Sådan hentes en database

Den bedste måde at beskytte dig mod en database angriber er at tænke som ham. Hvad ville være en hacker interesse i din database? Hvordan ville han forsøge at få det, han ville have? Der er mange typer af databaser og endeløse måder at angribe dem, men ved, at de fleste af cyberkriminelle normalt finde root-adgangskoden eller kører en udnytte. For at invadere en database skal du være vidende om SQL og forstå mekanikken i en database.

trin

Metode 1
Lav en kodeinjektion (SQL-indsprøjtning)

Billede med titlen Hack a Database Step 1
1
Find ud af, om databasen er sårbar. Til dette skal du kende en smule SQL. Åbn databasens login-skærm i enhver webbrowser og skriv ` (single quotes) i brugernavn feltet. Klik på knappen for at indtaste og se, om en fejl, der ligner "SQL Undtagelse: Citeret streng ikke korrekt afsluttet" eller "Ugyldig tegn" vises. Hvis svaret er ja til nogen af ​​fejlene, er banken modtagelig for kodeinjektion.
  • Billede med titlen Hack a Database Step 2
    2
    Find ud af antallet af kolonner i banken. Gå tilbage til login-skærmen eller gå til en side, der slutter med "id =" eller "catid =". Klik på browserens adresselinje. I slutningen af ​​adressen skal du give et mellemrum og tilføje følgende kode: Bestil med 1 og tryk på ⌅ Enter. Udskift 1 til 2, og tryk på ⌅ Enter igen. Fortsæt med at øge antallet, indtil du får en fejl. Det samlede antal kolonner vil svare til det indtastede nummer før fejlen.
  • Video: Flash PHP MySQL Tutorial: Data Feed Loop Result HTML Rendering

    Billede med titlen Hack a Database Step 3
    3
    Find ud af hvilke kolonner der understøtter forespørgsler. I adresselinjen skal du ændre catid = 1 eller id = 1 til catid = -1 eller id = -1. Giv et mellemrum og skriv: union valg 1,2,3,4,5,6. Det er vigtigt, at tallene indeholder op til det maksimale antal kolonner og adskilles af kommaer. I det foregående eksempel var det samlede antal kolonner i databasen 6. Tryk på ⌅ Enter, resultatet svarer til antallet af kolonner, der accepterer forespørgsler.
  • Video: Kap. 16.5 Hente ut fra flere tabeller

    Billedets titel Hack a Database Step 4
    4
    Injicér SQL i sårbare kolonner. For eksempel for at kende navnet på den aktuelle bruger er logget ind i databasen, test i kolonne 2: slette alt, der er skrevet efter id = 1 i browserens adresselinje og give et rum. Indtast derefter: union valg 1, concat (bruger ()), 3,4,5,6--. Tryk på ⌅ Enter og så vises brugernavnet. Skriv enhver SQL-kode, du ønsker i adresselinjen og få de resultater, søgte, som en liste over alle brugere og registrerede adgangskoder i databasen, for eksempel (husk, at passwords skal krypteres, så det vil ikke være nyttigt).
  • Metode 2
    Bryde rodets adgangskode til databasen

    Billede med titlen Hack a Database Step 5
    1
    Prøv at logge ind med standardadgangskoden. Nogle databaser har ikke en standard rod (eller administrator) adgangskode, som gør det muligt at logge ind på systemet, der forlader adgangskodefeltet tomt. Andre har standardiserede adgangskoder, der kan opdages ved at læse manualer eller indlæg på hjemmesider og fora.
  • Billede med titlen Hack a Database Step 6


