Como hackear um banco de dados

Autor: Gregory Harris
Data De Criação: 11 Abril 2021
Data De Atualização: 1 Julho 2024
Anonim
COMO INVADIR BANCOS DE DADOS DE SITES SQLMAP, WINDOWS 10 PASSO A PASSO EXPLICADO
Vídeo: COMO INVADIR BANCOS DE DADOS DE SITES SQLMAP, WINDOWS 10 PASSO A PASSO EXPLICADO

Contente

Para proteger seu banco de dados de hackers, você precisa pensar como um hacker. Se você fosse um hacker, quais informações estaria procurando? Como você conseguiria? Existem muitos tipos diferentes de bancos de dados e muitas maneiras de hackea-los. Freqüentemente, os hackers tentam quebrar a senha do root ou usar um exploit. Se você estiver familiarizado com instruções SQL e conceitos básicos de banco de dados, tente quebrar um deles.

Passos

Método 1 de 3: injeção de SQL

  1. 1 Descubra se o banco de dados tem vulnerabilidades. Para este método, você precisa entender os operadores de banco de dados. Inicie seu navegador e abra a interface da página de login do banco de dados. Em seguida, digite '(uma aspa) no campo de nome de usuário. Clique em Entrar. Se você receber o erro "Exceção de SQL: Cadeia de caracteres entre aspas não concluída incorretamente" ou "Caractere inválido", o banco de dados está vulnerável à injeção de SQL.
  2. 2 Encontre o número de colunas. Volte para a página de login do banco de dados (ou qualquer outro endereço que termine com "id =" ou "catid =") e clique na barra de endereço. Pressione o espaço após o endereço e digite a ordem por 1, depois pressione ↵ Entre... Aumente o número para 2 e pressione ↵ Entre... Continue aumentando o pedido até que o erro apareça. O número inserido antes do número incorreto será o número real de colunas.
  3. 3 Descubra quais postagens estão aceitando consultas de pesquisa. Encontre a barra de endereço e altere o final do endereço de catid = 1 ou id = 1 para catid = -1 ou id = -1. Pressione espaço e digite união selecione 1,2,3,4,5,6 (se houver 6 colunas).A contagem deve ser até o número total de colunas, com cada dígito separado por uma vírgula. Clique em ↵ Entre e você verá os números de todas as colunas que aceitam consultas.
  4. 4 Insira as instruções SQL na coluna. Por exemplo, se você deseja descobrir o nome do usuário atual e incorporar o código na coluna 2, apague tudo após id = 1 na barra de endereço e pressione a barra de espaço. Em seguida, digite union select 1, concat (user ()), 3,4,5,6--. Clique em ↵ Entre e a tela exibirá o nome do usuário do banco de dados atual. Insira várias instruções SQL para exibir várias informações, como uma lista de nomes de usuários e senhas a serem quebrados.

Método 2 de 3: decifrando a senha root

  1. 1 Tente fazer login como superusuário usando a senha padrão. Alguns bancos de dados não têm uma senha de superusuário (admin) padrão, então tente fazer o login com a senha em branco. Outros bancos de dados possuem uma senha padrão, que pode ser facilmente encontrada no fórum de suporte técnico.
  2. 2 Tente senhas comuns. Se o administrador protegeu a conta com senha (o que é muito provável), tente usar combinações comuns de nome de usuário e senha. Alguns hackers publicam listas de senhas crackeadas e usam programas especiais de cracking. Experimente diferentes combinações de nome de usuário e senha.
    • Você pode encontrar sua coleção de senhas neste site confiável: https://github.com/danielmiessler/SecLists/tree/master/Passwords.
    • Digitar as senhas manualmente pode levar muito tempo, mas tente a sorte mesmo assim, e só então passe para a artilharia pesada.
  3. 3 Use um programa de quebra de senha. Use vários programas e tente quebrar sua senha inserindo milhares de palavras e combinações de letras, números e símbolos.
    • Os programas populares de quebra de senha são: DBPwAudit (para Oracle, MySQL, MS-SQL e DB2) e Access Passview (para MS Access). Com a ajuda deles, você pode quebrar a senha de muitos bancos de dados. Você também pode encontrar um programa de jailbreak projetado especificamente para seu banco de dados no Google. Por exemplo, digite oracle db hack program na caixa de pesquisa se quiser hackear um banco de dados Oracle.
    • Se você tiver uma conta no servidor que hospeda o banco de dados, execute um programa de quebra de hash (como John the Ripper) e tente quebrar o arquivo de senha. O arquivo hash está localizado em locais diferentes em bancos de dados diferentes.
    • Baixe programas apenas de sites confiáveis. Estude os programas cuidadosamente antes de usá-los.

Método 3 de 3: falhas de banco de dados

  1. 1 Encontre o exploit. Sectools.org tem compilado uma lista de várias defesas (incluindo exploits) por dez anos. Seus programas têm uma boa reputação e são usados ​​por administradores de sistema para proteger seus sistemas em todo o mundo. Abra sua lista de exploit (ou encontre-os em outro site confiável) e procure programas ou arquivos de texto que possam penetrar nos bancos de dados.
    • Outro site com uma lista de exploits é www.exploit-db.com. Vá para o site deles e clique no link "Pesquisar", em seguida, encontre o banco de dados que deseja hackear (por exemplo, "oracle"). Digite o captcha no campo apropriado e clique no botão de pesquisa.
    • Pesquise quaisquer exploits que pretenda testar para saber o que fazer se ocorrer um problema.
  2. 2 Encontre a rede vulnerável por wardriving. Wardriving é dirigir (pedalando ou caminhando) em torno de uma área com software de varredura de rede habilitado (como NetStumbler ou Kismet) para procurar redes não seguras. Tecnicamente, wardriving é legal, mas atividades ilegais da rede que você encontrou por wardriving não são.
  3. 3 Aproveite as vantagens de uma falha no banco de dados de uma rede vulnerável. Se você está fazendo algo que não deveria, fique fora da sua teia. Conecte-se por meio de uma conexão sem fio a uma das redes abertas que você encontrou por wardriving e inicie o exploit selecionado.

Pontas

  • Sempre mantenha os dados importantes atrás de um firewall.
  • Certifique-se de proteger sua rede sem fio com senha para evitar que wardrivers usem sua rede doméstica para lançar exploits.
  • Encontre outros hackers e peça algumas dicas.Às vezes, o conhecimento mais útil sobre o trabalho de hackers não pode ser encontrado no domínio público.

Avisos

  • Aprenda sobre as leis e consequências da invasão em seu país.
  • Nunca tente obter acesso ilegal a um dispositivo de sua rede.
  • Logar no banco de dados de outra pessoa é ilegal.

Fascinantemente

Como usar o alto-falante do iPhone
Como usar o alto-falante do iPhone
Como traduzir um artigo na Wikipedia
Como traduzir um artigo na Wikipedia
Como fazer uma brincadeira irmão
Como fazer uma brincadeira irmão
Como melhorar os níveis de FSH (hormônio folículo-estimulante)
Como melhorar os níveis de FSH (hormônio folículo-estimulante)