A legjobb módja annak, hogy megbizonyosodjon arról, hogy adatbázisa biztonságban van a hacker támadásokkal szemben, ha hackerként gondolkodik. Ha hacker vagy, milyen információkat keresel? Hogyan szerezheti meg ezt az információt? Különböző típusú adatbázisok és különféle módszerek vannak a feltörésre, de a legtöbb hacker megpróbálja megtalálni a root jelszót, vagy futtatni ismert adatbázis -kihasználásokat. Az adatbázisokat feltörheti, ha ismeri az SQL utasításokat, és megérti az adatbázis alapjait.
Lépés
1. módszer a 3 -ból: SQL Injection használata
1. lépés Keresse meg az adatbázis biztonsági réseit
A módszer használatához meg kell értenie az adatbázis -utasításokat. Lépjen a böngészőben az adatbázis webes bejelentkezési képernyőjére, és írja be a '(idézőjelek) szót a felhasználónév mezőbe. Kattintson a „Bejelentkezés” gombra. Ha hibaüzenetet lát, amely azt mondja, hogy „SQL kivétel: az idézett karakterlánc nincs megfelelően lezárva” vagy „érvénytelen karakter”, az azt jelenti, hogy az adatbázis sérülékeny az SQL számára.
2. lépés. Keresse meg az oszlopok számát
Térjen vissza az adatbázis bejelentkezési oldalára (vagy bármely más „id =” vagy „catid =” végű URL -re), és kattintson a böngésző címmezőjére. Az URL végén nyomja meg a szóközt, és írja be
rendelje meg 1
majd nyomja meg az Enter billentyűt. Növelje a számot 2 -re, és nyomja meg az Enter billentyűt. Add hozzá a számokat, amíg hibaüzenetet nem kap. Az oszlop száma valójában a hibaüzenetet előidéző szám előtt megadott szám.
3. lépés. Keresse meg a kérést (lekérdezést) elfogadó oszlopot
Változtassa meg az URL végén a böngésző címsorában
cica = 1
vagy
id = 1
Válik
cica = -1
vagy
id = -1
. Nyomja meg a szóközt, és írja be
union válasszon 1, 2, 3, 4, 5, 6
(ha 6 oszlop van). A számokat az oszlopok teljes számáig kell rendezni, és minden számot vesszővel kell elválasztani. Nyomja meg az Enter billentyűt, és látni fogja az egyes oszlopok számát, amelyek elfogadták az alkalmazást.
4. lépés. Szúrja be az SQL utasítást az oszlopba
Például, ha szeretné tudni, hogy ki az aktuális felhasználó, és helyezze az injekciót a 2. oszlopba, távolítsa el az összes szöveget az URL -ből az id = 1 után, és nyomja meg a szóközt. Utána tik
union select 1, concat (user ()), 3, 4, 5, 6--
. Nyomja meg az Enter billentyűt, és a képernyőn megjelenik az adatbázis aktuális felhasználóneve. Használja a kívánt SQL utasítást az információk, például a feltörhető felhasználónevek és jelszavak listájának visszaadására.
2. módszer a 3 -ból: Hack Database Root Password
1. lépés: Próbáljon meg rootként bejelentkezni a kezdeti (alapértelmezett) jelszóval
Néhány adatbázis nem rendelkezik kezdeti root (rendszergazdai) jelszóval, így előfordulhat, hogy törölheti a jelszómezőt. Egyes adatbázisok rendelkeznek kezdeti jelszavakkal, amelyek könnyen beszerezhetők az adatbázis műszaki segítségnyújtási szolgáltatási fórumán való kereséssel.
2. lépés: Próbáljon ki egy gyakran használt jelszót
Ha az adminisztrátor zárolja a fiókot jelszóval (valószínűleg), próbálja meg a szokásos felhasználónév/jelszó kombinációt. Egyes hackerek nyilvános eszközökre teszik közzé a jelszólistákat, amelyeket az ellenőrzési eszközök segítségével feltörnek. Próbáljon ki különböző felhasználói név és jelszó kombinációkat.
