DifiTsi.com

Hack o bază de date

Cea mai bună modalitate de a vă asigura că baza dvs. de date este protejată împotriva hackerilor este de a gândi ca un hacker. Dacă ați fi un hacker, ce fel de informații ați căuta? Cum ai încerca să ajungi la ei? Există multe tipuri de baze de date și multe modalități diferite de a le hacki, dar majoritatea hackerilor vor încerca fie să spargă parola de bază a bazei de date, fie să ruleze o exploatare de baze de date cunoscute. Dacă știți cum să gestionați declarațiile SQL și să înțelegeți elementele de bază ale bazei de date, puteți hack o bază de date.

metodă

Metoda 1
Utilizați o injecție SQL

Imagine intitulată Hack a Database Step 1
1
Aflați dacă baza de date este vulnerabilă. Pentru această metodă, trebuie să fii calificat în tratarea declarațiilor de bază de date. Deschideți interfața web a bazei de date în browser și tastați ` (citat unic) în câmpul Nume de utilizator. Faceți clic pe "Conectare". Dacă obțineți o excepție care spune că caracterul este nevalid, SQL Injections face ca baza de date să fie vulnerabilă.
  • Imaginea intitulată Hack a Database Step 2
    2
    Găsiți numărul de coloane. Reveniți la pagina de conectare pentru baza de date (sau o altă adresă URL care se termină în "id =" sau "catid =") și faceți clic pe bara de adrese a browserului. Introduceți un spațiu după adresa URL și tipul ordonați după 1 a. Apoi apăsați Intră ⌅. Măriți numărul la 2 și apăsați Intră ⌅. Continuați să măriți numărul până când primiți un mesaj de eroare. Numărul real de coloane este numărul pe care l-ați introdus înainte de numărul de la care ați primit un mesaj de eroare.
  • Imagine intitulată Hack a Database Step 3
    3
    Aflați care coloane acceptă interogări. Modificați la sfârșitul adresei URL din bara de adrese catId = 1 sau id = 1 pe catId = -1 sau id = -1. Apăsați bara de spațiu și tastați uniune selectată 1,2,3,4,5,6 unul (dacă există șase coloane). Numerele ar trebui să fie în mod consecvent până la numărul total de coloane și fiecare dintre ele separate de virgulă. Faceți clic pe Intră ⌅ și veți vedea numerele coloanelor care acceptă o interogare.
  • Imagine intitulată Hack a Database Step 4
    4
    "Injectați" instrucțiunile SQL în coloană. Dacă tu De exemplu, dacă doriți să cunoașteți utilizatorul curent și doriți să inserați injecția în coloana 2, ștergeți totul după id = 1 în URL și apăsați bara de spațiu. Apoi apăsați union select 1, concat (user ()), 3,4,5,6- a. Faceți clic pe Intră ⌅ și veți vedea numele utilizatorului actual al bazei de date pe ecran. Utilizați toate instrucțiunile SQL dorite pentru a obține informații, cum ar fi: De exemplu, lista de nume de utilizator și parole pentru a sparge.

    • Metoda 2
    Retrage parola de root a bazei de date

    Imaginea intitulată Hack a Database Step 5
    1
    Încercați să vă conectați ca root cu parola implicită. Unele baze de date nu au parola de root (admin) în mod prestabilit, astfel încât este posibil să intrați dacă lăsați câmpul de parolă necompletat. Alte baze de date au parole standard pe care le puteți găsi cu ușurință prin căutarea pe forumuri de tehnologie pentru baze de date.
  • Imagine intitulată Hack a Database Step 6


