डेटाबेस को हैक कैसे करें

वीडियो: SQL इंजेक्शन - उपयोगकर्ताओं से भरे डेटाबेस को हैक करना #linux #hacking

विषय

कदम
विधि 1 में से 3: SQL इंजेक्शन
विधि २ का ३: रूट पासवर्ड को क्रैक करना
विधि 3 में से 3: डेटाबेस की खामियां
टिप्स
चेतावनी

अपने डेटाबेस को हैकर्स से बचाने के लिए आपको हैकर की तरह सोचने की जरूरत है। यदि आप एक हैकर होते, तो आप किस जानकारी की तलाश में होते? आप इसे कैसे प्राप्त करेंगे? डेटाबेस के कई अलग-अलग प्रकार हैं और उन्हें हैक करने के कई तरीके हैं। अक्सर, हैकर्स रूट पासवर्ड को क्रैक करने या शोषण का उपयोग करने का प्रयास करते हैं। यदि आप SQL कथनों और मूल डेटाबेस अवधारणाओं से परिचित हैं, तो उनमें से किसी एक को क्रैक करने का प्रयास करें।

कदम

विधि 1 में से 3: SQL इंजेक्शन

1 पता करें कि क्या डेटाबेस में कमजोरियां हैं। इस पद्धति के लिए, आपको डेटाबेस ऑपरेटरों को समझने की आवश्यकता है। अपना ब्राउज़र लॉन्च करें और डेटाबेस लॉगिन पेज इंटरफ़ेस खोलें। फिर उपयोगकर्ता नाम फ़ील्ड में '(एक उद्धरण) दर्ज करें। साइन इन पर क्लिक करें। यदि आपको "SQL अपवाद: उद्धृत स्ट्रिंग गलत तरीके से पूर्ण नहीं हुई" या "अमान्य वर्ण" त्रुटि प्राप्त होती है, तो डेटाबेस SQL इंजेक्शन के लिए असुरक्षित है।
2 स्तंभों की संख्या ज्ञात कीजिए। डेटाबेस लॉगिन पेज पर वापस जाएं (या कोई अन्य पता जो "id =" या "catid =" के साथ समाप्त होता है) और एड्रेस बार पर क्लिक करें। पते के बाद के स्थान को दबाएं और 1 से आदेश दर्ज करें, फिर दबाएं दर्ज करें... संख्या को 2 तक बढ़ाएँ और दबाएँ दर्ज करें... त्रुटि प्रकट होने तक क्रम को बढ़ाते रहें। गलत वर्तनी वाली संख्या से पहले आपके द्वारा दर्ज की गई संख्या स्तंभों की वास्तविक संख्या होगी।
3 पता लगाएं कि कौन सी पोस्ट खोज क्वेरी स्वीकार कर रही हैं। पता बार ढूंढें और पते के अंत को कैटिड = 1 या आईडी = 1 से कैटिड = -1 या आईडी = -1 में बदलें। प्रेस स्पेस और टाइप करें यूनियन 1,2,3,4,5,6 चुनें (यदि 6 कॉलम हैं)।गणना कॉलम की कुल संख्या तक होनी चाहिए, जिसमें प्रत्येक अंक अल्पविराम से अलग हो। पर क्लिक करें दर्ज करें और आप उन सभी स्तंभों की संख्या देखेंगे जो प्रश्नों को स्वीकार कर रहे हैं।
4 कॉलम में SQL स्टेटमेंट दर्ज करें। उदाहरण के लिए, यदि आप वर्तमान उपयोगकर्ता का नाम जानना चाहते हैं और कोड को कॉलम 2 में एम्बेड करना चाहते हैं, तो एड्रेस बार में id = 1 के बाद सब कुछ मिटा दें और स्पेस बार दबाएं। फिर यूनियन सेलेक्ट 1, कॉनकैट (यूजर ()), 3,4,5,6-- टाइप करें। पर क्लिक करें दर्ज करें और स्क्रीन वर्तमान डेटाबेस उपयोगकर्ता का नाम प्रदर्शित करेगी। विभिन्न सूचनाओं को प्रदर्शित करने के लिए विभिन्न SQL कथन दर्ज करें, जैसे उपयोगकर्ता नाम और पासवर्ड को क्रैक करने की सूची।

