Saturs

• Soļi
• 1. metode no 3: SQL ievadīšana
• 2. metode no 3: saknes paroles uzlaušana
• 3. metode no 3: datu bāzes trūkumi
• Padomi
• Brīdinājumi

Lai aizsargātu savu datu bāzi no hakeriem, jums jādomā kā hakerim. Ja jūs būtu hakeris, kādu informāciju jūs meklētu? Kā jūs to iegūtu? Ir daudz dažādu veidu datu bāzu un daudz veidu, kā tās uzlauzt. Bieži vien hakeri mēģina uzlauzt saknes paroli vai izmantot ekspluatāciju. Ja esat iepazinies ar SQL paziņojumiem un datu bāzes pamatjēdzieniem, mēģiniet uzlauzt vienu no tiem.

Soļi

1. metode no 3: SQL ievadīšana

1. 1 Uzziniet, vai datu bāzē ir ievainojamības. Lai izmantotu šo metodi, jums ir jāsaprot datu bāzes operatori. Palaidiet pārlūkprogrammu un atveriet datubāzes pieteikšanās lapas saskarni. Pēc tam lietotājvārda laukā ievadiet “(viens citāts)”. Noklikšķiniet uz Pierakstīties. Ja tiek parādīts kļūdas ziņojums "SQL izņēmums: citētā virkne nav pabeigta nepareizi" vai "nederīga rakstzīme", datu bāze ir neaizsargāta pret SQL ievadīšanu.
2. 2 Atrodiet kolonnu skaitu. Atgriezieties datu bāzes pieteikšanās lapā (vai jebkurā citā adresē, kas beidzas ar "id =" vai "catid =") un noklikšķiniet uz adreses joslas. Nospiediet atstarpi aiz adreses un ievadiet secību ar 1, pēc tam nospiediet Ievadiet... Palieliniet skaitli līdz 2 un nospiediet Ievadiet... Turpiniet palielināt pasūtījumu, līdz parādās kļūda. Skaitlis, ko ievadījāt pirms kļūdaini uzrakstītā numura, būs faktiskais kolonnu skaits.
3. 3 Uzziniet, kuras ziņas pieņem meklēšanas vaicājumus. Atrodiet adreses joslu un mainiet adreses beigas no catid = 1 vai id = 1 uz catid = -1 vai id = -1. Nospiediet atstarpi un ierakstiet union izvēlieties 1,2,3,4,5,6 (ja ir 6 kolonnas).Skaitam jābūt līdz kopējam kolonnu skaitam, un katrs cipars jāatdala ar komatu. Klikšķiniet uz Ievadiet un jūs redzēsit visu kolonnu numurus, kas pieņem vaicājumus.
4. 4 Kolonnā ievadiet SQL paziņojumus. Piemēram, ja vēlaties uzzināt pašreizējā lietotāja vārdu un iegult kodu 2. slejā, adreses joslā izdzēsiet visu pēc id = 1 un nospiediet atstarpes taustiņu. Pēc tam ierakstiet union select 1, concat (user ()), 3,4,5,6--. Klikšķiniet uz Ievadiet un ekrānā tiks parādīts pašreizējā datu bāzes lietotāja vārds. Ievadiet dažādus SQL paziņojumus, lai parādītu dažādu informāciju, piemēram, lietotāju vārdu un paroļu sarakstu.

