Kā uzlauztu datu bāzi

Saturs

• posmi
• 1. metode Izmantojiet SQL injekciju
• 2. metode Datorurķējiet paroles paroli
• 3. metode Izmantojiet nepilnības datu bāzēs

Labākais veids, kā pārliecināties, vai jūsu datu bāze ir aizsargāta no hakeriem, ir domāt kā hakerim. Ja jūs būtu viens, kādu informāciju jūs vēlētos atrast? Kā jūs tos atrast? Pastāv dažāda veida datu bāzes un dažādi to uzlaušanas veidi, taču vairums hakeru mēģinās atrast paroli vai uzsāks programmu, kas izmanto datu bāzes vājo vietu. Ja jūs jūtaties apmierināti ar SQL paziņojumiem un jums ir rupjākas zināšanas par to, kā darbojas datu bāzes, jūs, iespējams, varēsit uzlauzties.

posmi

1. metode Izmantojiet SQL injekciju

1. Pajautājiet sev, vai datu bāze ir neaizsargāta. Lai izmantotu šo metodi, jums būs jābūt zināmām zināšanām nodokļu jomā. Atveriet datu bāzes pieteikšanās lapu pārlūkprogrammā un ierakstiet (apostrofs) lietotāja vārda laukā. Noklikšķiniet uz Senregistrer. Ja redzat kļūdu, kurā teikts: “SQL izņēmums: citētā virkne nav pareizi izbeigta” vai “nederīga rakstzīme”, datu bāze ir neaizsargāta pret SQL ievadīšanu.

2. 
   

   
   Atrodiet kolonnu skaitu. Atgriezieties pieteikšanās lapā (vai jebkurā URL, kas beidzas ar “id =” vai “catid =”) un noklikšķiniet uz pārlūka adreses joslas. Pēc URL nospiediet atstarpes taustiņu un ierakstiet PASŪTĪT pa 1, pēc tam pieskarieties ieraksts. Mainiet skaitli 1 uz 2 un nospiediet vēlreiz ieraksts. Turpiniet palielināt šo numuru, līdz tiek parādīta kļūda. Kolonnu skaits ir skaitlis, kuru ievadījāt pirms kļūdas izraisījušās.

3. 
   

   
   
   
   Atrodiet kolonnas, kas pieņem vaicājumus. URL adreses joslā beigās mainiet CatID = 1 vai id = 1 un ielieciet CatID = -1 vai id = -1. Nospiediet atstarpes taustiņu un ierakstiet SAVIENĪBAS IZVĒLE 1,2,3,4,5,6 (ja ir sešas kolonnas) Tur ievietotajiem numuriem jāatbilst kolonnu skaitam, un katrai no tām jābūt atdalītām ar komatu. Nospiediet ieraksts un jūs redzēsit katras kolonnas numurus, kas pieņems vaicājumu.

4. 
   

   
   Injicējiet SQL paziņojumus. Piemēram, ja vēlaties uzzināt pašreizējo lietotāju un ja vēlaties veikt injekciju otrajā kolonnā, pirms atstarpes taustiņa nospiešanas URL ir jādzēš viss pēc URL “id = 1”. Pēc tam ierakstiet SAVIENĪBAS ATLASE 1, KONKURTS (lietotājs ()), 3,4,5,6--. Nospiediet ieraksts un ekrānā redzēsit pašreizējā lietotāja vārdu. Izmantojiet jebkuru SQL paziņojumu, lai parādītu informāciju, piemēram, lietotājvārdu un paroļu sarakstu, lai uzlauztu.

2. metode Datorurķējiet paroles paroli

1. 
   

   
   
   
   Mēģiniet izveidot savienojumu ar sakni. Dažās datu bāzēs noklusējuma saknē nav paroles, tāpēc jums, iespējams, tai būs pieejama, atstājot paroles lauku tukšu. Citiem ir noklusējuma paroles, kuras varat viegli atrast, meklējot piemērotos forumos.

2. 
   

