Како да се пробие базата на податоци

За да ја заштитите вашата база на податоци од хакери, треба да мислите како хакер. Ако сте биле хакер, какви информации ќе ги барате? Како би го добил? Постојат многу различни видови на бази на податоци и многу начини за нивно хакирање. Често хакерите се обидуваат да ја пробијат root лозинката или да користат експлоатира. Ако сте запознаени со SQL операторите и основните принципи за работа на базата на податоци, пробајте хакирање на еден од нив.

Чекори

Метод 1 од 3:

Вовед SQL код

Еден. Дознајте дали базата на податоци има ранливи места. За овој метод, треба да ги разберете операторите на базата на податоци. Стартувај го прелистувачот и го отвори интерфејсот за најава на базата на податоци. Потоа внесете "(еден цитат) во полето за корисничко име. Кликнете "Најави". Ако грешката "SQL исклучок: затвореникот во цитати е неправилно завршен" или "неважечки симбол", тоа значи дека базата на податоци е подложна на спроведувањето на SQL кодот.

Сликата насловена Hack е база на податоци чекор 2

2. Најдете го бројот на колони. Врати се на страницата за внесување на базата (или на која било друга адреса која завршува на "ID =" или "CATID =") и кликнете на лентата за адреси. Притиснете го јазот по адресата и внесете Цел за 1, Потоа кликнете ↵ Внесете. Зголемете го бројот до 2 и кликнете ↵ Внесете. Продолжете да го зголемувате редоследот додека не се појави грешка. Сликата што ја внесовте пред цифрата со грешка ќе биде вистинскиот број на колони.

Сликата насловена Hack е чекор на базата на податоци

3. Дознајте кои мислења ги прифаќаат барањата за пребарување. Најдете ја лентата за адреси и променете го крајот на адресата со CATID = 1 или ID = 1 на CATID = -1 или ID = -1. Притиснете го јазот и внесете Унија Избери 1,2,3,4,5,6 (Ако колони 6). Сметката треба да се спроведе на вкупниот број на колони, а секоја цифра мора да биде одвоена од запирката. Кликни ↵ Внесете и ќе видите број на сите колони кои ги прифаќаат барањата.

Четири. Внесете SQL извештаи во колона. На пример, ако сакате да го знаете името на тековниот корисник и да го имплементирате кодот во колоната 2, избришете во адресата за адреса сè по ID = 1 и притиснете го просторот. Потоа влезе Унија Избери 1, Concat (User ()), 3,4,5,6--. Кликни ↵ Внесете и на екранот ќе се појави името на тековната корисничка база на податоци. Внесете различни SQL извештаи за прикажување на разни информации, како листа на кориснички имиња и лозинки за хакерство.

Метод 2 од 3:

Хакерство root лозинка

Еден. Обидете се да се логирате како надзорник со внесување на стандардната лозинка. Во некои бази на податоци, не постои стандардна лозинка за суперсузер (admin), па обидете се да влезете, оставајќи ја лозинката празна. Стандардната лозинка е инсталирана на другите бази на податоци, кои лесно може да се најдат на форумот за техничка поддршка.

2. Обидете се да внесете широко распространети лозинки. Ако администраторот ја бранеше сметката на лозинката (која е многу веројатно), обидете се да ги внесувате заедничките комбинации на корисничко име и лозинка. Некои хакери јавно поставуваат листи на хакирани лозинки, додека тие користат специјални програми за хакирање. Обидете се да влезете во разни комбинации на корисничко име и лозинка.

Можете да најдете колекција на лозинки на оваа сигурна страница: https: // github.Com / danielmiessler / seclists / дрво / господар / лозинки.

Рачното внесување на лозинки може да потрае многу време, но сепак доживува среќа, и само тогаш оди на тешка артилерија.

3. Искористете ја програмата за хакирање на лозинка. Користете разни програми и обидете се да ја кренете лозинката со внесување на илјада зборови и комбинации на букви, броеви и симболи.

Популарни програми за хакирање на лозинка се: dbpwaudit (за Oracle, MySQL, MS-SQL и DB2) и пристап за пристап (за MS Access). Со нивна помош можете да пробиете лозинка на многу бази на податоци. Google исто така може да најде програма за хакирање специјално дизајнирана за вашата база на податоци. На пример, внесете ја фразата до стрингот за пребарување Програма за хакерство Oracle DB, Ако сакате да ја пробиете базата на податоци Oracle.

Ако имате сметка на серверот на кој има база на податоци, ја стартувате програмата за хакирање хаш (на пример, Џон Рипер) и пробајте хакирање на лозинка датотека. Во различни бази на податоци, хаш-датотеката е на различни места.

Преземи програми само со докажани сајтови. Внимателно да ја научите програмата пред да почнете да ја користите.

Метод 3 од 3:

Барбуми во бази на податоци

Еден. Најди ги експлоатирањата. Сектолс.ORG за десет години сметка за листа на различни средства за заштита (вклучувајќи ги и експлоатирањата). Нивните програми уживаат добра репутација и ги користат системските администратори за заштита на нивните системи низ целиот свет. Отворете ја листата на експлоатација (или најдете ги на друга сигурна страница) и најдете програми или текстуални датотеки со кои можете да навлезете во базата на податоци.

Друга локација со листата на експлоатира roExploit-db.Com. Одете на нивната веб-страница и кликнете на линкот "Барај", а потоа пронајдете ја базата на податоци што сакате да ја пробиете (на пример, Oracle). Внесете CAPTCHA во соодветното поле и кликнете на копчето за пребарување.
Бидете сигурни да ги истражите сите експлоатирања кои ќе проверат за да знаат што да прават во случај на проблем.

2. Најдете ранлива мрежа со warrayving. Waveing - ова е движење на возилото (на велосипед или нога) во областа со програмата за скенирање на мрежата (како Netstumbler или Kismet) со цел да се бараат незаштитени мрежи. Технички, вардра е легална, но да се спроведе нелегално дејство од мрежата што ја нашол со warrading - не.

3. Искористете ги предностите на BREX во базата на податоци од ранливата мрежа. Ако го направите она што не треба, држете се од вашата мрежа. Поврзете се преку безжична врска со една од отворените мрежи, која беше пронајдена наидева и стартувајте го избраниот експлоат.

Совети

Секогаш чувајте важни податоци под заштита на заштитниот ѕид.
Бидете сигурни да ја заштитите лозинката за безжична мрежа, така што омоти не можеа да ја користат вашата домашна мрежа за да го искористат експлоатацијата.
Најдете други хакери и побарајте од нив да ви дадат неколку совети. Понекогаш најкорисното познавање на работата на хакерите не може да се најде во јавните работи.

Предупредувања

Дознајте за законите и последиците од хакирањето во вашата земја.
Никогаш не обидувајте се да добиете нелегален пристап до уредот од вашата мрежа.
Влезот во туѓи база на податоци е нелегален.