Autor: Judy Howell
Data De Criação: 26 Julho 2021
Data De Atualização: 23 Junho 2024
Anonim
COMO INVADIR BANCOS DE DADOS DE SITES SQLMAP, WINDOWS 10 PASSO A PASSO EXPLICADO
Vídeo: COMO INVADIR BANCOS DE DADOS DE SITES SQLMAP, WINDOWS 10 PASSO A PASSO EXPLICADO

Contente

Neste artigo: Usando uma injeção SQLPirater da senha do banco de dadosUsando vulnerabilidades em bancos de dados7 Referências

A melhor maneira de garantir que seu banco de dados esteja protegido contra hackers é pensar como um hacker. Se você fosse um deles, que tipo de informação gostaria de encontrar? Como você os encontraria? Existem muitos tipos de bancos de dados e diferentes maneiras de invadi-los, mas a maioria dos hackers tenta encontrar a senha ou iniciar um programa que explora um ponto fraco do banco de dados. Se você se sentir confortável com as instruções SQL e tiver um conhecimento rudimentar de como os bancos de dados funcionam, poderá invadir uma.


estágios

Método 1 de 3: Use uma injeção SQL

  1. Pergunte a si mesmo se o banco de dados é vulnerável. Você precisará ter algum conhecimento tributário para usar esse método. Abra a página de login do banco de dados no seu navegador e digite (um apóstrofo) no campo para o nome do usuário. Clique em Senregistrer. Se você vir um erro que diz "Exceção SQL: seqüência de caracteres citada não foi finalizada corretamente" ou "caractere inválido", o banco de dados fica vulnerável à injeção de SQL.




  2. Encontre o número de colunas. Retorne à página de login (ou a qualquer URL que termine em "id =" ou "catid =") e clique na barra de endereços do navegador. Após o URL, pressione a barra de espaço e digite PEDIDO por 1e toque em entrada. Altere 1 para 2 e pressione novamente entrada. Continue aumentando esse número até obter um erro. O número de colunas é o número digitado antes daquele que causou o erro.



  3. Encontre as colunas que aceitam consultas. No final do URL na barra de endereço, altere o catid = 1 ou ID = 1 e colocar catid = -1 ou ID = -1. Pressione a barra de espaço e digite UNION SELECT 1,2,3,4,5,6 (se houver seis colunas) Os números que você coloca lá devem corresponder ao número de colunas e cada um deve ser separado dos outros por vírgula. Pressione entrada e você verá os números de cada coluna que aceitará a consulta.




  4. Injete instruções SQL. Por exemplo, se você deseja conhecer o usuário atual e se deseja fazer a injeção na segunda coluna, deve apagar tudo depois de "id = 1" no URL antes de pressionar a barra de espaço. Então digite UNION SELECT 1, CONCAT (usuário ()), 3,4,5,6--. Pressione entrada e você verá o nome do usuário atual na tela. Use qualquer instrução SQL para exibir informações, como a lista de nomes de usuário e senhas para hackear.

Método 2 de 3: Hackear a senha do banco de dados



  1. Tente se conectar à raiz. Alguns bancos de dados não possuem uma senha na raiz padrão; portanto, você pode ter acesso a ela deixando o campo de senha em branco. Outros têm senhas padrão que você pode encontrar facilmente pesquisando nos fóruns apropriados.



  2. Tente senhas comuns. Se o administrador protegeu o banco de dados com uma senha (que geralmente é o caso), tente uma combinação de nome de usuário e senha. Alguns hackers estão postando listas de senhas online que eles quebraram usando ferramentas de verificação. Experimente diferentes combinações de nomes de usuário e senhas.
    • Por exemplo, https://github.com/danielmiessler/SecLists/tree/master/Passwords é um site reconhecido, onde você encontrará listas de senhas.
    • Você provavelmente perderá algum tempo tentando senhas na sua mão, mas vale a pena tentar antes de sair da artilharia pesada.



  3. Use uma ferramenta de verificação de senha. Você pode usar muitas ferramentas para tentar milhares de combinações de palavras em um dicionário e letras, números ou símbolos para quebrar uma senha.
    • Algumas ferramentas como DBPwAudit (para Oracle, MySQL, MS-SQL e DB2) e Access Passview (para MS Access) são ferramentas conhecidas que você pode usar na maioria dos bancos de dados. Você também pode pesquisar no Google para encontrar novas ferramentas projetadas especificamente para o banco de dados de seu interesse. Por exemplo, você pode pesquisar ferramenta de auditoria de senha oracle db se você hackear um banco de dados Oracle.
    • Se você possui uma conta no servidor que hospeda o banco de dados, pode executar um software de hackers por senha, como João, o Estripador para encontrar. A localização do arquivo hash é diferente, dependendo do banco de dados.
    • Faça o download apenas do software de sites confiáveis. Pesquise essas ferramentas antes de usá-las.

Método 3 Use brechas nos bancos de dados



  1. Encontre um programa adequado. O Sectools.org é um conjunto de ferramentas de segurança (incluindo aquelas que lhe interessam agora) que existe há mais de dez anos. Suas ferramentas são reconhecidas e usadas por administradores de todo o mundo para fazer testes de segurança. Verifique o banco de dados operacional (ou localize um site semelhante em que você confie) em busca de ferramentas ou arquivos que ajudarão a encontrar violações de segurança nos bancos de dados.
    • Você também pode tentar www.exploit-db.com. Vá para o site deles e clique no link Pesquisar, faça uma pesquisa pelo tipo de banco de dados que você deseja invadir (por exemplo, Oracle). Digite o código captcha no campo apropriado e faça uma pesquisa.
    • Pesquise os programas que você deseja usar para saber o que fazer em caso de problema.



  2. Encontre uma rede vulnerável com wardriving . O wardriving consiste em dirigir (ou caminhar ou andar de bicicleta) em uma área para escanear redes Wifi com uma ferramenta (como NetStumbler ou Kismet) para encontrar uma sem proteção. Tecnicamente, é completamente legal. O que não é legal é usar a rede que você encontrou para fins ilegais.



  3. Use esta rede para hackers. Se você deseja fazer algo que realmente não deveria, seria melhor fazer isso a partir de uma rede que não é sua. Conecte-se a uma rede aberta que você encontrou através do wardriving e use o software de hackers que você baixou.
conselho



  • Sempre mantenha dados confidenciais atrás de um firewall.
  • Proteja suas redes sem fio com uma senha para que você não possa usar a sua para invadir.
  • Encontre outros hackers e peça dicas. Às vezes, as melhores técnicas de hackers não são encontradas nos fóruns da Internet.
avisos
  • Entenda a lei e as conseqüências de suas ações em seu país.
  • Nunca tente obter acesso ilegal a uma máquina da sua própria rede.
  • É ilegal ter acesso a um banco de dados que não é seu.

Posts Interessantes

Como usar armas em Call of Duty Ghosts
Guias

Como usar armas em Call of Duty Ghosts

O é um wiki, o que ignifica que muito artigo ão ecrito por vário autore. Para criar ete artigo, 9 peoa, alguma anônima, participaram de ua edição e aprimoramento ao long...
Como usar cubos de gelo daloe vera para curar queimaduras solares
Guias

Como usar cubos de gelo daloe vera para curar queimaduras solares

Ete artigo foi ecrito com a colaboração de noo editore e pequiadore qualificado para garantir a precião e a integridade do conteúdo. Exitem 5 referência citada nete artigo, el...