Que les parece si comenzamos a "jugar" con
SQLMap, para ello voy a asumir que ya tienen instalado en un entorno de desarrollo
DVWA para evitar cualquier tipo de problema por inspeccionar y explotar este tipo de vulnerabilidades.
Por otro lado DVWA es un escenario de training fantástico que recomiendo a todos para iniciarse en la explotación de técnicas hacking mucho más de cerca.
Lo más interesante de DVWA es tratar de no utilizar las herramientas automatizadas para resolver cada uno de los retos planteados, pero como estamos en el Training de SQLMap vamos a saltear esa regla e intentar explotar el fallo de SQL Injection haciendo uso de esta herramienta.
Para los nuevos usuarios que recién se están iniciando en el uso de herramientas en consola, vallan haciéndose la idea que más allá de tener una pantalla en negro con un irritante cursor blanco esperando, hay un potencial increíble en esa consola y hoy por hoy existen muchas herramientas de seguridad que están programadas para que funciones directamente en la línea de comandos.
Entonces nos autenticamos en DVWA, lo primero que vamos a hacer dentro es modificar su seguridad, en la opción DVWA Security lo vamos a setear en low para ir comprendiendo la utilización de las herramientas.
Vamos hasta el menú que dice "SQL Injection" allí vamos a encontrar un input text esperando que le ingresemos algún dato para luego procesarla y ejecutar esa consulta.
Si le ingresamos un valor 1 obtenemos un resultado, y si pueden ver es posible copiar la URL con las variables GET utilizadas
http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#