    2
    Prøv nogle almindelige adgangskoder. Det er meget sandsynligt, at databaseadministratoren har adgangskodebeskyttet. Der er dog mange lister over adgangskoder til rådighed på internettet, hvor du kan finde millioner af rigtige adgangskoder, der er opnået ved hjælp af sikkerhedstests på rigtige websteder.
    • En god kilde til adgangskode lister er webstedet: https://github.com/danielmiessler/SecLists/tree/master/Passwords.
    • Selvom det er kontraproduktivt at teste adgangskoder manuelt, kan du være heldig. Forlad den brute kraft til senere.
  • Billede med titlen Hack a Database Step 7
    3
    Brug et kraftværktøj. Værktøjer af denne type test millioner af kombinationer af ord, symboler og tal for at prøve at finde ud af den korrekte adgangskode for at logge ind på banken.
    • Nogle af de bedst kendte værktøjer kan køre på næsten alle systemer, se: DBPwAudit (for Oracle, MySQL, MS-SQL og DB2) og adgang PassView (til Microsoft Access). Hvis du foretrækker, skal du søge på internettet for at finde andre værktøjer, der er specifikke for din bank. For at finde et værktøj til en MySQL-database skal du f.eks. Skrive i Google: brute force mysql.
    • Hvis du har adgang til den server, der er vært for databasen, skal du køre et direkte script i adgangskodefilen - f.eks. John the Ripper. Filen gemmes på forskellige steder i henhold til databasen.
    • Bare download denne type af pålidelige websted værktøj.
  • Metode 3
    Undersøgelse af sårbarheder i databasen

    Video: Hente informasjon fra flere tabeller i en MySQL database

    Billedets titel Hack a Database Step 8
    1
    Find det rigtige værktøj. Sectools.org har udgivet og opdateret en liste over sikkerhedsværktøjer i mere end 10 år. Der kan du finde værktøjer til at udnytte sårbarheder i databaser, kendt som udnyttelse. De værktøjer, der er tilgængelige der, bruges af sikkerhedseksperter over hele verden, så de er pålidelige. Gennemse udbyttesektionen eller søg på internettet for andre lignende værktøjer.
    • Et andet forslag til at downloade exploits er: exploit-db.com. Indtast webstedet og skriv i søgefeltet navnet på den database, du vil teste (for eksempel: "mysql"). Løs captchaen og tryk på knappen for at søge.
    • Find ud af alt om det værktøj, du vil bruge, for at vide, hvad du skal gøre i tilfælde af problemer.
  • Billede med titlen Hack a Database Step 9
    2
    Find et netværk uden adgangskode gennem wardriving. Dette trin er kun nødvendigt for dem, der ikke har adgang til internettet derhjemme. Wardriving består af at gå (med bil, cykel eller gå) gennem en region på jagt efter trådløse netværk, der ikke har adgangskode. Til dette er det nødvendigt at have en computer eller smartphone udstyret med netværksscanning software (f.eks. NetStumbler og Kismet). Brug af et tredjepartsnetværk til at begå kriminalitet er stadig en forbrydelse - det er meget uskyldigt at tro, at kriminelle skal være hjemme for at blive opdaget af en forbrydelse på internettet.
  • Billede med titlen Hack a Database Step 10

    Video: Hente data fra flere tabeller vha DW

    3
    Drej den valgte udnyttelse.
  • tips

    • Hold altid din server data beskyttet af en firewall.
    • Indtast adgangskode på din router.
    • De fleste internet sikkerhed viden er ikke tilgængelig på internettet, så det er vigtigt at studere dem i bøger. Chat med en internet sikkerhedsekspert, tag kurser og ingeniørfag eller ingeniørvidenskab for at lære mere.

    advarsler

    • Kend lov nr. 12.737, for cyberforbrydelser.
    • Forsøg ikke at hakke i en computer, et netværk eller et system af anden grund end at teste sikkerhed.
    • At opnå (se), manipulere eller slette oplysninger gemt på en lokal eller ekstern enhed (computere, mobiltelefoner, servere osv.) Er en lovovertrædelse i op til to år og en bøde.

    Kilder og citater

    Vis mere ... (4)
    Del på sociale netværk:

    Relaterede
    © 2024 HodTari.com