Prueba de concepto: DDoS vía SQLi

La semana pasada publiqué un artículo donde explicaba cómo llegar a realizar un ataque de denegación de servicio con éxito, pues bien, con un grupo de personas nos dedicamos a realizar una prueba de concepto y testear que tan eficáz era.

El primer paso fue encontrar un objetivo que tenga una vulnerabilidad SQLi, luego de eso ver hasta qué punto podemos inyectar código SQL para poder crear nuestra consulta pesada que genere la denegación de servicio.

El sitio objetivo fue https://maqval.cl (alojado en dreamhost), sitio que esta entre los “Sitios vulnerables” que he publicado. La consulta SQL que nos ayudó a realizar la denegación de servicio fue una con SELECT anidados usando la función BENCHMARK y repitiendo muchas veces  estas instrucciones. No sé si el sitio web corrigió las vulnerabilidades, por lo que no daré el string completo de la inyección sql.

Fuimos 2 o 3 personas las que ejecutamos la inyección sql y al pasar los segundos el sitio dejo de responder, mostrando el mensaje:

This Site is temporarily unavailable

Bastaron dos o tres peticiones para que el sitio cayera.
El sitio estuvo abajo toda la noche y al otro día. Me comuniqué con el encargado del hosting y me contó que lo estaban llamando los clientes para preguntar que sucedia con el sitio web, que los productos y precios no aparecian, etc. El encargado se conectó a la base de datos y se sio cuenta que no estaba, como si la hubiesen eliminado (drop database, delete…) me miró y yo le dije “Oops! Yo no fui, yo solo le hice DoS”, entonces él empezó a averiguar y claro, los de sotorpe soporte de dreamhosthabían eliminado la base de datos ya que consumia muchos recursos en el servidor y estaba comprometiendo el servicio de otros clientes, afortunadamente el encargado del hosting tenia un respaldo de la base de datos.

Bueno, con esto, lo único que queda decir, un ataque dirigido puede llegar a afectar a todos los usuarios y servicios de un servidor, logrando hasta que le cancelen la cuenta. La prueba de concepto fue realizada con éxito.

2 comentarios

  1. Muy interesante amigo pienso que estare visitando muy amenudo este blog

    por cierto me podrias explicar exactamente como hacer eso ose un tutorial de como hacerlo bien 🙂

1 Pingback

  1. Pingback: Denegación de Servicio (DoS) mediante SQLi – Prueba de concepto realizada -- Insecurity.cl

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.