Како хаковати базу података

Садржај

• фазе
• 1. метод Користите СКЛ ињекцију
• 2. метод Хакирајте лозинку базе података
• Метода 3 Користите рупе у базама података

Најбољи начин да осигурате да је ваша база података заштићена од хакера јесте да размишљате као хакер. Да сте то један, које врсте информација желите да пронађете? Како бисте их пронашли? Постоје многе врсте база података и различити начини како их хаковати, али већина хакера ће покушати пронаћи лозинку или покренути програм који користи слабу тачку базе података. Ако се осећате пријатно са СКЛ изјавама и имате основно знање о начину на који раде базе података, можда ћете бити у стању да га хакујете.

фазе

1. метод Користите СКЛ ињекцију

1. Запитајте се да ли је база података рањива. За употребу ове методе морате имати неко пореско знање. Отворите страницу за пријаву базе података у прегледачу и откуцајте (апостроф) у пољу за корисничко име. Кликните на Сенрегистрер. Ако видите грешку која каже "СКЛ Екцептион: цитирани низ није правилно окончан" или "неважећи знак", база података је рањива на СКЛ убризгавање.

2. 
   

   
   Пронађите број ступаца. Вратите се на страницу за пријаву (или било коју УРЛ адресу која завршава на "ид =" или "цатид =") и кликните на адресну траку прегледача. Након УРЛ адресе притисните размакницу и откуцајте НАРОЧИТЕ до 1, затим тапните на улазак. Промените 1 у 2 и поново притисните улазак. Наставите да повећавате овај број док не дођете до грешке. Број ступаца је број који сте унели пре онога који је изазвао грешку.

3. 
   

   
   
   
   Пронађите ступце који прихватају упите. На крају УРЛ адресе у адресној траци промените цатид = 1 или ИД = 1 и стави цатид = -1 или ИД = -1. Притисните размакницу и откуцајте УНИОН СЕЛЕЦТ 1,2,3,4,5,6 (ако постоји шест стубова) Бројеви које тамо ставите морају се подударати са бројем ступаца и сваки од њих мора бити одвојен зарезом. Притисните улазак и видећете бројеве сваког ступца који ће прихватити упит.

4. 
   

   
   Убризгајте СКЛ изјаве. На примјер, ако желите знати тренутног корисника и ако желите ињекцију извршити у другом ступцу, морате избрисати све након „ид = 1“ у УРЛ-у прије него што притиснете размакницу. Затим откуцајте УНИОН СЕЛЕЦТ 1, ЦОНЦАТ (корисник ()), 3,4,5,6--. Притисните улазак а на екрану ћете видети име тренутног корисника. Употријебите било коју СКЛ изјаву за приказ информација, попут листе корисничких имена и лозинки за хакирање.

2. метод Хакирајте лозинку базе података

1. 
   

   
   
   
   Покушајте да се повежете са кореном. Неке базе података немају лозинку у подразумеваном корену, тако да бисте могли да јој приступите тако да поље за лозинку остане празно. Други имају задате лозинке које лако можете пронаћи претражујући на одговарајућим форумима.

2. 
   

   
   Испробајте уобичајене лозинке. Ако је администратор осигурао базу података лозинком (што је обично случај), покушајте са комбинацијом корисничког имена и лозинке. Неки хакери објављују интернетске листе лозинки које су провалили помоћу алата за верификацију. Испробајте различите комбинације корисничких имена и лозинки.
   • На пример, хттпс://гитхуб.цом/даниелмиесслер/СецЛистс/трее/мастер/Пассвордс је препозната локација на којој ћете наћи спискове лозинки.
   • Вероватно ћете изгубити неко време покушавајући лозинке у руци, али вреди покушати пре него што изађете из тешке артиљерије.

3. 
   

   
   Користите алатку за верификацију лозинке. Можете користити многе алате да испробате хиљаде комбинација речи у речнику и слова, бројева или симбола да бисте провалили лозинку.
   • Неки алати попут ДБПвАудит (за Орацле, МиСКЛ, МС-СКЛ и ДБ2) и Аццесс Пассвиев (за МС Аццесс) су добро познати алати које можете користити у већини база података. На Гоогле-у можете и да тражите нове алате посебно дизајниране за базу података која вас занима. На пример, можете да претражујете алат за ревизију лозинке орацле дб ако хакујете Орацле базу података.
   • Ако на серверу на којем се налази база података имате налог, можете покренути софтвер за хакирање лозинке као што је Јохн тхе Риппер да га нађемо. Локација хасх датотеке је различита зависно од базе података.
   • Софтвер преузимајте само са веб локација у које имате поверења. Истражите ове алате пре употребе.

Метода 3 Користите рупе у базама података

1. 
   

   
   Пронађите одговарајући програм. Сецтоолс.орг је пакет сигурносних алата (укључујући оне који вас сада занимају) који постоји већ више од десет година. Њихови алати су препознати и користе их администратори широм света за обављање безбедносних тестирања. Провјерите њихову оперативну базу података (или пронађите сличну веб локацију којој вјерујете) за алате или датотеке које ће вам помоћи да пронађете кршења сигурности у базама података.
   • Такође можете да испробате ввв.екплоит-дб.цом. Идите на њихову веб страницу и кликните на линк Тражи, затим претражите врсту базе коју желите да хакујете (нпр. Орацле). У одговарајуће поље откуцајте цаптцха код и претражите.
   • Истражите програме које желите да употребите да бисте знали шта треба радити у случају проблема.

2. 
   

   
   Пронађите рањиву мрежу помоћу Вардривинг . Простор се састоји од вожње (или шетње или вожње бициклом) у неком подручју ради скенирања Вифи мрежа помоћу алата (као што су НетСтумблер или Кисмет) како би се пронашла без заштите. Технички је то потпуно легално. Оно што није легално јесте да користите мрежу коју сте пронашли у илегалне сврхе.

3. 
   

   
   Користите ову мрежу за своје хаковање. Ако желите да урадите нешто што у ствари не треба да урадите, било би боље да то учините из мреже која није ваша. Повежите се с отвораном мрежом коју сте пронашли током вођења и користите софтвер за хакирање који сте преузели.

• Осетљиве податке увек чувајте иза заштитног зида.
• Обавезно заштитите своје бежичне мреже лозинком како не бисте могли користити своју за хакирање.
• Пронађите друге хакере и питајте их за савјет. Понекад се најбоље технике хаковања не налазе на Интернет форумима.

• Схватите закон и последице ваших поступака у вашој земљи.
• Никада не покушавајте да добијете илегални приступ машини из сопствене мреже.
• Незаконито је имати приступ бази података која није ваша.