Cara meretas basis data

Isi

• tahap
• Metode 1 Gunakan injeksi SQL
• Metode 2 Meretas kata sandi basis data
• Metode 3 Gunakan celah dalam database

Cara terbaik untuk memastikan database Anda terlindungi dari peretas adalah dengan berpikir seperti peretas. Jika Anda seorang, informasi apa yang ingin Anda temukan? Bagaimana Anda menemukan mereka? Ada banyak jenis basis data dan berbagai cara untuk meretasnya, tetapi sebagian besar peretas akan mencoba menemukan kata sandi atau meluncurkan program yang mengeksploitasi titik lemah basis data. Jika Anda merasa nyaman dengan pernyataan SQL dan memiliki pengetahuan dasar tentang cara kerja database, Anda mungkin bisa meretasnya.

tahap

Metode 1 Gunakan injeksi SQL

1. Tanyakan pada diri sendiri apakah databasenya rentan. Anda harus memiliki pengetahuan pajak untuk menggunakan metode ini. Buka halaman login database di browser Anda dan ketik (tanda kutip) di bidang untuk nama pengguna. Klik pada Senregistrer. Jika Anda melihat kesalahan yang mengatakan "Pengecualian SQL: string yang dikutip tidak diakhiri dengan benar" atau "karakter tidak valid", database rentan terhadap injeksi SQL.

2. 
   

   
   Temukan jumlah kolom. Kembali ke halaman login (atau URL apa pun yang berakhir dengan "id =" atau "catid =") dan klik pada bilah alamat browser. Setelah URL, tekan bilah spasi dan ketik PESANAN dengan 1, lalu ketuk masuk. Ubah 1 menjadi 2 dan tekan lagi masuk. Lanjutkan menambah nomor ini sampai Anda mendapatkan kesalahan. Jumlah kolom adalah nomor yang Anda masukkan sebelum yang menyebabkan kesalahan.

3. 
   

   
   
   
   Temukan kolom yang menerima kueri. Di akhir URL di bilah alamat, ubah catid = 1 atau id = 1 dan taruh catid = -1 atau id = -1. Tekan spasi dan ketik PILIHAN UNION 1,2,3,4,5,6 (jika ada enam kolom) Angka yang Anda letakkan di sana harus cocok dengan jumlah kolom dan masing-masing harus dipisahkan dari yang lain dengan koma. Tekan masuk dan Anda akan melihat nomor setiap kolom yang akan menerima kueri.

4. 
   

   
   Suntikkan pernyataan SQL. Misalnya, jika Anda ingin mengetahui pengguna saat ini dan jika Anda ingin membuat suntikan di kolom kedua, Anda harus menghapus semuanya setelah "id = 1" di URL sebelum menekan bilah spasi. Lalu, ketik UNION SELECT 1, CONCAT (user ()), 3,4,5,6--. Tekan masuk dan Anda akan melihat nama pengguna saat ini di layar. Gunakan pernyataan SQL apa pun untuk menampilkan informasi, seperti daftar nama pengguna dan kata sandi untuk diretas.

Metode 2 Meretas kata sandi basis data

1. 
   

   
   
   
   Coba sambungkan ke root. Beberapa database tidak memiliki kata sandi di root default, jadi Anda mungkin memiliki akses ke sana dengan mengosongkan bidang kata sandi. Yang lain memiliki kata sandi standar yang dapat Anda temukan dengan mudah dengan mencari di forum yang sesuai.

2. 
   

   
   Coba kata sandi umum. Jika administrator telah mengamankan basis data dengan kata sandi (yang biasanya merupakan kasus), cobalah kombinasi nama pengguna dan kata sandi. Beberapa peretas memposting daftar kata sandi online yang telah mereka crack menggunakan alat verifikasi. Coba berbagai kombinasi nama pengguna dan kata sandi.
   • Misalnya, https://github.com/danielmiessler/SecLists/tree/master/Passwords adalah situs yang dikenal di mana Anda akan menemukan daftar kata sandi.
   • Anda mungkin akan kehilangan waktu mencoba kata sandi di tangan Anda, tetapi ada baiknya mencoba sebelum Anda keluar dari artileri berat.

3. 
   

   
   Gunakan alat verifikasi kata sandi. Anda dapat menggunakan banyak alat untuk mencoba ribuan kombinasi kata dalam kamus dan huruf, angka, atau simbol untuk memecahkan kata sandi.
   • Beberapa alat seperti DBPwAudit (untuk Oracle, MySQL, MS-SQL dan DB2) dan Access Passview (untuk MS Access) adalah alat terkenal yang dapat Anda gunakan pada sebagian besar basis data. Anda juga dapat mencari di Google untuk menemukan alat baru yang dirancang khusus untuk basis data yang Anda minati. Misalnya, Anda dapat mencari alat audit kata sandi orb db jika Anda meretas basis data Oracle.
   • Jika Anda memiliki akun di server yang meng-host database, Anda dapat menjalankan perangkat lunak peretasan kata sandi seperti John the Ripper untuk menemukannya. Lokasi file hash berbeda tergantung pada database.
   • Hanya unduh perangkat lunak dari situs yang Anda percayai. Teliti alat-alat ini sebelum menggunakannya.

Metode 3 Gunakan celah dalam database

1. 
   

   
   Temukan program yang cocok. Sectools.org adalah seperangkat alat keamanan (termasuk yang menarik minat Anda sekarang) yang telah ada selama lebih dari sepuluh tahun. Alat mereka dikenali dan digunakan oleh administrator di seluruh dunia untuk melakukan pengujian keamanan. Periksa basis data operasi mereka (atau temukan situs serupa yang Anda percayai) untuk alat atau file yang akan membantu Anda menemukan pelanggaran keamanan dalam database.
   • Anda juga dapat mencoba www.exploit-db.com. Buka situs web mereka dan klik tautannya Cari, lalu lakukan pencarian untuk tipe database yang ingin Anda retas (mis. Oracle). Ketikkan kode captcha di bidang yang sesuai dan lakukan pencarian.
   • Teliti program yang ingin Anda gunakan untuk mengetahui apa yang harus dilakukan jika ada masalah.

2. 
   

   
   Temukan jaringan yang rentan wardriving . Wardriving terdiri dari mengemudi (atau berjalan atau bersepeda) di area untuk memindai jaringan Wifi dengan alat (seperti NetStumbler atau Kismet) untuk menemukannya tanpa perlindungan. Secara teknis, itu sepenuhnya legal. Yang tidak sah adalah menggunakan jaringan yang Anda temukan untuk tujuan ilegal.

3. 
   

   
   Gunakan jaringan ini untuk peretasan Anda. Jika Anda ingin melakukan sesuatu yang tidak seharusnya Anda lakukan, akan lebih baik jika Anda melakukannya dari jaringan yang bukan milik Anda. Sambungkan ke jaringan terbuka yang Anda temukan melalui wardriving dan gunakan perangkat lunak peretasan yang telah Anda unduh.

• Selalu simpan data sensitif di balik firewall.
• Pastikan Anda melindungi jaringan nirkabel Anda dengan kata sandi sehingga Anda tidak dapat menggunakan jaringan Anda untuk meretas.
• Temukan peretas lain dan minta mereka tip. Terkadang, teknik peretasan terbaik tidak ditemukan di forum Internet.

• Pahami hukum dan konsekuensi tindakan Anda di negara Anda.
• Jangan pernah mencoba mendapatkan akses ilegal ke mesin dari jaringan Anda sendiri.
• Adalah ilegal memiliki akses ke database yang bukan milik Anda.