Hogyan lehet feltörni egy adatbázist
Szerző:
Judy Howell
A Teremtés Dátuma:
26 Július 2021
Frissítés Dátuma:
23 Június 2024
Tartalom
- szakaszában
- 1. módszer Használjon SQL-injekciót
- 2. módszer Hackelje meg az adatbázis jelszavát
- 3. módszer Használjon kiskapukat az adatbázisokban
A legjobb módja annak, hogy az adatbázis védve legyen a hackerekkel szemben, ha úgy gondolja, mint egy hackerek. Ha egy lenne, milyen információt szeretne megtalálni? Hogyan találnád meg őket? Számos típusú adatbázis létezik, és különféle módokon hackelhet őket, de a legtöbb hackerek megpróbálják megtalálni a jelszót, vagy elindítanak egy programot, amely kihasználja az adatbázis gyenge pontját. Ha jól érzi magát az SQL-utasításokkal, és elengedhetetlen tudással rendelkezik az adatbázisok működéséről, előfordulhat, hogy megcsavarodhat egyet.
szakaszában
1. módszer Használjon SQL-injekciót
- Kérdezze meg magától, hogy az adatbázis sebezhető-e. Ennek a módszernek a használatához rendelkeznie kell bizonyos adózási ismeretekkel. Nyissa meg az adatbázis bejelentkezési oldalát a böngészőben, és írja be (aposztróf) a felhasználói név mezőjében. Kattintson a Senregistrer. Ha olyan hibát lát, amelyben az "SQL kivétel: az idézett karakterlánc nincs megfelelően lezárva" vagy "érvénytelen karakter", akkor az adatbázis érzékeny az SQL befecskendezésre.
-
Keresse meg az oszlopok számát. Térjen vissza a bejelentkezési oldalra (vagy bármely olyan URL-re, amely "id =" vagy "catid =" -vel végződik), és kattintson a böngésző címsorára. Az URL után nyomja meg a szóközt és írja beRENDELÉS 1-ig
, majd koppintson a elemre belépés. Cserélje az 1-t 2-re és nyomja meg újra belépés. Folytassa a szám növelését, amíg hibaüzenetet nem kap. Az oszlopok száma az a szám, amelyet a hibát okozó előtte megadott. -
Keresse meg a lekérdezéseket elfogadó oszlopokat. A címsávban az URL végén változtassa meg aCatID = 1
vagyid = 1
és teddCatID = -1
vagyid = -1
. Nyomja meg a szóköz és írja beUNION SELECT 1,2,3,4,5,6
(ha hat oszlop van) Az oda helyezett számoknak meg kell egyezniük az oszlopok számával, és mindegyiket vesszővel kell elválasztani a többitől. sajtó belépés és látni fogja az egyes oszlopok számát, amelyek elfogadják a lekérdezést. -
Injektálja az SQL utasításokat. Például, ha meg akarja tudni az aktuális felhasználót, és ha a második oszlopba szeretné beírni, akkor a szóköz megnyomása előtt mindent törölnie kell az URL-ben az "id = 1" után. Ezután írja beUNION SELECT 1, CONCAT (felhasználó ()), 3,4,5,6--
. sajtó belépés és látni fogja az aktuális felhasználó nevét a képernyőn. Használjon bármilyen SQL-utasítást az információk megjelenítéséhez, például a feltörni kívánt felhasználónevek és jelszavak listájához.
2. módszer Hackelje meg az adatbázis jelszavát
-
Próbáljon meg kapcsolódni a gyökérhöz. Egyes adatbázisok nem tartalmaznak jelszót az alapértelmezett gyökérkönyvtárban, ezért valószínűleg hozzáférhet ahhoz, ha üresen hagyja a jelszómezőt. Másoknak vannak alapértelmezett jelszavai, amelyeket könnyedén megtalálhat a megfelelő fórumokon történő kereséssel. -
Próbálja ki a közös jelszavakat. Ha a rendszergazda jelszóval védi az adatbázist (ami általában így van), próbáljon meg egy felhasználónév és jelszó kombinációját. Egyes hackerek online jelszólistakat tesznek közzé, amelyeket ellenőrző eszközök segítségével feltörtek. Próbálja ki a felhasználónevek és a jelszavak különböző kombinációit.- Például a https://github.com/danielmiessler/SecLists/tree/master/Passwords egy elismert webhely, ahol jelszavak listáját találja meg.
