データベースをハックする方法

著者: Lewis Jackson
作成日: 9 5月 2021
更新日: 1 J 2024
Anonim
C ++チュートリアルでゲームをハックする方法
ビデオ: C ++チュートリアルでゲームをハックする方法

コンテンツ

データベースがハッカーから安全であることを確認する最良の方法は、ハッカーのように考えることです。もしあなたがハッカーだったら、どんな情報を探しますか?その情報を得るためにあなたは何をしますか?さまざまな種類のデータベースをハッキングするにはさまざまな方法がありますが、ほとんどのハッカーは高レベルのパスワードを解読したり、データベース攻撃を実行したりしようとします。 SQLコマンドに精通していて、基本的なプログラミング言語を理解している場合は、データベースをハッキングしてみてください。

手順

方法1/3:SQLインジェクションによる

  1. データベースの弱点を特定します。 このメソッドを適用する前に、データベースコマンドを十分に処理できる必要があります。まず、ブラウザでデータベースWebインターフェイスのログイン画面を開き、次のように入力します。 (アポストロフィ)ユーザー名フィールド。 「ログイン」をクリックします。 「SQL例外:引用符で囲まれた文字列が正しく終了していません」または「無効な文字」というエラーが表示された場合、データベースが危険にさらされやすいです。 SQLインジェクションテクニック。


  2. 列の数を見つけます。 データベースのログインページ(または「id =」または「catid =」で終わるその他のURL)に戻り、ブラウザのアドレスバーをクリックします。 URLの後に、スペースを押して入力します 1で注文し、を押します ↵入力。 2に増やしてを押します ↵入力。エラーが発生するまで増やし続けます。実際の列番号は、システムがエラーを報告する番号の前に入力された番号です。


  3. 変数を受け入れる列を見つけます。 アドレスバーのURLの最後で、それを変更します catid = 1良い id = 1は catid = -1または id = -1。スペースを押して入力します union select 1,2,3,4,5,6(6列の場合)。列の総数まで昇順で、コンマで区切って番号を入力する必要があります。押す ↵入力、各列の番号は変数を受け入れます。


  4. SQLステートメントを列に挿入します。 たとえば、現在のユーザーを知り、コンテンツを列2に挿入する場合は、URLのid = 1の部分の後のすべてを削除し、スペースを押します。次に入力します union select 1、concat(user())、3,4,5,6-を押して ↵入力、現在のデータベースのユーザー名が画面に表示されます。 SQLコマンドを選択して、解読するユーザー名やパスワードのリストなど、必要な情報を取得します。広告

方法2/3:データベースの高レベルのパスワードを解読する

  1. デフォルトのパスワードを使用して上級ユーザーとしてログインしてみてください。 一部のデータベースにはデフォルトでマスターパスワード(admin-admin)がないため、パスワードフィールドを空白のままにすることができます。他の人は、データベースに関するテクニカルサポートフォーラムで簡単に見つけることができるデフォルトのパスワードを持っています。

  2. 一般的なパスワードを試してください。 管理者がアカウントをパスワードで保護している場合(非常に一般的)、一般的なユーザー名とパスワードの組み合わせのフレーズを試すことができます。一部のハッカーは、監査ツールを使用するときに解読するパスワードのリストを公開します。ユーザー名とパスワードの組み合わせを試してみてください。
    • https://github.com/danielmiessler/SecLists/tree/master/Passwordsページは、ハッカーが収集するパスワードのリストで有名です。
    • パスワードを手動で推測するには時間がかかる場合がありますが、費用がかからないため、より複雑な方法を適用する前に試すことができます。

  3. パスワードチェックツールを使用します。 さまざまなツールを使用して、パスワードが解読されるまで、何千もの語彙と文字/英数字の組み合わせをブルートフォース攻撃で試すことができます。
    • DBPwAudit(Oracle、MySQL、MS-SQL、およびDB2の場合)およびAccess Passview(MS Accessの場合)は、ほとんどのデータベースで機能する一般的なパスワードチェッカーツールです。特定のデータベースに固有の新しいパスワードチェックツールをGoogleで検索することもできます。たとえば、Oracleデータベースをハッキングしている場合は、キーワードを探します パスワード監査ツールoracledb。
    • データベースをホストしているサーバーにアカウントがある場合は、John the Ripperなどのハッシュツールを実行して、データベースのパスワードファイルを復号化できます。ハッシュファイルの場所はデータベースごとに異なります。
    • 信頼できるサイトからのみツールをダウンロードしてください。使用する前に、選択したツールについてオンライン調査を行ってください。
    広告

方法3/3:データベース攻撃。

  1. 実行するエクスプロイトを見つけます。 Sectools.orgは、10年以上運用されているセキュリティツール(エクスプロイトを含む)の一般的なディレクトリです。彼らのツールは非常に評判が良く、ネットワークのセキュリティをチェックするために世界中の多くのシステム管理者によって使用されています。データベースのセキュリティの脆弱性を攻撃するのに役立つ可能性のあるツールまたはテキストファイルについては、「Exploitation」ディレクトリ(または他の信頼できるサイト)を参照してください。
    • 別の悪用ページはwww.exploit-db.comです。上記のWebサイトにアクセスし、[検索]リンクをクリックして、ハッキングするデータベースのタイプ(「oracle」など)を検索します。表示されたボックスにCaptchaコードを入力して検索します。
    • 問題が発生した場合に、すべてのエクスプロイトが管理できるように注意深く調査する必要があります。

  2. アクセスする脆弱なネットワークを見つけます(ワードリバー)。 ウォードライブとは、セキュリティで保護されていないネットワークを見つける目的で、エリア内を車で運転し(サイクリングやウォーキングでも)、ネットワークスキャナー(NetStumbler / Kismetなど)を使用する行為です。基本的に、この動作は法律に違反しません。しかし、自分でインターネットにアクセスして違法なことをすることは可能です。

  3. このエクスプロイトを使用して、アクセスしたばかりのネットワークからデータベースを攻撃します。 すべきでないことを計画している場合は、ホームネットワークを使用することはお勧めできません。セキュリティで保護されていないWi-Fiを見つけてアクセスし、調査して選択したエクスプロイトでデータベースを攻撃します。広告

助言

  • 機密データはファイアウォールの背後で保護する必要があります。
  • Wi-Fiをパスワードで暗号化して、不正アクセスがホームネットワークを使用してデータベースを攻撃できないようにします。
  • ハッカーを見つけてアドバイスを求めることができます。時々最高のものはインターネット上にありません。

警告

  • ベトナムでのデータベースハッキングの法律と結果を理解する必要があります。
  • プライベートネットワークからコンピュータにアクセスしないでください。
  • 他人のデータベースにアクセスすることは違法です。

興味深い出版物

ミックスアイスカプチーノの作り方
ミックスアイスカプチーノの作り方
衣服から脂っこい汚れを取り除く方法
衣服から脂っこい汚れを取り除く方法
2日間の旅行のために梱包する方法
2日間の旅行のために梱包する方法
女の子をふざけてからかう方法
女の子をふざけてからかう方法