Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

RSS |

Blog de Omar
Just another WordPress weblog

Home
Acerca de MI
FAQ
MIS VIDEOS

Search

Me cambias la nota de la Universidad? Inyecciones sobre SQL Server

Septiembre 30, 2014 | 5 comments | CEH, CPTE, Ethical Hacking, MSSQL, SQLInjection, Videos Seguridad

Twittear

Las inyecciones de cdigo SQL (aqu pueden ver el TOP 10 2013 de OWASP) son una vulnerabilidad muy conocida, a

1 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

pesar de eso no sorprende aun encontrarse con diversas pginas web que tengan esta vulnerabilidad. Lo que aun me
sorprende es que me escriban correos pidiendo ayuda para realizar acciones de dudosa legalidad con la efmera y
absurda esperanza que yo me juegue el pellejo por alguien que no conozco, por alguien que no me interesa y peor an me
juegue la crcel por alguien que no tuvo las ganas de estudiar el ciclo de la universidad. As que aquellos que estn
cursando la universidad con esfuerzo, aquellos que son bachilleres y los que ya son ingenieros, sintanse orgullosos de su
ttulo que mucho esfuerzo ha costado.

Cranme que hay gente que me pide cambiar las notas, es decir, que hackee a la universidad y cambie un 09 por un
11 para que sean felices; les muestro slo algunos ejemplos que mas recuerdo:

Oferta y demanda: la economa y el mercado se mueve

Ya saben, toda demanda tiene una oferta, gracias a este principio nuestra economa se mueve. Obviamente el mundo del
hacking no es ajeno a esto, basta con buscar en Internet si alguien ofrece realizar trabajitos de hacking para cambiar
nuestras calificaciones. Me llam la atencin una pgina web donde encontr una persona seria, que nos ofreca un
trabajo serio, garantizado, discreto y sobre todas las cosas profesional, porque eso es lo que necesitamos en este pas,
Per, profesionales de alta calidad que cambien notas para obtener ms profesionales de alta calidad. WTF!!!!

Como no soy especialista en temas de derecho, habr que preguntarle a Erick (@coyotegris) de que tipo de delito estamos
hablando y supongo que tanto el que realiza estos trabajitos como el que los solicita estn cometiendo un delito.

2 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

Entonces. se puede ser profesional sin haber estudiado?

De pronto si, obviamente de manera trucha, ilcita e ilegal. Es aqu donde me pregunt Qu tantas instituciones
educativas han sido hackeadas en el Per?, pues como sabrn nadie lleva un registro exacto de estas cosas y tampoco es
que cada vez que alguien hackee a una universidad pues se promocione por internet diciendo que lo ha logrado, de hecho,
a mi me han contratado universidades para realizarles un Ethical Hacking y las cosas que se pueden lograr, son
alucinantes!!!

Entonces, no hay donde saberlo? pues aqu nos puede ayudar ZONE-H, como ya sabrn cada vez que algn super
hacker logra un defacement lo publica en esta pgina para crear un mirror de como qued la pgina despus de haber
sido hackeada. Mayscula fue mi sorpresa cuando encontr, 1444 pginas hackeadas que tienen el dominio EDU.PE.
WTF!! hasta una pgina de la Universidad Nacional de San Marcos(UNMSM) se encuentra all. Si no me creen miren
aqu:

Parece ser que el ilcito negocio no es tan complicado como parece habiendo tantas pginas educativas que han sido

3 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

hackeadas , de pronto hasta el negocio les resulta bastante atractivo habiendo un mercado tan grande de estudiantes, ese
es un motivo para que las universidades se preocupen por la seguridad de su informacin, adems, siendo las
universidades donde se forman profesionales en ingeniera creera que deberan dar el ejemplo de un buen desarrollo y
seguro de sistemas de informacin, no creen?

Ahora s, las inyecciones sobre SQL SERVER

La idea de este post es mostrar las diferencias entre las inyecciones SQL sobre MySQL y sobre otro motor de base de
datos, por ejemplo, SQL SERVER. Para poder entenderlo mejor les recomiendo haber visto antes estos posts:

SQL Injection I : Clase 01

SQL Injection II: Clase 02
SQL Injection III: Clase 03
SQL Injection IV: Clase 04

Debido a que explicar las diferencias se puede hacer extenso, he decidido realizar un video tutorial con las principales
particularidades de realizar inyecciones sobre Microsoft SQL Server. El video contiene las siguientes partes:

1. Ejecucin de funciones bsicas sobre MSSQL para obtener informacin: usuario utilizado, base de datos actual,
versin de la base de datos.
2. Listado del total de bases de datos
3. Listado de tablas de una base de datos especfica
4. Listado de registros de una tabla
5. Concatenacin de querys y alteracin de informacin a travs de inyecciones (muy importante)

Finalmente, alguien podra realmente cambiar las notas de cursos en la universidad?

Como esa pregunta me segua dando vueltas en la cabeza y senta que no poda vivir con esa duda existencial, decid
probar en la pgina web de una universidad que no estaba en listado de Zone-H e identificar si son tan descuidados
como para permitir inyecciones de cdigo SQL. Obviamente no voy a decir que universidad he probado, slo que es una
universidad Nacional del Per y que la manera que he probado es colocando la super-archi conocida comilla simple () y
una UNION para observar que comportamiento de la pgina web, no he ahondado ms porque mi objetivo es slo
verificar que es vulnerable y no hackear la pgina, de hecho la he reportado con la esperanza de que solucionen el
problema. Es importante mencionar que utiliza Microsoft SQL Server y que eventualmente se podran modificar los
registros, es decir, es muy probable que si se puedan cambiar las notas de la universidad y ser profesionales de dudosa
reputacin.

4 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

Conclusiones:

1. Existe una demanda grande de alumnos que desean aprobar o modificar calificaciones estudiantiles muy grande y
los centros de estudio deben preocuparse por la seguridad de la informacin para evitar incidentes de seguridad.
Obviamente los que se publicitan por Internet es muy probable que sean estafadores.
2. Es posible modificar informacin de manera remota a travs de vulnerabilidades del tipo Microsoft SQL Server
3. Existe un alto nmero de pginas web de centros educativos que han sido hackeados en el Per, los registrados en
ZONE-H suman 1444 pginas web hackeadas con el dominio .EDU.PE.
4. Las buenas prcticas de desarrollo a travs de APIs son la mejor solucin para el desarrollo seguro de aplicaciones
web. Revisen ESAPI del proyecto OWASP.
5. Los controles a nivel de acceso a las bases de datos y tener logs de monitoreo sobre las bases de datos nos permiten
identificar posibles fraudes realizados muchas veces por personal de confianza como los mismos DBA.

***************************************************************

Popularity: 27% [?]

Si te gusto este post, asegurate de suscribirte a mi RSS feed!

Like - Dislike

Omar Palomino

Hola mi nombre es Omar Palomino. Si te gustan las noticias de mi blog, no olvides

suscribirte a la pgina. Puedes leer ms en Acerca de MI, o bien ponerte en contacto conmigo
al correo: omarc320@gmail.com
More Posts - Website

5 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

Post Relacionados

Abril 23, 2014 -- ANLISIS CAPTCHA: INYECCIN DE CDIGO SQLPARTE II (3)

Abril 22, 2014 -- Anlisis Captcha: Inyeccin de Cdigo SQLParte I (3)
Julio 9, 2013 -- INYCTALO TU MISMO: CLASE 02 (8)
Julio 2, 2012 -- Vulnerando SQL Server: Metasploit y SQL Injection (4)
Mayo 2, 2008 -- 4VT de Modelamiento BD Online! (11)

Tagged as: diferencias, injection, inyeccion, modificar, mssql, MySQL, registro, sql, tutorial, update, video

SI TE GUSTO ESTE ARTICULO, COMPARTELO!

Me gusta A 122 personas les gusta esto.

Comments
There are 5 comments for this post.

1. Cristhyan on Septiembre 30, 2014 7:45 pm

Excelente artculo, me gusta mucho leer este tipo de artculos ya que me ayuda a aprender nuevas cosas da a da,
gracias por compartir tus conocimientos

2. yimmy on Octubre 1, 2014 12:20 pm

excelente como siempre Omar salu2

3. Franco on Mayo 7, 2015 4:55 am

Hola disculpa, aun no tengo conocimiento sobre inyeccion pero quisiera saber si es necesario tener instalado sql o
mysql alguna version en especial?..gracias disculpa mi ignorancia.

4. Rogelio Muoz on Mayo 17, 2015 9:49 pm

Cuanto cobras por meterme a la UNAM

5. Cabiro on Diciembre 5, 2015 9:55 am

Omar . muy buen post !!

Con respecto a tu pregunta , trucos hay por todos lados y de ninguna manera se pueden llamar profesionales , sin
embargo el hacking a mutado y cre que ser conveniente que te actualises , te coment un caso personal , soy el
tpico traga libros que ayuda a sus compaeros y trabaja y estudia todo el tiempo . Hace un par de aos ya me
faltaba poco para recibirme y en la facultad cambiaron al secretario de la carrera .El hacking lo hizo l , a los que
no estudian y ni siquiera cursaron les subi notas y aprobaciones y al resto de los ilusos nos modific el analtico ,
una especie de enroque como en el ajedrez . Los tragas estamos recursando prcticamente media carrera que ya
estaba aprobada , y lo hacemos de taquito porque siempre estudiamos antes y ahora .Y los truchos chantas ya se

6 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

recibieron y ocupan cargos administrativos en la facultad pq no pueden ejercer la profesin para la que tienen el
ttulo . En el medio a los que nos cagaron no slo que los profesores nos apoyan y han decidido tenernos en sus
empresas como mano derecha sino que les han cerrado las puertas a los truchos . Y algo ms algunos no slo somos
estudiosos para aprobar un examen , el dominio de estos y muchos otros conocimientos nos vuelven sujetos
peligrosos para esos trucos y el secretario y cualquiera que haya participado de esta maniobra . No tens idea de lo
dulce que es la venganza , verlos vivir con miedo indefensos y a merced de quienes ellos alguna vez burlaron . La
verdad esto es hacking tico . Nuevo paradigma , nuevas reglas . As que mi mensaje sera que los que quieran
dibujar las notas para convertirse en profesionales trucos bien por uds , sigan as cuantas ms ovejas entren al
matadero mayor va a ser la carnicera .

Saludos

Write a Comment
Name (required)

Mail (will not be published, required)

Website

Message

Notificarme via e-mail cuando haya nuevos comentarios

Comment Spam Protection by WP-SpamFree

Interesting Topics
Popular Posts
Recent Posts

Primer tutorial de Pentaho

ITIL V3: Service Operation (Operacin del Servicio) Parte II
SESSION HIJACKING: SECUESTRO DE SESIONES VA DROIDSHEEP
Auditando contraseas en Windows7
Estuvimos en LimaHack 2011

Presentacin ISACA Student Group PUCP 2016

Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Hookworm: Un backdoor silencioso con PHP Parte 02
Puertas Traseras: Backdorizando un LinuxParte 01
Routers, Facebook y otras hierbas

Sguenos en:

7 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

Suscrbete a mi canal de Youtube

Omar Palomino
48 vdeos

2k

nete al Facebook

S el primero de tus amigos en indicar que le

gusta esto.

El Palomo
27 de agosto a las 8:04

Seores, en unos minutos iniciamos el

seminario de Ethical Hacking -
Avanzado. El ingreso es a travs de la
siguiente URL:
https://attendee.gotowebinar.com/regist
/4552000505984086020

11 4 Compartir

Sguenos el Twitter: @ELPalomo_Blog

8 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

Tweets por @ELPalomo_Blog

Omar Palomino retwitte

Jonathan Aldave
@zoom777

50 BLOGS EN CASTELLANO QUE DEBERAS LEER SI TE INTERESA LA

SEGURIDAD INFORMTICA cyha.es/1KQRBK8 nombran @alguien_tw
@ELPalomo_Blog

50 BLOGS EN CASTELLANO QUE DEBERAS LEER si te interesa l

Kinomakino hace una recopilacin de 50 blogs que deberas leer si te in
blogs.protegerse.com

27 feb

Omar Palomino retwitte

Insertar Ver en Twitter

SUSCRIBETE VIA RSS

Categorias
Android
Anonimato
Backdoors
Base de Datos
Business Intelligence
CEH
Cisco
Contrasenas
CPTE
Editorial

9 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

Ethical Hacking
Eventos
Facebook
Forense
Hijacking
Ingenieria Social
ITIL
Linux
MSSQL
MySQL
politica
Rainbow Tables
Remote File Inclusion
SQLInjection
Uncategorized
Videos Seguridad
Wardriving
Wireless
Wordpress