2. metode no 3: saknes paroles uzlaušana

1. 1 Mēģiniet pieteikties kā superlietotājs, izmantojot noklusējuma paroli. Dažām datu bāzēm nav noklusējuma superlietotāja (administratora) paroles, tāpēc mēģiniet pieteikties, ievadot tukšu paroli. Citām datu bāzēm ir noklusējuma parole, kuru var viegli atrast tehniskā atbalsta forumā.
2. 2 Izmēģiniet parastās paroles. Ja administrators ir aizsargājis kontu ar paroli (kas ir ļoti iespējams), mēģiniet izmantot parastās lietotājvārdu un paroļu kombinācijas. Daži hakeri publiski publicē uzlauztu paroļu sarakstus, un viņi izmanto īpašas uzlaušanas programmas. Izmēģiniet dažādas lietotājvārda un paroles kombinācijas.
   • Savu paroļu kolekciju varat atrast šajā uzticamajā vietnē: https://github.com/danielmiessler/SecLists/tree/master/Passwords.
   • Manuāla paroļu ievadīšana var aizņemt ļoti ilgu laiku, bet tomēr izmēģiniet veiksmi un tikai tad pārejiet pie smagās artilērijas.
3. 3 Izmantojiet paroļu uzlaušanas programmu. Izmantojiet dažādas programmas un mēģiniet uzlauzt savu paroli, ievadot tūkstošiem vārdu un burtu, ciparu un simbolu kombināciju.
   • Populāras paroļu uzlaušanas programmas ir: DBPwAudit (Oracle, MySQL, MS-SQL un DB2) un Access Passview (MS Access). Ar viņu palīdzību jūs varat uzlauzt daudzu datu bāzu paroli. Varat arī atrast jailbreak programmu, kas īpaši izstrādāta jūsu datu bāzei Google. Piemēram, meklēšanas lodziņā ievadiet oracle db hack programmu, ja vēlaties uzlauzt Oracle datu bāzi.
   • Ja jums ir konts serverī, kas mitina datu bāzi, palaidiet hash krekinga programmu (piemēram, John the Ripper) un mēģiniet uzlauzt paroles failu. Hash fails atrodas dažādās vietās dažādās datu bāzēs.
   • Lejupielādējiet programmas tikai no uzticamām vietnēm. Pirms programmu lietošanas uzmanīgi izpētiet tās.

3. metode no 3: datu bāzes trūkumi

1. 1 Atrodiet ekspluatāciju. Sectools.org jau desmit gadus veido dažādu aizsardzības veidu sarakstu (ieskaitot izmantošanu). Viņu programmām ir laba reputācija, un sistēmas administratori tās izmanto, lai aizsargātu savas sistēmas visā pasaulē. Atveriet viņu izmantošanas sarakstu (vai atrodiet tos citā uzticamā vietnē) un meklējiet programmas vai teksta failus, kas var iekļūt datu bāzēs.
   • Vēl viena vietne ar izmantošanas sarakstu ir www.exploit-db.com. Dodieties uz viņu vietni un noklikšķiniet uz saites "Meklēt", pēc tam atrodiet datubāzi, kuru vēlaties uzlauzt (piemēram, "orākuls"). Ievadiet captcha attiecīgajā laukā un noklikšķiniet uz meklēšanas pogas.
   • Noteikti izpētiet visas izmantojamās iespējas, kuras plānojat pārbaudīt, lai zinātu, kā rīkoties, ja rodas problēma.
2. 2 Atrodiet neaizsargātu tīklu, veicot sarunu. Wardriving ir braukšana (riteņbraukšana vai pastaigas) pa apgabalu, kurā ir iespējota tīkla skenēšanas programmatūra (piemēram, NetStumbler vai Kismet), lai meklētu nenodrošinātus tīklus. Tehniski aprūpēšana ir likumīga, bet nelikumīgas darbības no tīkla, ko jūs atradāt, veicot sargu, nav.
3. 3 Izmantojiet datu bāzes caurumu no neaizsargāta tīkla. Ja darāt kaut ko tādu, ko nevajadzētu darīt, neiekļūstiet tīmeklī. Izveidojiet savienojumu, izmantojot bezvadu savienojumu ar kādu no atvērtajiem tīkliem, ko atradāt, izmantojot vadību, un palaidiet izvēlēto izmantošanu.

Padomi

• Vienmēr glabājiet svarīgus datus aiz ugunsmūra.
• Noteikti aizsargājiet bezvadu tīklu ar paroli, lai neļautu uzraugiem izmantot jūsu mājas tīklu, lai sāktu izmantošanu.
• Atrodiet citus hakerus un lūdziet viņiem padomus.Dažreiz visnoderīgākās zināšanas par hakeru darbu nevar atrast publiski.

Brīdinājumi

• Uzziniet par likumiem un hakeru sekām jūsu valstī.
• Nekad nemēģiniet no tīkla iegūt nelikumīgu piekļuvi ierīcei.
• Pieteikšanās kāda cita datu bāzē ir nelikumīga.