- Valószínűleg veszít egy kis időt a jelszavak kipróbálásával a kezedben, de érdemes megkísérelni, mielőtt kiment a nehéz tüzérségből.
-
Használjon jelszó-ellenőrző eszközt. Számos eszközzel kipróbálhatja a szótárban szereplő szavak és betűk, számok vagy szimbólumok ezreinek kombinációját a jelszó megtöréséhez.- Néhány eszköz, például a DBPwAudit (az Oracle, MySQL, MS-SQL és DB2) és az Access Passview (az MS Access számára), jól ismert eszközök, amelyeket a legtöbb adatbázisban használhat. A Google-on is kereshet új eszközökkel, amelyeket kifejezetten az érdeklődő adatbázishoz terveztek. Például kereshet
jelszó ellenőrző eszköz Oracle db
ha feltör egy Oracle adatbázist. - Ha van egy olyan fiók a kiszolgálón, amely az adatbázist tárolja, futtathatja a jelszavak feltörésére szolgáló szoftvert, például John the Ripper hogy megtalálja. A hash fájl helye az adatbázistól függően eltérő.
- Csak a megbízható webhelyekről tölthet le szoftvert. Használja ki ezeket az eszközöket.
- Néhány eszköz, például a DBPwAudit (az Oracle, MySQL, MS-SQL és DB2) és az Access Passview (az MS Access számára), jól ismert eszközök, amelyeket a legtöbb adatbázisban használhat. A Google-on is kereshet új eszközökkel, amelyeket kifejezetten az érdeklődő adatbázishoz terveztek. Például kereshet
3. módszer Használjon kiskapukat az adatbázisokban
-
Keressen egy megfelelő programot. A Sectools.org egy több mint tíz éve működő biztonsági eszközkészlet (ideértve azokat is, amelyek érdekli Önt most). Az eszközöket a világ minden tájáról felismerik és használják a rendszergazdák a biztonsági teszteléshez. Ellenőrizze az operációs adatbázist (vagy keressen egy hasonló webhelyet, amelyben megbízott) olyan eszközökkel vagy fájlokkal kapcsolatban, amelyek segítenek megtalálni a biztonsági szabályok megsértését az adatbázisokban.- Kipróbálhatja a www.exploit-db.com webhelyet. Nyissa meg a saját webhelyüket, és kattintson a linkre Keresés, majd keresse meg a megtörni kívánt adatbázistípust (pl. Oracle). Írja be a captcha kódot a megfelelő mezőbe, és végezzen keresést.
- Vizsgálja meg a használni kívánt programokat, hogy megtudja, mit kell tennie egy probléma esetén.
-
Keressen sebezhető hálózatot a wardriving . Az elfoglaltság vezetésből (vagy gyaloglásból vagy kerékpározásból) áll egy területen, hogy Wifi-hálózatokat szerszámmal (például NetStumbler vagy Kismet) szkenneljenek, hogy védettség nélkül megtalálják azokat. Technikailag teljesen legális. Nem törvényes az, hogy a hálózatot jogellenes célokra használja. -
Használja ezt a hálózatot a hackeléshez. Ha olyan dolgot szeretne tenni, amelyet valójában nem kellene tennie, akkor jobb lenne, ha olyan hálózatból fogja megcsinálni, amely nem a tiéd. Csatlakozzon egy nyitott hálózathoz, amelyet a garderob segítségével talált meg, és használja a letöltött hacker szoftvert.
- Az érzékeny adatokat mindig tűzfal mögött tartsa.
- Győződjön meg arról, hogy védi a vezeték nélküli hálózatokat jelszóval, hogy ne használhassa a hackelést.
- Keressen más hackereket, és kérjen tőlük tippeket. Időnként a legjobb hackelési technikákat nem találják meg az internetes fórumokon.
- Ismerje meg a törvényeket és az Ön országában végrehajtott cselekedeteinek következményeit.
- Soha ne próbáljon illegálisan hozzáférni egy géphez a saját hálózatából.
- Igen illegális az olyan adatbázishoz való hozzáférés, amely nem a tiéd.