lunes, 17 de septiembre de 2012

Una historia de hackers [Parte III]

Nota: Esta es la tercera parte de un relato sobre una experiencia personal. Quizá quieras leer las partes I y II para comprendelo mejor.

---

¡Era Windows! El servidor era Windows ¿Cómo pude pasar por alto algo tan importante? Los comandos que encontré en los logs nunca pudieron haber funcionado. Esos eran comandos de Linux y el servidor era un Windows Server 2003. Había sido muy distraido por no considerarlo desde un principio. En parte creo, el llevar más de tres años como usuario de Linux hizo que todo me pareciera tan natural que olvidé por completo el contexto y por otra parte la emoción de encontrar algo sospechoso y seguirle la pista me hizo apresurar algunas conclusiones.

martes, 11 de septiembre de 2012

Probando, probando...

El pasado fin de semana me puse a codear una tool en python que implemente la técnica "FIND IN SET" para extracción de datos en una inyección SQL ciega. Se me ocurrieron algunas mejoras que he implementado y tengo otras en mente aún por implementar. Los resultados hasta ahora son bastante alentadores.

La tool aún no tiene nombre, provisionalmente le he puesto "fisi.py" de Find In Set Injector. Acepto sugerencias :D

Sin más, les dejo un vídeo comparativo entre "la tool" y sqlmap:

sábado, 1 de septiembre de 2012

Find In Set: Casos prácticos

Find In Set, como recordarán, es una técnica de inyección SQL a ciegas (Blind SQLi) muy eficiente puesto que nos permite extraer información de la base de datos realizando menos consultas que de la forma clásica con búsqueda binaria.

Los detalles de la técnica pueden revisarlos en este post: http://alguienenlafisi.blogspot.com/2011/04/findinset-optimized-blind-mysql.html o también en la web de su autor: http://www.websec.mx/blog/ver/extraer_datos_blind_sql_inyeccion

Además pueden ver una demo en vídeo aquí: http://alguienenlafisi.blogspot.com/2012/05/findinset-bsqli-demo.html

Sin embargo, hay algo que aún no queda muy claro... ¿Cuándo es recomendable usar "Find In Set"? ¿En qué casos reales puedo aplicar esta técnica? Pues bién, en este post quiero hablar de un par de casos en los que nos vendría bien utilizar "Find In Set"