विधि २ का ३: रूट पासवर्ड को क्रैक करना

1 डिफ़ॉल्ट पासवर्ड का उपयोग करके सुपरयुसर के रूप में लॉग इन करने का प्रयास करें। कुछ डेटाबेस में डिफ़ॉल्ट सुपरयूज़र (व्यवस्थापक) पासवर्ड नहीं होता है, इसलिए रिक्त पासवर्ड के साथ लॉग इन करने का प्रयास करें। अन्य डेटाबेस में एक डिफ़ॉल्ट पासवर्ड होता है, जिसे तकनीकी सहायता फ़ोरम पर आसानी से पाया जा सकता है।
2 सामान्य पासवर्ड आज़माएं। यदि व्यवस्थापक ने खाते को पासवर्ड से सुरक्षित किया है (जिसकी बहुत संभावना है), तो सामान्य उपयोगकर्ता नाम और पासवर्ड संयोजनों का उपयोग करने का प्रयास करें। कुछ हैकर सार्वजनिक रूप से क्रैक किए गए पासवर्ड की सूची पोस्ट करते हैं, और वे विशेष क्रैकिंग प्रोग्राम का उपयोग करते हैं। उपयोगकर्ता नाम और पासवर्ड के विभिन्न संयोजनों का प्रयास करें।
- आप इस विश्वसनीय साइट पर अपने पासवर्ड का संग्रह पा सकते हैं: https://github.com/danielmiessler/SecLists/tree/master/Passwords।
- मैन्युअल रूप से पासवर्ड दर्ज करने में बहुत लंबा समय लग सकता है, लेकिन फिर भी अपनी किस्मत आजमाएं, और उसके बाद ही भारी तोपखाने की ओर बढ़ें।
3 पासवर्ड क्रैकिंग प्रोग्राम का उपयोग करें। विभिन्न कार्यक्रमों का उपयोग करें और हजारों शब्दों और अक्षरों, संख्याओं और प्रतीकों के संयोजन दर्ज करके अपना पासवर्ड क्रैक करने का प्रयास करें।
- लोकप्रिय पासवर्ड क्रैकिंग प्रोग्राम हैं: DBPwAudit (Oracle, MySQL, MS-SQL और DB2 के लिए) और एक्सेस पासव्यू (MS एक्सेस के लिए)। इनकी मदद से आप कई डेटाबेस का पासवर्ड क्रैक कर सकते हैं। आप Google पर अपने डेटाबेस के लिए विशेष रूप से डिज़ाइन किया गया एक जेलब्रेक प्रोग्राम भी पा सकते हैं। उदाहरण के लिए, यदि आप Oracle डेटाबेस को हैक करना चाहते हैं, तो खोज बॉक्स में oracle db हैक प्रोग्राम दर्ज करें।
- यदि आपके पास सर्वर पर एक खाता है जो डेटाबेस को होस्ट करता है, तो हैश-क्रैकिंग प्रोग्राम (जैसे जॉन द रिपर) चलाएं और पासवर्ड फ़ाइल को क्रैक करने का प्रयास करें। हैश फ़ाइल अलग-अलग डेटाबेस में अलग-अलग जगहों पर स्थित होती है।
- केवल विश्वसनीय साइटों से प्रोग्राम डाउनलोड करें। कार्यक्रमों का उपयोग करने से पहले उनका ध्यानपूर्वक अध्ययन करें।

विधि 3 में से 3: डेटाबेस की खामियां

1 शोषण का पता लगाएं। Sectools.org पिछले दस वर्षों से विभिन्न बचावों (कारनामों सहित) की एक सूची तैयार कर रहा है। उनके कार्यक्रमों की अच्छी प्रतिष्ठा है और सिस्टम प्रशासकों द्वारा दुनिया भर में उनके सिस्टम की सुरक्षा के लिए उपयोग किया जाता है। उनकी शोषण सूची खोलें (या उन्हें किसी अन्य विश्वसनीय साइट पर खोजें) और प्रोग्राम या टेक्स्ट फ़ाइलों की तलाश करें जो डेटाबेस में प्रवेश कर सकें।
- शोषण की सूची वाली एक अन्य साइट www.exploit-db.com है। उनकी वेबसाइट पर जाएं और "खोज" लिंक पर क्लिक करें, फिर वह डेटाबेस ढूंढें जिसे आप हैक करना चाहते हैं (उदाहरण के लिए, "ओरेकल")। उपयुक्त क्षेत्र में कैप्चा दर्ज करें और खोज बटन पर क्लिक करें।
- किसी भी कारनामे पर शोध करना सुनिश्चित करें जिसका आप परीक्षण करना चाहते हैं ताकि आप जान सकें कि कोई समस्या होने पर क्या करना है।
2 वार्डड्राइविंग द्वारा कमजोर नेटवर्क का पता लगाएं। वार्डड्राइविंग असुरक्षित नेटवर्क की तलाश के लिए नेटवर्क स्कैनिंग सॉफ़्टवेयर सक्षम (जैसे नेटस्टंबलर या किस्मत) के साथ एक क्षेत्र के आसपास गाड़ी चला रहा है (साइकिल चलाना या चलना)। तकनीकी रूप से, वार्डड्राइविंग कानूनी है, लेकिन नेट से अवैध गतिविधियां जो आपको वार्डिंग द्वारा मिली हैं, वह नहीं है।
3 एक कमजोर नेटवर्क से डेटाबेस छेद का लाभ उठाएं। यदि आप कुछ ऐसा कर रहे हैं जो आपको नहीं करना चाहिए, तो अपने वेब से दूर रहें। वायरलेस कनेक्शन से किसी एक खुले नेटवर्क से कनेक्ट करें जिसे आपने वार्डिंग करके पाया और चयनित शोषण को लॉन्च किया।

टिप्स

महत्वपूर्ण डेटा को हमेशा फ़ायरवॉल के पीछे रखें।
अपने वायरलेस नेटवर्क को पासवर्ड से सुरक्षित रखना सुनिश्चित करें ताकि वार्डड्राइवरों को आपके घरेलू नेटवर्क का उपयोग करके शोषण शुरू करने से रोका जा सके।
अन्य हैकर्स खोजें और उनसे कुछ सुझाव मांगें।कभी-कभी हैकर्स के काम के बारे में सबसे उपयोगी जानकारी सार्वजनिक डोमेन में नहीं मिल पाती है।