   
   Izmēģiniet parastās paroles. Ja administrators ir nodrošinājis datu bāzi ar paroli (kas parasti tā ir), izmēģiniet lietotājvārda un paroles kombināciju. Daži hakeri publicē tiešsaistes paroļu sarakstus, kurus viņi ir uzlauzuši, izmantojot verifikācijas rīkus. Izmēģiniet dažādas lietotājvārdu un paroļu kombinācijas.
   • Piemēram, https://github.com/danielmiessler/SecLists/tree/master/Passwords ir atzīta vietne, kurā atradīsit paroļu sarakstus.
   • Jūs, iespējams, pazaudēsit laiku, izmēģinot paroles rokā, taču ir vērts izmēģināt, pirms izejat no smagās artilērijas.

3. 
   

   
   Izmantojiet paroles pārbaudes rīku. Varat izmantot daudzus rīkus, lai izmēģinātu tūkstošiem vārdu savienojumu vārdnīcā un burtus, ciparus vai simbolus, lai uzlauztu paroli.
   • Daži rīki, piemēram, DBPwAudit (Oracle, MySQL, MS-SQL un DB2) un Access Passview (MS Access), ir labi zināmi rīki, kurus varat izmantot lielākajā daļā datu bāzu. Varat arī meklēt Google, lai atrastu jaunus rīkus, kas īpaši izstrādāti jūsu interesējošajai datu bāzei. Piemēram, jūs varat meklēt paroles revīzijas rīks orākuls db ja uzlauzāt Oracle datu bāzi.
   • Ja serverī ir konts, kas mitina datu bāzi, varat palaist paroles uzlaušanas programmatūru, piemēram Jānis kaut kas lielisks lai to atrastu. Atjaunināšanas faila atrašanās vieta ir atšķirīga atkarībā no datu bāzes.
   • Lejupielādējiet programmatūru tikai no vietnēm, kurām uzticaties. Pirms to izmantošanas izpētiet šos rīkus.

3. metode Izmantojiet nepilnības datu bāzēs

1. 
   

   
   Atrodiet piemērotu programmu. Sectools.org ir drošības rīku komplekts (ieskaitot tos, kas jūs tagad interesē), kas darbojas jau vairāk nekā desmit gadus. Viņu rīkus atzīst un izmanto administratori visā pasaulē, lai veiktu drošības pārbaudes. Pārbaudiet viņu operētājsistēmas datu bāzi (vai atrodiet līdzīgu vietni, kurai uzticaties), lai atrastu rīkus vai failus, kas palīdzēs atrast drošības pārkāpumus datu bāzēs.
   • Varat arī izmēģināt vietni www.exploit-db.com. Dodieties uz viņu vietni un noklikšķiniet uz saites Meklēt, pēc tam meklējiet to datu bāzes veidu, kuru vēlaties uzlauzt (piemēram, Oracle). Ierakstiet captcha kodu attiecīgajā laukā un veiciet meklēšanu.
   • Izpētiet programmas, kuras vēlaties izmantot, lai zināt, kā rīkoties problēmas gadījumā.

2. 
   

   
   Atrodiet neaizsargātu tīklu ar wardriving . Aizbildnība sastāv no braukšanas (vai pastaigas vai riteņbraukšanas) apgabalā, lai skenētu Wifi tīklus ar rīku (piemēram, NetStumbler vai Kismet), lai to atrastu bez aizsardzības. Tehniski tas ir pilnīgi likumīgi. Nav likumīgi izmantot atrasto tīklu nelikumīgiem mērķiem.

3. 
   

   
   Izmantojiet šo tīklu uzlaušanai. Ja vēlaties darīt kaut ko tādu, kas jums patiesībā nav paredzēts, labāk būtu to darīt no tīkla, kas nav jūsu. Pievienojieties atvērtam tīklam, kuru esat atradis, izmantojot aizraušanos, un izmantojiet lejupielādēto hakeru programmatūru.

• Vienmēr glabājiet slepenus datus aiz ugunsmūra.
• Pārliecinieties, ka bezvadu tīkli ir aizsargāti ar paroli, lai jūs nevarētu izmantot hakeru veikšanai savus.
• Atrodiet citus hakerus un jautājiet viņiem padomus. Dažreiz labākie hakeru paņēmieni nav atrodami interneta forumos.

• Izprotiet likumus un savas darbības sekas savā valstī.
• Nekad nemēģiniet iegūt nelegālu piekļuvi mašīnai no sava tīkla.
• Piekļuve datu bāzei, kas nav jūsu, ir nelikumīga.