Как да хакнете база данни

Автор: Gregory Harris
Дата На Създаване: 11 Април 2021
Дата На Актуализиране: 1 Юли 2024
Anonim
Мастер-класс "Уязвимости в PHP"
Видео: Мастер-класс "Уязвимости в PHP"

Съдържание

За да защитите базата си от хакери, трябва да мислите като хакер. Ако бяхте хакер, каква информация щяхте да търсите? Как бихте го получили? Има много различни видове бази данни и много начини да ги хакнете. Често хакерите се опитват да пробият паролата на root или да използват експлойт. Ако сте запознати с SQL изрази и основни концепции за база данни, опитайте да разбиете един от тях.

Стъпки

Метод 1 от 3: SQL инжектиране

  1. 1 Разберете дали базата данни има уязвимости. За този метод трябва да разберете операторите на бази данни. Стартирайте браузъра си и отворете интерфейса на страницата за вход в базата данни. След това въведете ‘(един цитат) в полето за потребителско име. Щракнете върху Вход. Ако получите грешка „SQL изключение: Цитираният низ не е завършен неправилно“ или „Невалиден знак“, базата данни е уязвима за SQL инжектиране.
  2. 2 Намерете броя колони. Върнете се на страницата за вход в базата данни (или всеки друг адрес, който завършва с „id =“ или „catid =“) и кликнете върху адресната лента. Натиснете интервала след адреса и въведете ред с 1, след това натиснете Въведете... Увеличете номера на 2 и натиснете Въведете... Продължавайте да увеличавате поръчката, докато се появи грешката. Номерът, който сте въвели преди грешно написания номер, ще бъде действителният брой колони.
  3. 3 Разберете кои публикации приемат заявки за търсене. Намерете адресната лента и променете края на адреса от catid = 1 или id = 1 на catid = -1 или id = -1. Натиснете интервал и въведете съюз 1,2,3,4,5,6 (ако има 6 колони).Броят трябва да е до общия брой колони, като всяка цифра е разделена със запетая. Кликнете върху Въведете и ще видите номерата на всички колони, които приемат заявки.
  4. 4 Въведете SQL изрази в колоната. Например, ако искате да разберете името на текущия потребител и да вградите кода в колона 2, изтрийте всичко след id = 1 в адресната лента и натиснете интервала. След това въведете union select 1, concat (user ()), 3,4,5,6--. Кликнете върху Въведете и на екрана ще се покаже името на текущия потребител на база данни. Въведете различни SQL изявления, за да покажете различна информация, като например списък с потребителски имена и пароли за разбиване.

Метод 2 от 3: Разбиване на основната парола

  1. 1 Опитайте да влезете като суперпотребител, като използвате паролата по подразбиране. Някои бази данни нямат парола за суперпотребител (администратор) по подразбиране, затова опитайте да влезете с празна парола. Други бази данни имат парола по подразбиране, която лесно може да бъде намерена във форума за техническа поддръжка.
  2. 2 Опитайте общи пароли. Ако администраторът има акаунт, защитен с парола (което е много вероятно), опитайте да използвате общи комбинации от потребителско име и парола. Някои хакери публично публикуват списъци с пропукани пароли и използват специални програми за взлом. Опитайте различни комбинации от потребителско име и парола.
    • Можете да намерите вашата колекция от пароли на този надежден сайт: https://github.com/danielmiessler/SecLists/tree/master/Passwords.
    • Въвеждането на пароли ръчно може да отнеме много време, но все пак опитайте късмета си и едва след това преминете към тежка артилерия.
  3. 3 Използвайте програма за разбиване на парола. Използвайте различни програми и се опитайте да разбиете паролата си, като въведете хиляди думи и комбинации от букви, цифри и символи.
    • Популярни програми за разбиване на пароли са: DBPwAudit (за Oracle, MySQL, MS-SQL и DB2) и Access Passview (за MS Access). С тяхна помощ можете да разбиете паролата на много бази данни. Можете също да намерите програма за джейлбрейк, специално създадена за вашата база данни в Google. Например, въведете хакерска програма oracle db в полето за търсене, ако искате да хакнете база данни на Oracle.
    • Ако имате акаунт на сървъра, който хоства базата данни, стартирайте програма за разбиване на хеш (като например Джон Изкормвача) и се опитайте да разбиете файла с парола. Хеш файлът се намира на различни места в различни бази данни.
    • Изтегляйте програми само от надеждни сайтове. Внимателно проучете програмите, преди да ги използвате.

Метод 3 от 3: Недостатъци в базата данни

  1. 1 Намерете експлоатацията. Sectools.org съставя списък с различни защитни средства (включително подвизи) вече десет години. Техните програми имат добра репутация и се използват от системните администратори за защита на техните системи по целия свят. Отворете техния списък с експлоатации (или ги намерете на друг надежден сайт) и потърсете програми или текстови файлове, които могат да проникнат в базите данни.
    • Друг сайт със списък на подвизите е www.exploit-db.com. Отидете на уебсайта им и кликнете върху връзката „Търсене“, след което намерете базата данни, която искате да хакнете (например „oracle“). Въведете captcha в съответното поле и кликнете върху бутона за търсене.
    • Не забравяйте да проучите всички подвизи, които възнамерявате да тествате, за да знаете какво да направите, ако възникне проблем.
  2. 2 Намерете уязвимата мрежа, като се охранявате. Wardriving е шофиране (колоездене или ходене) около зона с активиран софтуер за мрежово сканиране (като NetStumbler или Kismet) за търсене на незащитени мрежи. Технически, грижата е законна, но незаконните дейности от мрежата, които сте открили с грижата, не са.
  3. 3 Възползвайте се от дупка за база данни от уязвима мрежа. Ако правите нещо, което не трябва, стойте далеч от мрежата си. Свържете се чрез безжична връзка към една от отворените мрежи, които сте намерили, като се охранявате и стартирате избрания експлойт.

Съвети

  • Винаги пазете важни данни зад защитната стена.
  • Не забравяйте да защитите безжичната си мрежа с парола, за да попречите на пазачите да използват домашната ви мрежа за стартиране на подвизи.
  • Намерете други хакери и ги помолете за някои съвети.Понякога най -полезните знания за работата на хакерите не могат да бъдат намерени в публичното пространство.

Предупреждения

  • Научете за законите и последиците от хакерството във вашата страна.
  • Никога не се опитвайте да получите неправомерен достъп до устройство от вашата мрежа.
  • Влизането в чужда база данни е незаконно.

Портал

Правене на коктейл за секс на плажа
Правене на коктейл за секс на плажа
Използване на кафе капсули
Използване на кафе капсули
Определяне дали хамелеонът е мъж или жена
Определяне дали хамелеонът е мъж или жена
Премахнете мазоли по краката
Премахнете мазоли по краката