Ako zaseknúť databázu

Na ochranu vašej databázy hackerov, musíte myslieť ako hacker. Ak by ste boli hacker, aké informácie by hľadali? Ako by ste to dostali? Existuje mnoho rôznych typov databáz a mnoho spôsobov, ako ich hacking. Často hackeri sa snažia zaseknúť heslo root alebo použiť využitie. Ak ste oboznámení s prevádzkovateľmi SQL a základné databázové zásady, skúste hacking jeden z nich.

Kroky

Metóda 1 z 3:

Úvod SQL Kód

jeden. Zistite, či má databáza zraniteľné miesta. Pre túto metódu musíte porozumieť prevádzkovateľom databázy. Spustite prehliadač a otvorte rozhranie prihlasovacej stránky do databázy. Potom zadajte `(jednu cenovú ponuku) v poli Meno používateľa. Kliknite na "Prihlásenie". Ak je chyba "SQL výnimka: väzňa v citáciách je nesprávne dokončený" alebo "neplatný symbol", znamená to, že databáza je zraniteľná s implementáciou SQL Code.

2. Nájdite počet stĺpcov. Vráťte sa na stránku zadávania databázy (alebo na akúkoľvek inú adresu, ktorá končí na "ID =" alebo "CATID =") a kliknite na panel s adresou. Po adrese a zadajte O 1, Potom kliknite na tlačidlo ↵ Zadajte. Zvýšte číslo do 2 a kliknúť ↵ Zadajte. Pokračujte v zvýšení objednávky, kým sa nezobrazí chyba. Obrázok, ktorý ste zadali pred číslicou s chybou, bude skutočný počet stĺpcov.

3. Zistite, ktoré príspevky akceptujú vyhľadávacie otázky. Nájdite panel s adresou a zmeňte koniec adresy CATID = 1 alebo ID = 1 na CATID = -1 alebo ID = -1. Stlačte medzeru a zadajte Únia Vyberte 1,2,3,4,5,6 (ak stĺpce 6). Účet by sa mal vykonávať na celkový počet stĺpcov a každá číslica musí byť oddelená čiarkou. Kliknúť ↵ Zadajte a uvidíte čísla všetkých stĺpcov, ktoré prijímajú požiadavky.

4. Zadajte príkazy SQL v stĺpci. Ak napríklad chcete poznať názov aktuálneho používateľa a implementovať kód v stĺpci 2, vymazať v paneli s adresou všetko po ID = 1 a stlačte priestor. Potom zadajte Union Select 1, Concat (užívateľ ()), 3,4,5,6--. Kliknúť ↵ Zadajte a na obrazovke sa zobrazí názov aktuálnej užívateľskej databázy. Zadajte rôzne príkazy SQL, aby ste zobrazili rôzne informácie, ako je zoznam užívateľov a hesiel pre hacking.

Metóda 2 z 3:

Hacking Root Heslo

jeden. Pokúste sa prihlásiť ako SuperUser zadaním predvoleného hesla. Na niektorých databázach neexistuje žiadne štandardné superuser heslo (admin), takže sa pokúste zadať, opúšťať heslo. Predvolené heslo je nainštalované na iných databázach, ktoré možno ľahko nájsť na fóre technickej podpory.

2. Pokúste sa zadať rozšírené heslá. Ak sa admin obhájil účet hesla (ktorý je veľmi pravdepodobný), skúste zadať spoločné používateľské meno a kombinácie hesiel. Niektorí hackeri verejne umiestnia zoznamy hacknutých hesiel, zatiaľ čo používajú špeciálne programy hackingu. Skúste zadať rôzne používateľské meno a kombinácie hesiel.

Zbierka hesiel nájdete na tejto spoľahlivej stránke: https: // github.Com / Danielmiessler / Seclists / Strom / Master / Heslá.

Manuálne vstupy hesiel môže trvať veľa času, ale stále zažívajte veľa šťastia a až potom ísť do ťažkého delostrelectva.

3. Využite program Heslo HACKING. Použite rôzne programy a pokúste sa prasknúť heslo zadaním tisíc slov a kombinácií písmen, číslic a symbolov.

Popular Heslo Hacking Programs sú: DBPWAUDIT (pre Oracle, MySQL, MS-SQL a DB2) a prístupový prístupový prístup (pre MS Access). S ich pomocou môžete zaseknúť heslo mnohých databáz. Google môže tiež nájsť hacking program špeciálne navrhnutý pre vašu databázu. Napríklad zadajte frázu do vyhľadávacieho reťazca Program pre Hacking Oracle DB, Ak chcete hack Oracle database.

Ak máte účet na serveri, na ktorom je databáza, spustite program pre hacking hash (napríklad John The Ripper) a skúste hacking heslo súbor. V rôznych databázach je hashový súbor na rôznych miestach.

Stiahnite si programy len s overenými lokalitami. Opatrne sa naučte program predtým, ako začnete používať.

Metóda 3 z 3:

Barbs v databázach

jeden. Nájsť vykorisťovanie. Sektorov.ORG po dobu desiatich rokov účtuje zoznam rôznych prostriedkov ochrany (vrátane využívania). Ich programy majú dobrú povesť a používajú sa správcovia systému na ochranu svojich systémov na celom svete. Otvorte ich zoznam exploit (alebo ich nájdite na inej spoľahlivej lokalite) a nájdite programy alebo textové súbory, s ktorými môžete preniknúť do databázy.

Ďalšia stránka so zoznamom vykorisťovania je Exploit-db.Com. Prejdite na svoju webovú stránku a kliknite na odkaz "Hľadať", potom nájdite databázu, ktorú chcete hack (napríklad Oracle). Zadajte CAPTCHA na príslušnom poli a kliknite na tlačidlo Hľadať.
Uistite sa, že preskúmať všetky zneužitie, ktoré sa chystajú vedieť, čo robiť v prípade problému.

2. Nájdite zraniteľnú sieť tým, že warrayving. Warraming - To je pohyb vozidla (na bicykli alebo nohe) v oblasti s programom sieťového skenovania (napríklad NetStumpler alebo Kismet), aby ste vyhľadali nechránené siete. Technicky, vararding je legálne, ale vykonávať nelegálne akcie zo siete, ktorú ste našli Warrade - nie.

Obrázok s názvom Hack databázový krok 10

3. Využite BREX v databáze z zraniteľnej siete. Ak robíte to, čo by ste nemali, zostaňte ďaleko od siete. Pripojte sa cez bezdrôtové pripojenie k jednej z otvorených sietí, ktorá bola nájdená Warraming a spustite vybrané využitie.

Tipy

Vždy uchovávajte dôležité údaje pod ochranou brány firewallu.
Uistite sa, že ste chránili heslo bezdrôtovej siete, takže obaly nemohli používať vašu domácu sieť na spustenie vykorisťovania.
Nájsť iných hackerov a opýtajte sa ich, aby vám dali niekoľko tipov. Niekedy najužitočnejšie znalosti práce hackerov nemožno nájsť vo verejných záležitostiach.