Cuando se lanza un ataque a un pagina haciendo uso de
SQLMAP esta deja atrás de cada petición información en la cual se incluye la dirección ip publica y
user agent la cual puede ser utilizada para procesos de investigación y detección del origen del ataque, en este post les enseñare como un atacante puede modificar esta información y realizar peticiones de forma anónima.
|
Sqlmap con TOR |
Ataque SQLmap sin protección de identidad:
Primero vamos a ver una petición común realizada con
sqlmap:
sqlmap.py -u 'http://xxxxxxx.com/sqli/login.php' --data="user=admin&password=admin&s=OK" --threads=5 -vv --dbs
|
Ataque normal |
Si ejecutamos este ataque y observamos los logs del servidor nos podemos dar cuenta que estamos enviando nuestra ip publica en cada peticion y el user agent es configurado por defecto por sqlmap con el contenido: "sqlmap/version (url pagina de sqlmap)" como podemos ver en la siguiente imagen:
|
Logs apache tras un ataque de sql injection |
|
Ip publica (Ataque sin anonimato) |
como podemos observar la ip publica de la red utilizada para mandar las peticiones del ataque concuerda con la reguistrada en los logs del servidor apache.
Ataque sqlmap con proteccion de identidad:
SQLmap nos provee la facilidad de encapsulas todas las peticiones a través de la red tor, para esto solo debemos
instalar el navegador tor y ejecutarlo, una vez esté ejecutandose correctamente podemos pasar a nuestra consola y hacer uso de sqlmap con los siguientes parametros:
- --tor = le indicara a sqlmap que encapsule el envio de las peticiones haciendo uso de la red tor.
- --check-tor = Comprueba que Tor si se utiliza correctamente.
- --random-agent = Utilizar un user agent alearorio.
sqlmap.py -u 'http://xxxxxxx.com/sqli/login.php' --data="user=as&password=as&s=OK" --tor --check-tor --random-agent --threads=5 -vv --dbs
|
Ataque enviado por la red TOR |
una vez realizado el ataque podremos ver en los logs del servidor que nuestra ip publica ahora es reemplazada por la direccion ip del nodo de salida de la red tor y el user agent es reemplazado por uno aleatorio seleccionado por la herramienta, todo esto lo podemos comprobar en la siguiente imagen:
|
Logs ataque sqlmap utilizando la red TOR |
|
Ip nodo de salida red TOR |
Como podemos ver en las imágenes un atacante podría fácilmente realizar ataques anónimos haciendo uso de la red tor y sqlmap, es de vital importancia analizar los logs de nuestros servidores para detectar este tipo de peticiones o implementar sistemas automatizados como WAF los cuales analicen el trafico y protejan automáticamente nuestra infraestructura.
0 comentarios:
Publicar un comentario