Plantilla Fase 4

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad

Informática
Curso: Seguridad en Bases de Datos Código: 233009
Desarrollo Fase 4
Esneider Alexander Canencio Dominguez
Universidad Nacional Abierta y a Distancia.
Especialización en Seguridad Informática
Seguridad en Bases de Datos
Mayo de 2018
Informática
TABLA DE CONTENIDO
1. ADECUACION DE AMBIENTE DE PRUEBAS ..........................................................................4

1.1. Instalación de MySQL..................................................................................................................4
1.2. Instalación de NMAP................................................................................................................. 14
1.3. Instalación de servidor web................................................................................................. 18
1.4. Instalación de Máquina Virtual con Kali Linux .......................................................... 22
1.5. Diseño o implementación de aplicación para pruebas ......................................... 25
2. EXPLORACION DEL AMBIENTE DE BASE DE DATOS ................................................... 30
2.1. Exploración de bases de datos creadas......................................................................... 30
2.2. Exploración de la ruta de almacenamiento de los archivos de datos en
MySQL 30
2.3. Listado de usuarios por defecto en MySQL ................................................................. 41
2.4. Escaneo de puertos escucha activos en el servidor con NMAP ....................... 41
2.5. Opciones de configuración en cuanto a seguridad ofrece el gestor de
base de datos ................................................................................................................................................ 42
2.6. Documentación sobre el proceso de gestión de usuarios de bases de
datos 42
2.7. Documentación sobre el proceso de respaldo o backup cifrado de la base
de datos. Dejando evidencias del backup y de la restauración ...................................... 44
3. PRUEBAS DE SEGURIDAD .......................................................................................................... 47
3.1. Uso de herramientas de Kali Linux .................................................................................. 47
3.2. Uso de SqlMap .............................................................................................................................. 47
CONCLUSIONES ........................................................................................................................................... 51
BIBLIOGRAFIA ............................................................................................................................................. 52
Informática
INTRODUCCION
El presente trabajo se utilizara herramientas y software para realizar ataques a Bases de

Datos, teniendo en cuenta un escenario que se compone de un servidor apache y PHP,
un gestor de base de datos, una imagen del sistema operativo Kali Linux y una aplicación
ya desarrollada la cual es Drupal.
Se realizara la instalación de cada una de las aplicaciones anteriormente mencionadas

para comenzar a ejecutar las pruebas de ataque a Bases de Datos. Durante la instalación
de las aplicaciones se tomara las muestras de la actividad desarrolladas.
Una vez teniendo el escenario completo y con todo el software instalado se procede a
realizar las pruebas requeridas dentro de la guía de trabajo, utilizando como herramienta
de evaluación de bases de datos SQLite Database.
Informática
1. ADECUACION DE AMBIENTE DE PRUEBAS
A continuación, cada estudiante documenta sobre el proceso realizado en la instalación del

ambiente de pruebas y/o auditoria necesario para el desarrollo de la práctica, por último,
el grupo selecciona o construye una guía única para la implementación de un ambiente de
pruebas y auditoria.
1.1. Instalación de MySQL
Se inicia la instalación
Informática
Informática
Informática
Informática
Informática
Informática
Informática
Informática
Informática
Informática
1.2. Instalación de NMAP

Informática
Informática
Informática
Informática
1.3. Instalación de servidor web

Informática
Informática
Informática
Informática
1.4. Instalación de Máquina Virtual con Kali Linux
Se descarga la imagen de kali Linux, del siguiente link: https://www.offensive-

security.com/kali-linux-vm-vmware-virtualbox-hyperv-image-download/
Una vez descargada la imagen se importa en la máquina virtual

Informática
Informática
Se inicia la máquina virtual Kali Linux
Se comprueba la conexión de red entre la máquina virtual y la máquina física o anfitrión.

Informática
1.5. Diseño o implementación de aplicación para pruebas
Se descarga la aplicación Drupal 8.0-alpha10 - 19 March 2014, el cual cumple con los
requerimientos predefinidos
Una vez se descarga se deja en la ruta donde se va a desplegar la aplicación.
A continuación, se realiza la instalación de la aplicación.

Informática
Informática
Informática
Informática
Una vez finalizada la instalación se valida que la BD Drupal se haya creado:

Informática
2. EXPLORACION DEL AMBIENTE DE BASE DE DATOS
A continuación, cada realiza la exploración de la información de las herramientas en el

ambiente de prueba, posteriormente el grupo consolida la información.
2.1. Exploración de bases de datos creadas
2.2. Exploración de la ruta de almacenamiento de los archivos de datos

en MySQL
Se ingresa al servicio de MySQL por consola

Informática
Ahora se ejecuta la siguiente sentencia para validar la metadata de las BD.
SELECT table_name, table_type, engine

-> FROM information_schema.tables;
Informática
Informática
Informática
Informática
Informática
Informática
Informática
Informática
Informática
Informática
2.3. Listado de usuarios por defecto en MySQL
Por medio del siguiente comando se realiza la visualización de los usuarios instalados.
select User from mysql.user;
2.4. Escaneo de puertos escucha activos en el servidor con NMAP
Realice mediante el uso de NMap, el escaneo de puertos escucha en el servidor.

