¡Tu Primer Hack Web! Resolviendo Natas 15 a 16 (OverTheWire)

Описание: 🔐 Natas 15 → 16 | Blind SQL Injection (Boolean Based) | PHP & Python Automation

En este video resolvemos el reto Natas 15 a Natas 16 del wargame OverTheWire, uno de los mejores laboratorios para aprender SQL Injection en la vida real.

En este nivel nos enfrentamos a una Blind SQL Injection, donde no podemos ver directamente la contraseña, pero sí podemos inferirla gracias a respuestas booleanas del servidor.

🧠 ¿Qué aprenderás en este video?

✅ Qué es una SQL Injection
✅ Qué significa Blind SQL Injection
✅ Cómo funciona una Boolean-Based SQLi
✅ Cómo interpretar respuestas como "This user exists"
✅ Cómo descubrir una contraseña carácter por carácter
✅ Cómo automatizar el ataque usando scripts en:

🐘 PHP

🐍 Python

⚙️ Técnica utilizada

El servidor no muestra errores ni datos sensibles, pero responde de forma diferente cuando una condición SQL es verdadera o falsa.

Usamos consultas como:

AND SUBSTRING(password,1,1)="a"


Si la condición es verdadera, el servidor responde positivamente, lo que nos permite reconstruir la contraseña completa de 32 caracteres usando automatización.

🛠️ Automatización del ataque

Durante el video se crean scripts básicos y explicados paso a paso en PHP y Python que:

Prueban letras y números

Analizan la respuesta del servidor

Detectan condiciones verdaderas (boolean)

Reconstruyen la contraseña completa automáticamente

Este enfoque es muy común en:

Pentesting

Bug Bounty

CTFs

Auditorías de seguridad web

🎯 Objetivo final

🔓 Obtener la password (flag) del usuario natas16
📌 Entender cómo explotar una vulnerabilidad sin ver datos directamente

🚀 Ideal para:

Principiantes en hacking ético

Personas aprendiendo SQL Injection

Estudiantes de ciberseguridad

Quienes quieren entender ataques reales paso a paso

Si te gustó el video:
👍 Dale like
💬 Comenta si quieres el siguiente nivel
🔔 Suscríbete para más wargames y hacking práctico