domingo, 5 de enero de 2014

Instalando Badstore en Virtual Box

Como podeis saber las SQL Injection estan prohibidas sin consentimiento del propietario, asi que por motivos legales nos vamos a crear nuestro propio laboratorio para probar SQL Injection.

Lo primero es descargar Badstore de la pagina del autor. Badstore es una ISO que cargaremos en una maquina virtual en este caso usare Virtual Box, esta distribucion simula una aplicacion web vulnerable de solo 11Megas de capacidad.


Ahora configuraremos la maquina virutal:

Presionamos Nueva:


Asignamos la memoria RAM, aqui dependera de la RAM de tu PC, Badstore no necesita mucho asi que 256 o 512 bastara. Aunque con 64MB puede funcionar.

La capacidad la podemos dejar por defecto, al ser disco dinamico no nos tenemos que preocupar.



Dejamos por defecto VDI.

Reservado dinamicamente, no me voy a alargar ;)

Con 12GB tenemos de sobras

Ahora ya la tenemos creada. Asi que la ejecutamos y nos pedira la ISO, asi que introducimos la que hemos descargado previamente e iniciamos.



Nos empezara a cargar la maquina y en unos minutos ya la tendremos, asi que cuando tengamos el bash, escribimos ifconfig para saber la red.

Si queremos otra red apagamos la maquina . Nos vamos a configuracion > red. Y cambiamos al adaptador de red para que este en la misma red que la anfitriona.

Y la volvemos a iniciar y escribimos ifconfig.

Ahora vamos desde la anfitriona y ponemos la ip 192.168.1.39 y ya tenemos nuestro badstore.

En breve subire como configurarlo.




Las vulnerabilidades que podemos practicar son las siguientes:

* Cross Site Scripting (XSS)
* Inyecciones SQL y de comandos
* Modificación de Cookies
* Tampering de parámetros y formularios
* Directory traversal
* Navegación forzada
* Cookie snooping
* Tampering de logs
* Intercepción de mensajes de error

* Denegación de servicio

Fuente: El hacker.net



Saludos guerreros!!




No hay comentarios:

Publicar un comentario