Måder at hacke database på

Forfatter: Lewis Jackson
Oprettelsesdato: 9 Kan 2021
Opdateringsdato: 1 Juli 2024
Anonim
Creating Oracle Databases on KVM using the deploycluster tool with oVirt API - Mitch Dsouza
Video.: Creating Oracle Databases on KVM using the deploycluster tool with oVirt API - Mitch Dsouza

Indhold

Den bedste måde at sikre, at en database er sikker fra hackere, er at tænke som en hacker. Hvis du var en hacker, hvilken slags information ville du se efter? Hvad vil du gøre for at få disse oplysninger? Der findes en række forskellige metoder til hacking af forskellige typer databaser, men de fleste hackere vil prøve at knække adgangskoder på højt niveau eller udføre databaseangreb. Hvis du er fortrolig med SQL-kommandoer og forstår grundlæggende programmeringssprog, kan du prøve at hacke en database.

Trin

Metode 1 af 3: Ved SQL-injektion

  1. Identificer svage punkter i databasen. Du skal være i stand til at håndtere databasekommandoer i god tid, før du kan bruge denne metode. Åbn først login-skærmbilledet til databasens webgrænseflade i browseren, og skriv (en apostrof) i feltet brugernavn. Klik på "Login". Hvis fejlen "SQL-undtagelse: citeret streng ikke korrekt afsluttet" eller "ugyldigt tegn" vises, er databasen let at blive kompromitteret. SQL-injektionsteknik.


  2. Find antallet af kolonner. Gå tilbage til databasens login-side (eller enhver anden URL, der slutter med "id =" eller "catid ="), og klik på browserens adresselinje. Efter URL'en skal du trykke på mellemrumstasten og skrive bestil med 1 og tryk derefter på ↵ Indtast. Forøg til 2, og tryk på ↵ Indtast. Fortsæt med at øge, indtil du får en fejl. Det aktuelle søjlenummer er det nummer, der er indtastet før det nummer, som systemet rapporterer om en fejl.


  3. Find kolonnen for at acceptere variablen. I slutningen af ​​URL'en i adresselinjen skal du ændre den catid = 1 god id = 1 bliver catid = -1 eller id = -1.Tryk på mellemrummet og skriv union vælg 1,2,3,4,5,6 (hvis der er 6 kolonner). Du skal indtaste tal i stigende rækkefølge op til det samlede antal kolonner og adskilt med kommaer. Trykke ↵ Indtast, vil antallet af hver kolonne acceptere variablen.


  4. Injicér SQL-sætningen i kolonnen. For eksempel, hvis du vil kende den aktuelle bruger og indsprøjte indholdet i kolonne 2, skal du slette alt efter id = 1-delen i URL'en og trykke på mellemrum. Gå derefter ind union vælg 1, concat (bruger ()), 3,4,5,6- og tryk ↵ Indtastvises det aktuelle databasens brugernavn på skærmen. Vælg SQL-kommandoen for at få de oplysninger, du har brug for, såsom en liste over brugernavne og adgangskoder, der skal knækkes. reklame

Metode 2 af 3: Revner databasens adgangskode på højt niveau

  1. Prøv at logge ind som en avanceret bruger med standardadgangskoden. Nogle databaser har ikke hovedadgangskoden (admin - admin) som standard, så du kan lade adgangskodefeltet være tomt. Andre har standardadgangskoder, der let findes i de tekniske supportfora om databasen.

  2. Prøv populære adgangskoder. Hvis administratoren har adgangskodebeskyttet en konto (meget almindelig), kan du prøve almindelige sætninger med brugernavn / adgangskode. Nogle hackere offentliggør en liste over adgangskoder, de knækker, når de bruger revisionsværktøjer. Prøv nogle kombinationer af brugernavn og adgangskode.
    • Siden https://github.com/danielmiessler/SecLists/tree/master/Passwords er berømt for sin liste over adgangskoder, som hackere indsamler.
    • At gætte adgangskoden manuelt kan tage tid, men du kan prøve det, før du anvender mere komplekse måder, da det ikke koster noget.

  3. Brug et adgangskontrolværktøj. Du kan bruge en række forskellige værktøjer til at prøve tusindvis af ordforråd og bogstaver / alfanumeriske kombinationer med brutale kraftangreb, indtil adgangskoden er revnet.
    • DBPwAudit (til Oracle, MySQL, MS-SQL og DB2) og Access Passview (til MS Access) er populære adgangskodekontrolværktøjer, der kan fungere på de fleste databaser. Du kan også søge på Google efter nyere værktøjer til kontrol af adgangskoder, der er specifikke for specifikke databaser. For eksempel, hvis du hacker Oracle-database, skal du kigge efter nøgleord password audit værktøj oracle db.
    • Hvis du har en konto på serveren, der er vært for databasen, kan du udføre et hashværktøj som John the Ripper for at dekryptere databasens adgangskodefil. Placeringen af ​​hash-filen varierer fra database til database.
    • Download kun værktøjer fra websteder, som du stoler på. Foretag en online undersøgelse af det valgte værktøj, inden du bruger det.
    reklame

Metode 3 af 3: Databaseangreb.

  1. Find den udnyttelse, der skal udføres. Sectools.org er en generel mappe over sikkerhedsværktøjer (inklusive udnyttelse), der har fungeret i mere end ti år. Deres værktøj er ret velrenommeret og bruges af mange systemadministratorer rundt om i verden til at kontrollere netværkssikkerhed. Gennemse deres "Exploitation" -mappe (eller et andet betroet websted) efter et værktøj eller en tekstfil, der kan hjælpe dig med at angribe en databases sikkerhedssårbarhed.
    • En anden udnyttelsesside er www.exploit-db.com. Gå til webstedet ovenfor og klik på linket Søg for at søge efter den type database, du vil hacke (f.eks. "Oracle"). Indtast Captcha-koden i det angivne felt, og søg.
    • Du er nødt til at studere omhyggeligt, al udnyttelse vil forsøge at være i stand til at klare sig, hvis der opstår et problem.

  2. Find sårbare netværk for at få adgang (wardriving). Wardriving er det at køre en bil (endda cykle eller gå) rundt i et område og bruge en netværksscanner (som NetStumbler / Kismet) med det formål at finde usikrede netværk. Dybest set er denne adfærd ikke i strid med loven. Men det er muligt at få adgang til internettet selv og gøre ulovlige ting.

  3. Brug udnyttelsen til at angribe databasen fra netværket netop åbnet. Hvis du planlægger at gøre noget, der ikke burde være, er det ikke en god ide at bruge dit hjemmenetværk. Find og få adgang til usikret Wi-Fi, og angreb derefter databasen med den udnyttelse, du har undersøgt og valgt. reklame

Råd

  • Følsomme data skal beskyttes bag en firewall.
  • Krypter Wi-Fi med en adgangskode, så uautoriserede adganger ikke kan bruge dit hjemmenetværk til at angribe din database.
  • Du kan finde en hacker og bede om råd. Nogle gange er de bedste ting ikke på Internettet.

Advarsel

  • Du skal forstå lovene og konsekvenserne af databasehacking i Vietnam.
  • Få aldrig adgang til nogen computer fra dit private netværk.
  • Det er ulovligt at få adgang til en anden persons database.

Nye Artikler

Sådan forebygges anoreksi
Sådan forebygges anoreksi
Sådan får du et godt frokostinterview
Sådan får du et godt frokostinterview
Sådan bages en tærte
Sådan bages en tærte
Sådan holder du katte ude af din have
Sådan holder du katte ude af din have