- A megbízható webhely, amely tartalmazza a kapcsolódó jelszavakat, a
- Egy -egy jelszó kipróbálása eltarthat egy ideig, de érdemes kipróbálni, mielőtt drasztikusabb módszerekhez folyamodna.
3. lépés. Használjon ellenőrzési eszközöket
Különféle eszközökkel próbálhat ki több ezer szóösszetételt a szótárban, és nyers erővel betűket/számokat/szimbólumokat, amíg a jelszó feltörésre nem kerül.
-
Az olyan eszközök, mint a DBPwAudit (Oracle, MySQL, MS-SQL és DB2) és az Access Passview (MS Access esetén) népszerű jelszóellenőrző eszközök, és a legtöbb adatbázishoz használhatók. A Google -on keresztül is megkeresheti az adatbázisához tartozó legújabb jelszó -ellenőrző eszközöket. Például próbáljon keresni
jelszó -ellenőrző eszköz oracle db
- ha feltörni szeretné az Oracle adatbázist.
- Ha rendelkezik fiókkal az adatbázist tároló kiszolgálón, futtathat egy hash -krakkoló programot, például Ripper János -t az adatbázis jelszófájljában. A hash fájl helye a társított adatbázistól függ.
- Programokat csak megbízható webhelyekről töltsön le. Használat előtt alaposan tanulmányozza a készüléket.
3. módszer 3 -ból: Az adatbáziskihasználás futtatása
1. lépés. Keressen egy kihasználható eszközt a futtatáshoz
A Secttools.org több mint 10 éve dokumentálja a biztonsági eszközöket (beleértve a kizsákmányolásokat is). Ezek az eszközök általában megbízhatóak és széles körben használják a rendszergazdák szerte a világon a biztonsági rendszer tesztelésére. Az ezen a webhelyen vagy más megbízható webhelyeken található „Exploitation” adatbázisban olyan eszközöket vagy egyéb szövegfájlokat talál, amelyek segítenek kihasználni az adatbázis -biztonsági rendszer gyenge pontjait.
- Egy másik webhely, amelyet a dokumentumok kihasználnak, a www.exploit-db.com. Látogasson el a webhelyre, és kattintson a Keresés linkre, majd keresse meg a feltörni kívánt adatbázis típusát (például „oracle”). Írja be a Captcha kódot a megadott mezőbe, és végezzen keresést.
- Feltétlenül tanulmányozzon minden olyan kihasználást, amelyet meg szeretne próbálni, hogy megtudja, hogyan lehet kiküszöbölni az esetlegesen felmerülő problémákat.
2. lépés: Keresse ki a sérülékeny hálózatokat a wardriving használatával
A Wardriving vezetés (vagy kerékpározás, vagy gyaloglás) egy területen, miközben hálózati szkennelő eszközt (például NetStumbler vagy Kismet) futtat, miközben gyenge biztonságú hálózatokat keres. Ez a módszer technikailag törvénytelen.
3. lépés: Gyenge biztonsági hálózatok adatbázis -kihasználását használja
Ha olyat tesz, amit nem szabadna, akkor a legjobb, ha nem a privát hálózatából teszi. Használja a vezetés közben talált nyílt vezeték nélküli hálózatot, és futtassa a kutatott és kiválasztott előnyöket.
Tippek
- Az érzékeny adatokat mindig tartsa tűzfal mögött.
- Győződjön meg arról, hogy jelszóval védi a vezeték nélküli hálózatot, hogy a felügyelők ne használhassák az otthoni hálózatot a kihasználás futtatásához.
- Kérjen tippeket más hackerektől. Néha a legjobb hackelési tudományt nem terjesztik az interneten.
Figyelem
- Ismerje meg a hackelés törvényeit és következményeit az Ön országában.
- Soha ne próbáljon illegális hozzáférést szerezni a saját hálózatából származó gépekhez.
- Az adatbázishoz való hozzáférés, amely nem az Öné, illegális.
