CAMBIANDO DATOS CON BURPSUITE | DUMPEO DE DB

Resultado de imagen para burp suite kali



BurpSuite es una herramienta muy completa, en este manual no nos dedicaremos a ver la auditoria web, ya que Kelvin Parra, acaba de hacer un manual sobre Web Hacking Pentest, que también lo pueden adquirir individualmente, o por medio del pack de manuales que tenemos. Bueno como les decía una vez auditando la pagina web de dicha universidad con la herramienta BurpSuite, encontré un fallo muy grande el cual no necesitaba ni siquiera la pass y user, de la plataforma, ya que directamente me arrojo el enlace, para cambiar las notas y demás datos de los alumnos de dicha universidad, el fallo aun no lo he reportado, pero se los dejare, para que vean lo que puedan hacer.

 


 
Url Vulnerables:
 
Nota: Se podria vulnerar con SQLINJECTION.

 

Relación de Alumnos:
 

Modificar Alumnos:
 

---------------------------------------------------


 
Aquí puede editar lo que quieran:
 

Eliminar Alumnos.
 

Agregar Alumnos:
 
En este caso pueden agregarse ustedes mismos con datos falsos o reales, ya que no se darán cuenta, ya que es como si el mismo administrador los agregara como alumnos, pueden ponerse el ciclo que sea, la carrera que sea.
 

Registro de Alumnos:
 

Como pueden apreciar es como si todos nosotros fuéramos administradores de la pagina teniendo acceso total a datos privilegiados, por otra parte se podrían sacar mas datos como en la imagen que mostrare a continuación.
DUMPEO DE BASES DE DATOS

 

---------------------------------------------------


---------------------------------------------------


---------------------------------------------------


 
Es un pequeño ejemplo de como se pudo Dumpear la base de datos con la url que se obtuve después de un testeo o auditoria web.
 
 

Url Vulnerables:
 
 
Con SQLMAP, y otras herramientas de explotación podrían hacerlo ustedes mismos...
SI QUIERES MAS INFORMACIÓN COMO ESTA, PUEDES OBTENER MI MANUAL DÍAS DE HACKING...
 
 
Greetz: Hiro Maxwell | Javier Franco
Atte: Jey Zeta