Informática
2.5. Opciones de configuración en cuanto a seguridad ofrece el gestor de

base de datos
Investigue que opciones de configuración en cuanto a seguridad ofrece el gestor de base

de datos mysql.
2.6. Documentación sobre el proceso de gestión de usuarios de bases de

datos
Se crea el usuario 1 con el ID: esneider y contraseña: C4n3nc102018$
Se le otorga los siguientes permisos: leer, editar, ejecutar y realizar todas las tareas en
todas las bases de datos y tablas.
Se crea el usuario 2 con el ID: dsoto y contraseña: ¡qazxsw23edC
Se le otorga el permiso de eliminar sobre la BD drupal y la tabla cache.

Informática
Se verifica el permiso otorgado.
Se crea el usuario 3 con el ID: ddominguez y contraseña: =okmnji98uhb y se le otorga el

permiso de creación sobre todas las BD drupal.
Se crea el usuario 4 con el ID: acanencio y contraseña: >zxcvbnhgfdsA y se le otorga el

permiso de actualización sobre todas las BD drupal.
Informática
2.7. Documentación sobre el proceso de respaldo o backup cifrado de la

base de datos. Dejando evidencias del backup y de la restauración
Para realizar un respaldo de la BD drupal, se debe ubicar en la siguiente ruta a través de

CMD y ejecutar el comando mysqldump -u root -p drupal > E:\backup\drupal-bck.sql
Se valida que se haya generado el backup en la ruta indicada.

Informática
Proceso de restauración de la BD drupal.
Se crea una nueva BD llamada drupal2, con el comando créate database drupal2
Se visualiza que esta vacia.
Para realizar una restauración de la BD drupal-bck.sql, se debe ubicar en la siguiente

ruta a través de CMD y ejecutar el comando mysql -u root -p drupal2 <
E:\backup\drupal-bck.sql
Se visualiza que la BD drupal-bck se haya restaurado.

Informática
Informática
3. PRUEBAS DE SEGURIDAD
3.1. Uso de herramientas de Kali Linux
Integrante Herramienta Descripción y desarrolla de la practica con la base

de datos
Es una herramienta visual de código abierto, gratuita y
de dominio público utilizada para crear, diseñar y editar
archivos de bases de datos compatibles con SQLite. Está
Esneider destinado a ser utilizado por usuarios y desarrolladores
SQLiteDatabase
Canencio que desean crear bases de datos, editar y buscar datos
utilizando una interfaz familiar similar a la hoja de
cálculo, sin la necesidad de aprender comandos SQL
complicados. [1]
3.2. Uso de SqlMap
Pruebas propuestas:
1) Ejecutar el comando “sqlmap.py -u ip_víctima --dbs”, ¿Qué información

devuelve?
1
Tomado de https://www.binarytides.com/view-sqlite-database-files-with-sqlitebrowser-on-ubuntu/
Informática
2) Ejecutar el comando “sqlmap -u ip víctima -D dbname --tables”, ¿Qué

información devuelve?
Informática
3) Ejecutar el comando “sqlmap -u ip_víctima -D dbname -T tablename --columns”

¿Qué información devuelve?
Informática
Informática
CONCLUSIONES
Informática
BIBLIOGRAFIA
[1] Alvarez, M. A. (07 de 02 de 2017). Crear base de datos MySQL y usuario por línea
de comandos. Obtenido de https://desarrolloweb.com/articulos/crear-bbdd-mysql-
linea-comandos.html.
[2] Moon, S. (10 de 08 de 2012). View sqlite database files with sqlitebrowser on
ubuntu. Obtenido de https://www.binarytides.com/view-sqlite-database-files-with-
sqlitebrowser-on-ubuntu/.
[3] N/A. (25 de 06 de 2013). respaldo de bases de datos con mysql dump (consola).
Obtenido de https://www.youtube.com/watch?v=ch8lttX1IUI.
[4] N/A. (19 de 03 de 2014). drupal 8.0-alpha10. Obtenido de

