Comment pirater une base de données

Auteur: Gregory Harris
Date De Création: 11 Avril 2021
Date De Mise À Jour: 1 Juillet 2024
Anonim
Clash of Clans Real Hack | All Cheaters Exposed Completely 2017 | Must Watch !!!
Vidéo: Clash of Clans Real Hack | All Cheaters Exposed Completely 2017 | Must Watch !!!

Contenu

Pour protéger votre base de données contre les pirates, vous devez penser comme un pirate. Si vous étiez un hacker, quelles informations chercheriez-vous ? Comment l'obtiendriez-vous ? Il existe de nombreux types de bases de données et de nombreuses façons de les pirater. Souvent, les pirates tentent de déchiffrer le mot de passe root ou d'utiliser un exploit. Si vous êtes familiarisé avec les instructions SQL et les concepts de base de base de données, essayez de déchiffrer l'un d'entre eux.

Pas

Méthode 1 sur 3: Injection SQL

  1. 1 Découvrez si la base de données présente des vulnérabilités. Pour cette méthode, vous devez comprendre les opérateurs de base de données. Lancez votre navigateur et ouvrez l'interface de la page de connexion à la base de données. Saisissez ensuite « (une citation) dans le champ du nom d'utilisateur. Cliquez sur Se connecter. Si vous recevez l'erreur « SQL Exception : Quoted String Not Completed Incorrectly » ou « Invalid Character », la base de données est vulnérable à l'injection SQL.
  2. 2 Trouvez le nombre de colonnes. Retournez à la page de connexion à la base de données (ou à toute autre adresse se terminant par "id =" ou "catid =") et cliquez sur la barre d'adresse. Appuyez sur l'espace après l'adresse et entrez l'ordre par 1, puis appuyez sur Entrez... Augmentez le nombre à 2 et appuyez sur Entrez... Continuez à augmenter l'ordre jusqu'à ce que l'erreur apparaisse. Le nombre que vous avez entré avant le nombre mal orthographié sera le nombre réel de colonnes.
  3. 3 Découvrez quels messages acceptent les requêtes de recherche. Trouvez la barre d'adresse et changez la fin de l'adresse de catid = 1 ou id = 1 en catid = -1 ou id = -1. Appuyez sur espace et tapez union sélectionnez 1,2,3,4,5,6 (s'il y a 6 colonnes).Le nombre doit atteindre le nombre total de colonnes, chaque chiffre étant séparé par une virgule. Cliquer sur Entrez et vous verrez les numéros de toutes les colonnes qui acceptent les requêtes.
  4. 4 Entrez les instructions SQL dans la colonne. Par exemple, si vous souhaitez connaître le nom de l'utilisateur actuel et intégrer le code dans la colonne 2, effacez tout après id = 1 dans la barre d'adresse et appuyez sur la barre d'espace. Tapez ensuite union select 1, concat (user ()), 3,4,5,6--. Cliquer sur Entrez et l'écran affichera le nom de l'utilisateur actuel de la base de données. Entrez diverses instructions SQL pour afficher diverses informations, telles qu'une liste de noms d'utilisateur et de mots de passe à déchiffrer.

Méthode 2 sur 3: Craquer le mot de passe racine

  1. 1 Essayez de vous connecter en tant que superutilisateur en utilisant le mot de passe par défaut. Certaines bases de données n'ont pas de mot de passe de superutilisateur (admin) par défaut, essayez donc de vous connecter avec le mot de passe vide. D'autres bases de données ont un mot de passe par défaut, qui peut être facilement trouvé sur le forum de support technique.
  2. 2 Essayez des mots de passe courants. Si l'administrateur a protégé le compte par mot de passe (ce qui est très probable), essayez d'utiliser des combinaisons courantes de nom d'utilisateur et de mot de passe. Certains pirates publient publiquement des listes de mots de passe piratés et utilisent des programmes de craquage spéciaux. Essayez différentes combinaisons de nom d'utilisateur et de mot de passe.
    • Vous pouvez trouver votre collection de mots de passe sur ce site de confiance : https://github.com/danielmiessler/SecLists/tree/master/Passwords.
    • La saisie manuelle des mots de passe peut prendre beaucoup de temps, mais tentez quand même votre chance, et ce n'est qu'ensuite que vous passerez à l'artillerie lourde.
  3. 3 Utilisez un programme de craquage de mot de passe. Utilisez divers programmes et essayez de déchiffrer votre mot de passe en saisissant des milliers de mots et des combinaisons de lettres, de chiffres et de symboles.
    • Les programmes de craquage de mots de passe populaires sont : DBPwAudit (pour Oracle, MySQL, MS-SQL et DB2) et Access Passview (pour MS Access). Avec leur aide, vous pouvez déchiffrer le mot de passe de nombreuses bases de données. Vous pouvez également trouver un programme de jailbreak spécialement conçu pour votre base de données sur Google. Par exemple, saisissez oracle db hack program dans la zone de recherche si vous souhaitez pirater une base de données Oracle.
    • Si vous avez un compte sur le serveur qui héberge la base de données, exécutez un programme de craquage de hachage (comme John the Ripper) et essayez de déchiffrer le fichier de mot de passe. Le fichier de hachage se trouve à différents endroits dans différentes bases de données.
    • Téléchargez des programmes uniquement à partir de sites de confiance. Étudiez attentivement les programmes avant de les utiliser.

Méthode 3 sur 3: Défauts de la base de données

  1. 1 Trouvez l'exploit. Sectools.org a compilé une liste de diverses défenses (y compris les exploits) depuis maintenant dix ans. Leurs programmes ont une bonne réputation et sont utilisés par les administrateurs système pour protéger leurs systèmes dans le monde entier. Ouvrez leur liste d'exploits (ou trouvez-les sur un autre site de confiance) et recherchez des programmes ou des fichiers texte qui peuvent pénétrer dans les bases de données.
    • Un autre site avec une liste d'exploits est www.exploit-db.com. Rendez-vous sur leur site Web et cliquez sur le lien « Rechercher », puis recherchez la base de données que vous souhaitez pirater (par exemple, « oracle »). Entrez le captcha dans le champ approprié et cliquez sur le bouton de recherche.
    • Assurez-vous de rechercher tous les exploits que vous avez l'intention de tester afin de savoir quoi faire en cas de problème.
  2. 2 Trouvez le réseau vulnérable par wardriving. Wardriving consiste à conduire (à vélo ou à pied) dans une zone avec un logiciel de numérisation de réseau activé (comme NetStumbler ou Kismet) pour rechercher des réseaux non sécurisés. Techniquement, le wardriving est légal, mais les activités illégales du net que vous avez trouvées par wardriving ne le sont pas.
  3. 3 Profitez d'un trou dans la base de données d'un réseau vulnérable. Si vous faites quelque chose que vous ne devriez pas faire, restez en dehors de votre site Web. Connectez-vous via une connexion sans fil à l'un des réseaux ouverts que vous avez trouvés par wardriving et lancez l'exploit sélectionné.

Conseils

  • Conservez toujours les données importantes derrière un pare-feu.
  • Assurez-vous de protéger votre réseau sans fil par mot de passe pour empêcher les wardrivers d'utiliser votre réseau domestique pour lancer des exploits.
  • Trouvez d'autres pirates et demandez-leur des conseils.Parfois, les connaissances les plus utiles sur le travail des pirates ne peuvent pas être trouvées dans le domaine public.

Avertissements

  • Renseignez-vous sur les lois et les conséquences du piratage dans votre pays.
  • N'essayez jamais d'accéder illégalement à un appareil à partir de votre réseau.
  • Se connecter à la base de données de quelqu'un d'autre est illégal.

Articles Pour Vous

Créez un menu déroulant avec HTML et CSS
Créez un menu déroulant avec HTML et CSS
Réinitialisez votre ordinateur portable Gateway
Réinitialisez votre ordinateur portable Gateway
Tuez une mouche rapidement
Tuez une mouche rapidement
Écrivez une lettre pour demander un congé
Écrivez une lettre pour demander un congé