Herramientas de usuario
sad:fedora14:p5
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
|
sad:fedora14:p5 [2018/02/13 09:23] José Manuel Guallar |
sad:fedora14:p5 [2019/01/04 13:18] (actual) |
||
|---|---|---|---|
| Línea 33: | Línea 33: | ||
| {{:sad:fedora:p5:02.png?500|}} | {{:sad:fedora:p5:02.png?500|}} | ||
| - | ====== Test de la comilla simple (') ====== | + | |
| + | ====== Test de la comilla simple (') ====== | ||
| En el campo de texto "name" escribimos (') y pulsamos login | En el campo de texto "name" escribimos (') y pulsamos login | ||
| Línea 49: | Línea 50: | ||
| </code> | </code> | ||
| - | A continuación se muestra un ejemplo de una consulta normal | + | A continuación escribo un ejemplo de una consulta normal |
| <code sql> | <code sql> | ||
| SELECT * FROM accounts WHERE username = 'admin' AND password = 'adminpass' | SELECT * FROM accounts WHERE username = 'admin' AND password = 'adminpass' | ||
| </code> | </code> | ||
| + | {{:sad:fedora:p5:04.png?500|}} | ||
| - | ====== Login sin password hacemos un By-Pass ====== | + | ======= Login sin password hacemos un By-Pass ======= |
| - | Ahora reemplazamos** ' or 1=1--** (hay que poner espacio detrás de los los --) | + | Ahora reemplazamos ** ' or 1=1-- ** (hay que poner espacio detrás de los los --) |
| **¿Qué hemos hecho?** | **¿Qué hemos hecho?** | ||
| Línea 66: | Línea 68: | ||
| <code sql> | <code sql> | ||
| - | SELECT * FROM accounts WHERE username = '' o 1 = 1-- 'AND password =' ' | + | SELECT * FROM accounts WHERE username = '' or 1 = 1-- 'AND password =' ' |
| </code> | </code> | ||
| + | |||
| + | {{:sad:fedora:p5:05.png?500|}} | ||
| **Verificando resultados** | **Verificando resultados** | ||
| Línea 73: | Línea 77: | ||
| Ha iniciado sesión como administrador. Debido al diseño del código de Mutillidae, iniciamos sesión como administrador porque admin es el primer usuario en la tabla de cuentas. | Ha iniciado sesión como administrador. Debido al diseño del código de Mutillidae, iniciamos sesión como administrador porque admin es el primer usuario en la tabla de cuentas. | ||
| - | En DVWA, como una cadena similar (**% 'o' 0 '=' 0 '-**) muestra toda la lista aplicaciones que puede realizar el usuario | + | En DVWA, como una cadena similar (**% 'or' 0 '=' 0 '--**) muestra toda la lista aplicaciones que puede realizar el usuario |
| + | |||
| + | {{:sad:fedora:p5:06.png?500|}} | ||
| Click en ''logout'' | Click en ''logout'' | ||
| + | |||
| + | ====== Campo PASSWORD ====== | ||
| + | |||
| Ahora toca el campo password, hacemos la prueba de la comilla simple en el campo Password | Ahora toca el campo password, hacemos la prueba de la comilla simple en el campo Password | ||
| - | pulsamos en Login/register, ponemos Name: samurai y pen password pulsamos botón derecho e inspeccionar elemento | + | pulsamos en **Login/register**, ponemos Name: samurai y en **password** pulsamos botón derecho e inspeccionar elemento |
| Analizamos los resultados de la comilla simple (') | Analizamos los resultados de la comilla simple (') | ||
| Línea 103: | Línea 112: | ||
| y reemplazamos la palabra **password** por la palabra **text** | y reemplazamos la palabra **password** por la palabra **text** | ||
| + | |||
| + | {{:sad:fedora:p5:07.png?500|}} | ||
| + | {{:sad:fedora:p5:08.png?500|}} | ||
| + | |||
| + | {{:sad:fedora:p5:09.png?500|}} | ||
| + | {{:sad:fedora:p5:10.png?500|}} | ||
| Aplicamos el test que siempre es verdad **(' or 1=1 -- )** | Aplicamos el test que siempre es verdad **(' or 1=1 -- )** | ||
| + | |||
| En ** name** escribimos **samurai** | En ** name** escribimos **samurai** | ||
| en **password** escribimos **' or 1=1--** (recuerda que tenemos que poner un espacio en blanco despues de los guiones) y pulsamos **Login** | en **password** escribimos **' or 1=1--** (recuerda que tenemos que poner un espacio en blanco despues de los guiones) y pulsamos **Login** | ||
| + | |||
| + | {{:sad:fedora:p5:11.png?500|}} | ||
| + | {{:sad:fedora:p5:12.png?500|}} | ||
| Bueno, lo que veo son buenas noticias. Por un lado, estoy contento de haber iniciado sesión, pero debo iniciar sesión como samurai en lugar de administrador. | Bueno, lo que veo son buenas noticias. Por un lado, estoy contento de haber iniciado sesión, pero debo iniciar sesión como samurai en lugar de administrador. | ||
sad/fedora14/p5.1518513780.txt.gz · Última modificación: 2019/01/04 13:18 (editor externo)
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Share Alike 4.0 International
