Automatización de inyecciones SQL con Burp

Muchas veces me encuentro teniendo que escribir mi propia herramienta para extraer información de una inyección de SQL a ciegas donde herramientas públicas normalmente no funcionarían. Puede ser que la aplicacion este detrás de un WAF/IDS o para un reto de inyección SQL o porque está cifrado en Base64 o cualquier otra situación extraña donde herramientas públicas no sirven.

Lo que demostraré en este articulo es una forma de tomar un atajo para no tener que crear su propio programa y envés usar Burp Suite para ahorrarse tiempo. Recomiendo Burp para cualquier persona que este interesada en pen-testing. La versión Pro tiene varias funciones que harán una auditoría web muy fácil (el huevo de pascua también esta bueno)

 

 

El siguiente paso es definir la inyección de SQL y la posición donde el carácter que sera brute-forceado ira. Para este ejemplo, extraeré el valor de database().

 

Después de haber definido la posición, necesitamos elegir la carga. Usaremos números como nuestra carga y un rango de 32 a 126. Si nos fijamos en la tabla ASCII, este rango representa a todos los caracteres que necesitamos.

 

El ultimo paso antes de lanzar el ataque consiste en establecer una cadena a coincidir cuando la consulta devuelva una respuesta verdadera. En este caso, la cadena a coincidir sera 'lightos'.

 

Cuando todo haya quedado bien configurado, podemos ir al menú Intruder y comenzar el ataque. Esto abrirá una nueva ventana que mostrara los resultados de cada petición. Cuando la cadena coincida, se indicara que ese es el carácter correcto.

 

El carácter devuelto fue el numero 84, que es la representación decimal de la letra T. Esta es la primera letra de database() que tiene de valor Test.

 

He incluido el siguiente vídeo para mejor demostrar el proceso: