Inyección de comandos en DVWA

Autor: | Última modificación: 15 de noviembre de 2022 | Tiempo de Lectura: 3 minutos
Temas en este post: ,

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes cómo hacer un ataque de inyección de comandos en DVWA? Antes de hablar sobre ello, recuerda que este contenido sobre cómo ejecutar una inyección de comandos en DVWA está hecho con fines académicos. El uso de la técnica que veremos a continuación en un entorno no autorizado se considera ilegal. Por eso, te enseñaremos a realizar el siguiente ejercicio en un entorno legal de práctica de hacking web llamado Damn Vulnerable Web App (DVWA).

DVWA es una aplicación que contiene páginas con las principales vulnerabilidades de tipo web, que los hackers suelen aprovechar. Esta app, basada en PHP y MySQL, fue desarrollada para practicar ciberataques en ella de manera segura y sin perjudicar a nadie en el proceso.

En este post, te enseñaremos cómo hacer un ataque de inyección de comandos en DVWA. Pero antes, repasaremos de manera breve en qué consiste este ciberataque web.

¿Qué es la inyección de comandos?

De acuerdo con la lista de OWASP Top 10, que determina cuáles son los diez ciberataques más utilizados contra aplicaciones web, la inyección de código se encuentra en el tercer lugar. Como su nombre sugiere, estos ataques consisten en ejecutar código dentro del servidor o el navegador del cliente de una aplicación. No obstante, existen diferentes tipos de inyección de código, como la inyección de SQL, el cross-site scripting y la inyección de comandos.

La inyección de comandos es un tipo de ataque que consiste en ejecutar comandos para Linux en un servidor. Es decir, se basa en vulnerabilidades que permiten ejecutar comandos Bash directamente en el servidor que hospeda a la página web. De este modo, se puede usar para exfiltrar archivos, modificarlos, eliminaros o tomar control del servidor.

Inyección de comandos en DVWA

La inyección de comandos se produce cuando una aplicación utiliza la entrada de un usuario para ejecutar código en el servidor. En la página de Damn Vulnerable Web App, veremos un ejemplo de esto. Para ello, primero debemos preparar el entorno web de práctica para el ejercicio.

Preparación

  1. Instala una máquina virtual con Kali Linux.
  2. Instala DVWA en dicha máquina virtual.
  3. Entra a la aplicación DVWA desde un navegador web en Kali.
  4. Inicia sesión con las credenciales «admin» y «password«.
  5. Entra a la pestaña «DVWA Security» y escoge la opción «Low«.
Inyección de comandos en DVWA

Ejecución

Para ejecutar un ataque de inyección de comandos en DVWA, ingresa a la pestaña que dice «Command Injection«. Allí, verás la siguiente página web vulnerable, escrita en lenguaje PHP:

Inyección de comandos en DVWA

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Como verás, la página le permite al usuario ingresar el valor de una dirección IP para realizar un «ping». Al ingresar cualquier dirección IP, como 127.0.0.1, veremos el siguiente resultado:

Inyección de comandos en DVWA

La aplicación ha logrado hacer el ping exitosamente, de modo que podemos deducir que el servidor está utilizando un input del usuario para ejecutar una acción. Ahora, comprobaremos si es posible concatenar otros comandos de Linux para descubrir información del servidor. Iniciaremos con el comando «id«.

Inyección de comandos en DVWA

En la última línea del mensaje de respuesta de la aplicación, veremos que nos arroja información sobre el servidor. Esto significa que hemos comprobado la vulnerabilidad. Ahora, ejecutaremos el comando «cat /etc/passwd» para acceder a información sensible del sistema.

Inyección de comandos en DVWA

La vulnerabilidad permite exfiltrar información y ejecutar código de forma remota en la aplicación, por lo que representa un riesgo para los servidores y sus clientes.

¿Cómo aprender más?

Ahora sabes cómo hacer un ataque de inyección de comandos en DVWA. Si quieres aprender más sobre técnicas de hacking web, en KeepCoding tenemos la formación intensiva para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un profesional dentro del sector en tan solo 7 meses. ¿A qué sigues esperando? ¡Inscríbete ya!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado