3 วิธีในการแฮ็กฐานข้อมูล (ฐานข้อมูล)

สารบัญ:

3 วิธีในการแฮ็กฐานข้อมูล (ฐานข้อมูล)
3 วิธีในการแฮ็กฐานข้อมูล (ฐานข้อมูล)

วีดีโอ: 3 วิธีในการแฮ็กฐานข้อมูล (ฐานข้อมูล)

วีดีโอ: 3 วิธีในการแฮ็กฐานข้อมูล (ฐานข้อมูล)
วีดีโอ: ปรับขนาด ตัวอักษร iphone ipad เพิ่ม ขนาดตัวหนังสือ ตัวอักษรโตๆ (อัพเดท 2020) l ครูหนึ่งสอนดี 2024, อาจ
Anonim

วิธีที่ดีที่สุดในการตรวจสอบให้แน่ใจว่าฐานข้อมูลของคุณปลอดภัยจากการโจมตีของแฮ็กเกอร์คือการคิดแบบแฮ็กเกอร์ หากคุณเป็นแฮ็กเกอร์ คุณกำลังมองหาข้อมูลประเภทใด? จะรับข้อมูลนั้นได้อย่างไร มีฐานข้อมูลหลายประเภทและวิธีแฮ็คที่แตกต่างกัน แต่แฮกเกอร์ส่วนใหญ่จะพยายามค้นหารหัสผ่านรูทหรือเรียกใช้การหาประโยชน์จากฐานข้อมูลที่รู้จัก คุณสามารถแฮ็กฐานข้อมูลได้หากคุณคุ้นเคยกับคำสั่ง SQL และเข้าใจพื้นฐานของฐานข้อมูล

ขั้นตอน

วิธีที่ 1 จาก 3: การใช้ SQL Injection

แฮ็คฐานข้อมูล ขั้นตอนที่ 1
แฮ็คฐานข้อมูล ขั้นตอนที่ 1

ขั้นตอนที่ 1 ค้นหาช่องโหว่ของฐานข้อมูล

คุณต้องเข้าใจคำสั่งฐานข้อมูลจึงจะสามารถใช้วิธีนี้ได้ ไปที่หน้าจอเข้าสู่ระบบเว็บฐานข้อมูลในเว็บเบราว์เซอร์ของคุณและพิมพ์ ' (เครื่องหมายคำพูดเดียว) ลงในช่องชื่อผู้ใช้ คลิก “เข้าสู่ระบบ” หากคุณเห็นข้อความแสดงข้อผิดพลาดที่ระบุว่า "ข้อยกเว้นของ SQL: สตริงที่ยกมาไม่ถูกต้องยุติ" หรือ "อักขระที่ไม่ถูกต้อง" แสดงว่าฐานข้อมูลมีความเสี่ยงต่อ SQL

แฮ็คฐานข้อมูล ขั้นตอนที่2
แฮ็คฐานข้อมูล ขั้นตอนที่2

ขั้นตอนที่ 2 ค้นหาจำนวนคอลัมน์

กลับไปที่หน้าเข้าสู่ระบบฐานข้อมูล (หรือ URL อื่นๆ ที่ลงท้ายด้วย “id=” หรือ “catid=”) และคลิกที่ช่องที่อยู่ของเบราว์เซอร์ ที่ส่วนท้ายของ URL ให้กดแป้นเว้นวรรคแล้วพิมพ์

สั่งซื้อโดย1

จากนั้นกด Enter เพิ่มตัวเลขเป็น 2 แล้วกด Enter เพิ่มหมายเลขต่อไปจนกว่าคุณจะได้รับข้อความแสดงข้อผิดพลาด หมายเลขคอลัมน์จริง ๆ แล้วเป็นตัวเลขที่ป้อนก่อนหมายเลขที่สร้างข้อความแสดงข้อผิดพลาด

แฮ็คฐานข้อมูล ขั้นตอนที่ 3
แฮ็คฐานข้อมูล ขั้นตอนที่ 3

ขั้นตอนที่ 3 ค้นหาคอลัมน์ที่ยอมรับคำขอ (query)

ที่ส่วนท้ายของ URL ในกล่องที่อยู่เบราว์เซอร์ ให้เปลี่ยน

catid=1

หรือ

id=1

กลายเป็น

catid=-1

หรือ

id=-1

. กดแป้นเว้นวรรคแล้วพิมพ์

ยูเนี่ยนเลือก 1, 2, 3, 4, 5, 6

(ถ้ามี 6 คอลัมน์) ตัวเลขต้องเรียงตามจำนวนคอลัมน์ทั้งหมด และแต่ละหมายเลขคั่นด้วยเครื่องหมายจุลภาค กด Enter แล้วคุณจะเห็นตัวเลขของแต่ละคอลัมน์ที่รับใบสมัคร