    2
    Încercați parole frecvente. Dacă administratorul a asigurat contul cu o parolă (probabil că este cazul), încercați combinații frecvente de nume de utilizator și parole. Unii hackeri publică în mod public liste de parole pe care le-au spart cu instrumente de audit. Încercați diferite combinații de nume de utilizator și parole.
  • O pagină recunoscută cu o listă de parole colectate este https://github.com/danielmiessler/SecLists/tree/master/Passwords.
  • Selectarea manuală a parolelor de mână poate fi de durată, dar nu durează să încercați înainte de a lovi mitralierile.
  • Imaginea intitulată Hack a Database Step 7
    3
    Utilizați un instrument de audit al parolelor. Puteți utiliza diferite instrumente pentru a folosi forța brute pentru a încerca mii de cuvinte ale dicționarului și combinații litere-număr de caractere până când parola a fost spartă.
  • Unelte precum DBPwAudit (pentru Oracle, MySQL, MS-SQL și DB2) și Access Passview (pentru MS Access) sunt instrumente populare de audit pentru parole care pot fi aplicate la majoritatea bazelor de date. De asemenea, puteți căuta în Google mai multe instrumente de auditare a parolelor mai noi, specifice bazei dvs. de date. Plumb z. De exemplu, o căutare pentru instrument de audit al parolei oracle db dacă hack o bază de date Oracle.
  • Dacă aveți un cont pe serverul care găzduiește baza de date, puteți seta un crack de hash ca John Ripper în fișierul de parolă al bazei de date. Locația fișierului hash depinde de baza de date.
  • Descărcați numai de pe site-uri în care puteți avea încredere. Cercetați extensiv instrumentele înainte de a le utiliza.

    • Metoda 3
    Executați exploatează baza de date

    Imaginea intitulată Hack a Database Step 8
    1
    Găsiți un exploit pe care îl puteți face. Sectools.org cataloghează instrumente de securitate (inclusiv exploatări) timp de peste un deceniu. Instrumentele lor sunt reputate și utilizate de administratorii de sistem din întreaga lume pentru a testa securitatea. Navigați prin baza de date "exploatare" (sau găsiți un alt site de încredere) pentru a găsi instrumente sau fișiere text care vă vor ajuta să exploatați găurile de securitate din bazele de date.
    • O altă pagină cu exploatări este exploit-db.com. Du-te la site-ul lor și faceți clic pe link-ul de căutare. Apoi căutați tipul de bază de date pe care doriți să-l parcați (de exemplu, "oracle"). Introduceți captcha și începeți căutarea.
    • Asigurați-vă că studiați toate exploatările pe care doriți să le încercați, astfel încât să știți ce să faceți în caz de probleme potențiale.
  • Imaginea intitulată Hack a Database Step 9
    2
    Găsiți o rețea atașabilă prin intermediul wardriving. Wardriving înseamnă că conduceți într-o zonă (fie cu mașina sau cu bicicleta sau pe jos) în timp ce aveți un instrument de scanare în rețea (cum ar fi NetStumbler sau Kismet) pentru a găsi rețele nesigure. Wardriving este legal din punct de vedere tehnic. Nu este vorba despre o rețea pe care ați găsit-o în timpul Wardriving, făcând ceva ilegal.
  • Imaginea intitulată Hack a Database Step 10
    3
    Utilizați exploatația bazei de date din rețeaua vulnerabilă. Dacă faceți ceva ce nu ar trebui să faceți, probabil că nu este o idee bună să o scoateți din propria rețea. Conectați-vă wireless la una dintre rețelele deschise pe care ați găsit-o în timpul Wardriving și efectuați exploatarea aleasă și cercetat.

    • Sfaturi

    • Mențineți întotdeauna datele sensibile în spatele unui paravan de protecție.
    • Protejați întotdeauna rețeaua fără fir cu o parolă, astfel încât Wardriver să nu poată utiliza rețelele de acasă pentru a-și executa exploatările.
    • Găsiți alți hackeri și cereți sfaturi. Uneori, cele mai bune cunoștințe de hacking nu sunt partajate pe Internetul public.

    avertismente

    • Înțelegeți legile și efectele hacking-ului în țara dvs.
    • Nu încercați niciodată să obțineți accesul ilegal la o mașină din propria rețea.
    • Obținerea accesului la o bază de date care nu este a ta este ilegală.
    Distribuiți pe rețelele sociale:

    înrudit