18 jun 2014

CTFs y SQL Injections. Parte I

Buenas a todos, a lo largo de esta semana mis alumnos del curso de seguridad del Juan XXIII se han estado enfrentando a un completo CTF, con el que han estado poniendo en práctica los conocimientos adquiridos a lo largo de los últimos meses de clases. 

El CTF combinaba pruebas de ataques a redes WiFi inseguras, ataques a vulnerabilidades web, explotación de vulnerabilidades de sistemas operativos, malware y criptografía. 

En el CTF participaban 2 equipos, el equipo Rojo y el equipo Azul. Cada uno tenía una bandera de su color (imagen png), un router WiFi y un servidor. Con todo ello debían montar una red WiFi en la que iban a conectar un servidor Windows, con un apache y un sitio web vulnerable.


En una página del sitio web había una SQL Injection con la que podían realizar un "defacement" de la página, cambiando la imagen de la portada por su bandera; con el fin de demostrar al equipo contrario que habrían logrado acceder a su servidor.

El ataque que se debía realizar era muy sencillo. Cada auditor tirará de las técnicas que conoce o con las que está más acostumbrado,  pero como veréis, se puede realizar con una simple instrucción.

Para los que os encontréis aprendiendo a auditar aplicaciones web, os vamos a dejar la página vulnerable para que podáis descargarla y trastear con ella, y mañana os daremos una posible resolución a esta prueba del CTF.

Para montar la página web necesitáis un servidor Apache (ya que las páginas son PHP) y una BBDD MySql. En el archivo comprimido que tenéis a continuación encontrarés la BBDD en formato ".sql" y dos ficheros "php", junto con una imagen.


Ánimo,

Saludos!
en
Etiquetas: ,

2 comentarios:

  1. Anónimo18 de junio de 2014, 19:40

    http://localhost/buscar.php?texto=%27;%20update%20fondos%20set%20link%20=%20%27https://www.google.com.co/logos/doodles/2014/world-cup-2014-15-5971113733521408-hp.gif%27;

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)