แฮ็คฐานข้อมูล ขั้นตอนที่4
แฮ็คฐานข้อมูล ขั้นตอนที่4

ขั้นตอนที่ 4 แทรกคำสั่ง SQL ลงในคอลัมน์

ตัวอย่างเช่น หากคุณต้องการทราบว่าใครคือผู้ใช้ปัจจุบันและใส่การแทรกลงในคอลัมน์ 2 ให้ลบข้อความทั้งหมดใน URL หลัง id=1 แล้วกดแป้นเว้นวรรค หลังจากนั้นติ๊ก

ยูเนี่ยนเลือก 1, concat (ผู้ใช้ ()), 3, 4, 5, 6--

. กด Enter แล้วคุณจะเห็นชื่อผู้ใช้ฐานข้อมูลปัจจุบันบนหน้าจอ ใช้คำสั่ง SQL ที่ต้องการเพื่อส่งคืนข้อมูล เช่น รายการชื่อผู้ใช้และรหัสผ่านที่จะแฮ็ก

วิธีที่ 2 จาก 3: การแฮ็กรหัสผ่านรูทฐานข้อมูล

แฮ็คฐานข้อมูล ขั้นตอนที่ 5
แฮ็คฐานข้อมูล ขั้นตอนที่ 5

ขั้นตอนที่ 1 ลองเข้าสู่ระบบในฐานะรูทด้วยรหัสผ่านเริ่มต้น (ค่าเริ่มต้น)

ฐานข้อมูลบางแห่งไม่มีรหัสผ่านรูท (ผู้ดูแลระบบ) เริ่มต้น ดังนั้นคุณอาจล้างกล่องรหัสผ่านได้ ฐานข้อมูลบางแห่งมีรหัสผ่านเริ่มต้นที่สามารถรับได้ง่ายโดยการค้นหาฟอรัมบริการความช่วยเหลือด้านเทคนิคของฐานข้อมูล

แฮ็คฐานข้อมูล ขั้นตอนที่6
แฮ็คฐานข้อมูล ขั้นตอนที่6

ขั้นตอนที่ 2 ลองใช้รหัสผ่านที่ใช้กันทั่วไป

หากผู้ดูแลระบบล็อกบัญชีด้วยรหัสผ่าน (เป็นไปได้มาก) ให้ลองใช้ชื่อผู้ใช้/รหัสผ่านร่วมกัน แฮ็กเกอร์บางคนโพสต์รายการรหัสผ่านสู่สาธารณะ ซึ่งแฮ็คโดยใช้เครื่องมือตรวจสอบ ลองใช้ชื่อผู้ใช้และรหัสผ่านที่แตกต่างกัน

  • ไซต์ที่เชื่อถือได้ซึ่งมีรายการรหัสผ่านที่เกี่ยวข้องคือ
  • การลองใช้รหัสผ่านครั้งละหนึ่งรหัสอาจใช้เวลาสักครู่ แต่ก็คุ้มค่าที่จะลองใช้ก่อนที่จะใช้วิธีที่รุนแรงกว่านี้
แฮ็คฐานข้อมูล ขั้นตอนที่7
แฮ็คฐานข้อมูล ขั้นตอนที่7

ขั้นตอนที่ 3 ใช้เครื่องมือตรวจสอบ

คุณสามารถใช้อุปกรณ์ต่างๆ เพื่อลองผสมคำนับพันคำในพจนานุกรมและใช้ตัวอักษร/ตัวเลข/สัญลักษณ์ดุร้ายได้จนกว่ารหัสผ่านจะแตก

  • เครื่องมือต่างๆ เช่น DBPwAudit (สำหรับ Oracle, MySQL, MS-SQL และ DB2) และ Access Passview (สำหรับ MS Access) เป็นเครื่องมือตรวจสอบรหัสผ่านยอดนิยมและสามารถใช้ได้กับฐานข้อมูลส่วนใหญ่ คุณยังสามารถค้นหาเครื่องมือตรวจสอบรหัสผ่านล่าสุดเฉพาะสำหรับฐานข้อมูลของคุณผ่านทาง Google เช่น ลองค้นหา

