domingo, 31 de marzo de 2013

Explotación de web services con Sqlmap

Hace poco encontré un Blind SQLi en un web service y recordé que se podía automatizar con Sqlmap. Tiempo atrás ya había leído este post de Bernardo Damele, en el que explica como usar el soporte para SOAP de Sqlmap.  Es genial cuando algo que leíste hace mucho tiempo de pronto te sirve y ahorras tiempo y esfuerzo :)

En este otro post ya había escrito sobre los web services y el protocolo SOAP. Puedes revisarlo si no recuerdas el funcionamiento de SOAP. En resumen, se puede decir que la diferencia, en lo que a la explotación de un SQLi se refiere, está en el "formato" de envió de datos. Mientras que en un SQLi "normal" los datos se envían por GET o POST en el formato "variable=valor", en un webservice los datos de entrada se envían por POST en un documento XML.

Entonces, necesitamos una plantilla de ese documento XML (SOAP Request) y pasarselo a Sqlmap. Sqlmap reconocerá que se trata de un mensaje SOAP, lo parseará adecuadamente para identificar las variables y hará su trabajo. Para conseguir la plantilla del SOAP Request podemos usar SOAPui tal como se explicó en el post sobre webservices.

Bueno, sin más les dejo este vídeo que muestra todo el procedimiento.


Un saludo.

No hay comentarios:

Publicar un comentario