muchas mas.


Como vemos la estoy Abriendo Por la Terminal de Backtrack con la direccion donde esta alojado como lo pueden ver.














como vemos ya estamos en entorno grafico del ProxyStrike:
















Como vemos en el menu de la Imagen grafica del ProxyStrike nos muestra varias barras las cuales son opciones que podemos realizar, pero nosotros vamos hacer una evaluacion de vulnerabilidades basicas . Vamos a entrar a la Seccion “Plugins vamos activar las Casillas que son Sql Inyeccion  y xss algo facil de hacer luego vamos a la seccion Crawler como vemos en la imagen vamos a poner la web que deseamos analizar en esta ocacion yo pondre esta web del gobierno de mi Pais :  http://www.ugelmariscalnieto.gob.pe/ activamos la casilla Crawl using Plugins y le daremos Stopped para que comienze a escanear.
























Como vemos el escaneo ya esen  pleno proceso y empesara tanto a buscar los modulos de la web como las vulnerabilidades que en este caso es muy importante de hallar para poder explotarla una vez encontrada la vulnerabilidad nos vamos a la sección Plugins se acuerdan que hace momentos activamos SQL inyección, XSS, verdad ¿? Pues iremos a ver cómo están los informes.














Como vimos en la imagen anterior nos arrojó un error de la web, la cual es perteneciente al error SQL Inyección, la cual hablaremos más adelante sobre este error y como explotarlo con una herramienta tan conocida  el error encontrado fue el siguiente :

Si entramos en la web con ese link la web estaría normal como siempre, pero si nosotros
agregamos un valor como >> ', una comilla al costado del número izquierdo de esta manera


Las web nos botaran un error Como esta en la Imagen

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in/home/ugelmoq/public_html/view_more_noticias.php on



Como vemos nos Arrojó el error que vemos en la imagen eso quiere decir que es vulnerable a una SQL inyección la  nos permite una penetración a la base de datos de la web y tener acceso a ver ya sea contrasas, usuarios, teléfonos, entre muchos datos de la web.


Saludos.

0 comentarios:

Publicar un comentario

Datos del Autor


Obra de K. Haring

Hola, mi nombre es omar soy estudiante de Ingenieria de sistemas en Perú. actualmente me estoy dedicando a dar ponencias sobre seguridad Informática.
Soy una persona sencilla y humilde que me encanta aprender nuevos temas en mis tiempos libres.


"Me considero un novato en busca de conocimiento"


Entradas Populares