    เครื่องมือตรวจสอบรหัสผ่าน oracle db
  • หากคุณต้องการแฮ็คฐานข้อมูล Oracle
  • หากคุณมีบัญชีบนเซิร์ฟเวอร์ที่โฮสต์ฐานข้อมูล คุณสามารถเรียกใช้โปรแกรมแฮชแคร็กเกอร์ เช่น John the Ripper ในไฟล์รหัสผ่านของฐานข้อมูล ตำแหน่งของไฟล์แฮชขึ้นอยู่กับฐานข้อมูลที่เกี่ยวข้อง
  • ดาวน์โหลดโปรแกรมจากเว็บไซต์ที่เชื่อถือได้เท่านั้น ศึกษาอุปกรณ์อย่างรอบคอบก่อนใช้งาน

วิธีที่ 3 จาก 3: การเรียกใช้ฐานข้อมูล Exploit

แฮ็คฐานข้อมูล ขั้นตอนที่8
แฮ็คฐานข้อมูล ขั้นตอนที่8

ขั้นตอนที่ 1 ค้นหาช่องโหว่ที่จะเรียกใช้

Secttools.org ได้จัดทำเอกสารเกี่ยวกับเครื่องมือรักษาความปลอดภัย (รวมถึงช่องโหว่) มานานกว่า 10 ปี เครื่องมือเหล่านี้มักได้รับความไว้วางใจและใช้กันอย่างแพร่หลายโดยผู้ดูแลระบบทั่วโลกสำหรับการทดสอบระบบความปลอดภัย ดูฐานข้อมูล "การเอารัดเอาเปรียบ" บนไซต์นี้หรือไซต์ที่เชื่อถือได้อื่น ๆ สำหรับเครื่องมือหรือไฟล์ข้อความอื่น ๆ ที่ช่วยให้คุณใช้ประโยชน์จากจุดอ่อนในระบบความปลอดภัยของฐานข้อมูล

  • เว็บไซต์อื่นที่หาประโยชน์จากเอกสารคือ www.exploit-db.com เยี่ยมชมไซต์และคลิกลิงก์ค้นหา จากนั้นค้นหาประเภทฐานข้อมูลที่คุณต้องการแฮ็ก (เช่น “oracle”) พิมพ์รหัส Captcha ในช่องที่กำหนดและทำการค้นหา
  • ตรวจสอบให้แน่ใจว่าคุณได้ค้นคว้าหาช่องโหว่ที่คุณต้องการพยายามหาวิธีแก้ไขปัญหาที่อาจเกิดขึ้น
แฮ็คฐานข้อมูล ขั้นตอนที่9
แฮ็คฐานข้อมูล ขั้นตอนที่9

ขั้นตอนที่ 2 ค้นหาเครือข่ายที่มีช่องโหว่โดยใช้ Wardriving

Wardriving กำลังขับรถ (หรือขี่จักรยานหรือเดิน) รอบ ๆ พื้นที่ขณะเรียกใช้เครื่องมือสแกนเครือข่าย (เช่น NetStumbler หรือ Kismet) เพื่อค้นหาเครือข่ายที่มีความปลอดภัยต่ำ วิธีนี้ผิดกฎหมายทางเทคนิค

แฮ็คฐานข้อมูล ขั้นตอน 10
แฮ็คฐานข้อมูล ขั้นตอน 10

ขั้นตอนที่ 3 ใช้การใช้ประโยชน์จากฐานข้อมูลจากเครือข่ายความปลอดภัยที่อ่อนแอ

หากคุณกำลังทำสิ่งที่ไม่ควรทำ ทางที่ดีอย่าทำจากเครือข่ายส่วนตัวของคุณ ใช้เครือข่ายไร้สายแบบเปิดที่พบขณะดูแลและเรียกใช้ช่องโหว่ที่ได้รับการวิจัยและเลือก

เคล็ดลับ

  • เก็บข้อมูลสำคัญไว้เบื้องหลังไฟร์วอลล์เสมอ
  • ตรวจสอบให้แน่ใจว่าคุณปกป้องเครือข่ายไร้สายด้วยรหัสผ่าน เพื่อให้ wardriver ไม่สามารถใช้เครือข่ายในบ้านของคุณเพื่อเรียกใช้ช่องโหว่
  • ขอคำแนะนำจากแฮกเกอร์คนอื่นๆ บางครั้ง วิทยาศาสตร์การแฮ็กที่ดีที่สุดไม่ได้เผยแพร่บนอินเทอร์เน็ต

คำเตือน

  • ทำความเข้าใจกฎหมายและผลที่ตามมาของการแฮ็กในประเทศของคุณ
  • อย่าพยายามเข้าถึงเครื่องอย่างผิดกฎหมายจากเครือข่ายของคุณเอง
  • การเข้าถึงฐานข้อมูลที่ไม่ใช่ของคุณถือเป็นสิ่งผิดกฎหมาย