LOS ULTIMOS FEEDS

Presentacin ISACA Student Group PUCP 2016 Mayo 20, 2016
Seores, sin mucho ms que decir, les adjunto la presentacin del evento ISACA Student Group PUCP 2016.
Descarga la presentacin: [AQU] Like - DislikePost RelacionadosMarzo 6, 2012 -- Estaremos en LinuxWeek 2012
PUCP (4)Noviembre 23, 2014 -- Routers, Facebook y otras hierbas (1)Octubre 18, 2014 -- Resumen de Seguridad
Informtica: 13 al 17 []
Omar Palomino
Estpido y sensual EXCEL: Me robo tu informacin con una encuesta Marzo 29, 2016
Realizar hacking es ms fcil de lo que parece o al menos eso es lo que trato de hacer parecer con este blog y hago
lo propio cada vez que dicto capacitaciones en diversas empresas. Lo cierto es que lo nico que necesitamos
muchas veces es tan slo un momento de lucidez, un momento []
Omar Palomino
Hookworm: Un backdoor silencioso con PHP Parte 02 Marzo 10, 2016
Como lo prometido es deuda, estoy tratando de escribir ms seguido en el blog. Dejando de lado el tedioso proceso
de documentacin de los proyectos que estoy realizando, dejando de lado el calor infernal que nos asfixia en Lima
durante este verano y dejando de lado la pereza dominical que me invade cada fin de []
Omar Palomino
Puertas Traseras: Backdorizando un LinuxParte 01 Enero 23, 2016
Despus de mucho tiempo me tomo algo de tiempo para escribir, sin ms prembulo voy a escribir sobre puertas
traseras en sistemas operativos basados en Linux. Las puertas traseras o backdoors son mecanismos de acceso que
se instalan o configuran en un servidor para poder tener un acceso rpdo y facil al despus de haber []
Omar Palomino
Routers, Facebook y otras hierbas Noviembre 23, 2014
Si hay algo que no logro comprender todava en esta vida es esa estpida pregunta que me suelen hacer cada vez
que menciono el humilde oficio al que me dedico, las preguntas varan tanto como entre tomar una Coca-Cola y
una Pepsi con los ojos cerrados y es que las estadsticas indican que tod@s siempre []
Omar Palomino

ULTIMOS POSTS
Presentacin ISACA Student Group PUCP 2016
Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Hookworm: Un backdoor silencioso con PHP Parte 02
Puertas Traseras: Backdorizando un LinuxParte 01
Routers, Facebook y otras hierbas
Hackeando Android: Ingeniera Social y una linda camiseta

10 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

Resumen de Seguridad Informtica: 13 al 17 de Octubre

Me cambias la nota de la Universidad? Inyecciones sobre SQL Server
Una novela de amor y odio: Politica Peruana y Hackers
Dame tu disco duro y te dire quien eres
Nos vemos en el CONEISC 2014
Triglicridos, colesterol y otros exmenes mdicos expuestos
ANLISIS CAPTCHA: INYECCIN DE CDIGO SQLPARTE III
ANLISIS CAPTCHA: INYECCIN DE CDIGO SQLPARTE II
Anlisis Captcha: Inyeccin de Cdigo SQLParte I

Ultimos comentarios
julio en Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Omar Palomino en Memorias de un certificado ITIL v3: Material en espaol
Omar Palomino en Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Julio en Estpido y sensual EXCEL: Me robo tu informacin con una encuesta
Nicogo en Hookworm: Un backdoor silencioso con PHP Parte 02
Ramiro en ITIL V3: Service Operation (Operacin del Servicio) Parte II
Ahiezer Alvares en Puertas Traseras: Backdorizando un LinuxParte 01
santiago en Beini: Hackear una red wireless nunca fue tan fcil
Ahiezer Alvares en Puertas Traseras: Backdorizando un LinuxParte 01
mateo en Memorias de un certificado ITIL v3: Material en espaol
Omar Palomino en Memorias de un certificado ITIL v3: Material en espaol
k2r4y en Puertas Traseras: Backdorizando un LinuxParte 01
John Connors en ITIL V3: Service Operation (Operacin del Servicio)
Jorge en Cmo certificarse Ethical Hacker CEH y no morir en el intento?
Cabiro en Me cambias la nota de la Universidad? Inyecciones sobre SQL Server

Google Advertisement

Tags

peru palomino omar hacking video MySQL tutorial Editorial Linux

injection sql Base de datos Pentaho metasploit ITIL Modelamiento lima sqli Wordpress hack BI Inteligencia
Negocios servicio inyeccion videotutorial service seguridad el-palomo ethical palomo password contraseas 2012 backdoors analisis backtrack Plugin ccna
datos curso Inteligencia de Negocios microolap cisco video tutorial

Our Partners
Development Blog
Documentation
Plugins
Suggest Ideas
Support Forum
Themes
WordPress Planet

Categories
Base de Datos
Business Intelligence
MySQL
Editorial
Ethical Hacking
Android

11 de 12 13/09/2016 19:30
Me cambias la nota de la Universidad? Inyecciones sobre SQL Server... http://www.el-palomo.com/2014/09/me-cambias-la-nota-de-la-univers...

Anonimato
Backdoors
CEH
Cisco
Contrasenas
CPTE
Eventos
Facebook
Forense
Hijacking
Ingenieria Social
MSSQL
politica
Rainbow Tables
Remote File Inclusion
SQLInjection
Videos Seguridad
Wardriving
Wireless
ITIL
Linux
Wordpress

Copyright 2016 Blog de Omar.

WordPress theme is designed by Review Kings.
In collaboration with Court Records Search, Public Records DB, and People Locator Services.

12 de 12 13/09/2016 19:30