Natas level 14 – OverTheWire – Paso a Paso (Walkthrough) en Español

      Comentarios desactivados en Natas level 14 – OverTheWire – Paso a Paso (Walkthrough) en Español

Para acceder al level 14 de Natas necesitamos los siguientes datos de acceso (la contraseña ha sido obtenida en el reto natas13):

Username: natas14
Password: Lg96M10TdfaPyVBkJdjymbllQ5L6qdl1
URL: http://natas14.natas.labs.overthewire.org

Una vez hayamos accedido a este nivel veremos un panel de login donde debemos introducir un usuario y una contraseña válida.

También podemos ver el código fuente del sitio web haciendo clic en el enlace View sourcecode que se encuentra resaltado en color azul.

Si analizamos el código, observamos que la consulta SQL que se utiliza para comprobar que el usuario y la contraseña coinciden con credenciales almacenados en la base de datos está escrita en la misma línea de código y no existe ningún control de seguridad, esto implica que es posible realizar un ataque de inyección SQL que nos permitirá acceder sin necesidad de conocer ningún usuario.

En este caso, podemos poner las cadenas " OR "1"="1 tanto en el campo de usuario como de contraseña, y al presionar el botón login, podremos ver la contraseña para acceder al siguiente nivel.

La contraseña para acceder a nivel natas 15 es AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J

Este reto ha sido resuelto por Init0 (initcero) un equipo red team en Canarias (España).