https://www.drupal.org/project/drupal/releases/8.0-alpha10.
[5] N/A. (28 de 09 de 2014). Usuario MySQL: cómo crear, borrar y asignar privilegios.
Obtenido de http://rm-rf.es/usuario-mysql-como-crear-borrar-y-asignar-
privilegios/.
[6] N/A. (01 de 06 de 2015). Cómo listar todos los usuarios en MySQL. Obtenido de
https://www.linuxito.com/gnu-linux/nivel-medio/544-como-listar-todos-los-
usuarios-en-mysql.
[7] N/A. (15 de 06 de 2016). Cómo crear un respaldo en una base de datos MySQL.
Obtenido de https://www.nanotutoriales.com/como-crear-un-respaldo-en-una-
base-de-datos-mysql.
[8] N/A. (01 de 05 de 2018). Capítulo 22. La base de datos de información . Obtenido
de http://download.nust.na/pub6/mysql/doc/refman/5.0/es/information-
schema.html.
[9] N/A. (05 de 05 de 2018). Copia de respaldo y restauración de bases de datos Mysql.
Obtenido de https://es.ccm.net/faq/2739-copia-de-respaldo-y-restauracion-de-
bases-de-datos-mysql.
[10] N/A. (08 de 05 de 2018). Kali Linux Downloads – Virtual Images. Obtenido de
https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-hyperv-
image-download/.
[11] Sverdlov, E. (03 de 12 de 2014). Crear un nuevo usuario y otorgarle permisos

en MySQL. Obtenido de https://www.digitalocean.com/community/tutorials/crear-
un-nuevo-usuario-y-otorgarle-permisos-en-mysql-es.

Plantilla Fase 4

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Plantilla Fase 4

Enviado por

Direitos autorais:

Formatos disponíveis

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI

Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad

Esneider Alexander Canencio Dominguez

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática

Seguridad en Bases de Datos

1. ADECUACION DE AMBIENTE DE PRUEBAS ..........................................................................4

El presente trabajo se utilizara herramientas y software para realizar ataques a Bases de

Se realizara la instalación de cada una de las aplicaciones anteriormente mencionadas

1. ADECUACION DE AMBIENTE DE PRUEBAS

A continuación, cada estudiante documenta sobre el proceso realizado en la instalación del

1.1. Instalación de MySQL

1.2. Instalación de NMAP

1.3. Instalación de servidor web

1.4. Instalación de Máquina Virtual con Kali Linux

Se descarga la imagen de kali Linux, del siguiente link: https://www.offensive-

Una vez descargada la imagen se importa en la máquina virtual

Se inicia la máquina virtual Kali Linux

Se comprueba la conexión de red entre la máquina virtual y la máquina física o anfitrión.

1.5. Diseño o implementación de aplicación para pruebas

Una vez se descarga se deja en la ruta donde se va a desplegar la aplicación.

A continuación, se realiza la instalación de la aplicación.

Una vez finalizada la instalación se valida que la BD Drupal se haya creado:

2. EXPLORACION DEL AMBIENTE DE BASE DE DATOS

A continuación, cada realiza la exploración de la información de las herramientas en el

2.1. Exploración de bases de datos creadas

2.2. Exploración de la ruta de almacenamiento de los archivos de datos

Se ingresa al servicio de MySQL por consola

Ahora se ejecuta la siguiente sentencia para validar la metadata de las BD.

SELECT table_name, table_type, engine

2.3. Listado de usuarios por defecto en MySQL

select User from mysql.user;

2.4. Escaneo de puertos escucha activos en el servidor con NMAP

Realice mediante el uso de NMap, el escaneo de puertos escucha en el servidor.

2.5. Opciones de configuración en cuanto a seguridad ofrece el gestor de

Investigue que opciones de configuración en cuanto a seguridad ofrece el gestor de base

2.6. Documentación sobre el proceso de gestión de usuarios de bases de

Se crea el usuario 1 con el ID: esneider y contraseña: C4n3nc102018$

Se crea el usuario 2 con el ID: dsoto y contraseña: ¡qazxsw23edC

Se le otorga el permiso de eliminar sobre la BD drupal y la tabla cache.

Se verifica el permiso otorgado.

Se crea el usuario 3 con el ID: ddominguez y contraseña: =okmnji98uhb y se le otorga el

Se verifica el permiso otorgado.

Se crea el usuario 4 con el ID: acanencio y contraseña: >zxcvbnhgfdsA y se le otorga el

Se verifica el permiso otorgado.

2.7. Documentación sobre el proceso de respaldo o backup cifrado de la

Para realizar un respaldo de la BD drupal, se debe ubicar en la siguiente ruta a través de

Se valida que se haya generado el backup en la ruta indicada.

Proceso de restauración de la BD drupal.

Se visualiza que esta vacia.

Para realizar una restauración de la BD drupal-bck.sql, se debe ubicar en la siguiente

Se visualiza que la BD drupal-bck se haya restaurado.

3.1. Uso de herramientas de Kali Linux

Integrante Herramienta Descripción y desarrolla de la practica con la base

3.2. Uso de SqlMap

1) Ejecutar el comando “sqlmap.py -u ip_víctima --dbs”, ¿Qué información

2) Ejecutar el comando “sqlmap -u ip víctima -D dbname --tables”, ¿Qué

3) Ejecutar el comando “sqlmap -u ip_víctima -D dbname -T tablename --columns”

[4] N/A. (19 de 03 de 2014). drupal 8.0-alpha10. Obtenido de

[11] Sverdlov, E. (03 de 12 de 2014). Crear un nuevo usuario y otorgarle permisos

Você também pode gostar