Hoe u SQL-databasewachtwoorden van websites kunt hacken (Gids voor 2021)

Bijgewerkt Januari 2023: Krijg geen foutmeldingen meer en vertraag je systeem met onze optimalisatietool. Haal het nu op - > deze link

  1. Download en installeer de reparatietool hier.
  2. Laat het uw computer scannen.
  3. De tool zal dan repareer je computer.

Hoe u SQL-database-wachtwoorden op websites kunt hacken (Handleiding voor 2021)

In deze zelfstudie over hacken geven we u informatie over het hacken van SQL-databases . U zult leren hoe u een SQL Database-wachtwoord hackt . De database bevat de belangrijkste en meest waardevolle informatie voor de hackers, waaronder persoonlijk geïdentificeerde informatie, creditcardnummers, intellectueel eigendom en nog veel meer. Databasehacking is dus het uiteindelijke doel van APT-hackers en cybercriminaliteit.

We zullen zien hoe we een wachtwoord kunnen kraken op het systeembeheerdersaccount in de database. Installeer vervolgens een meterpreter-payload door de opgeslagen procedure xp_cmdshell aan te roepen en vervolgens HAVOC op hun systeem aan te brengen.

Enkele basisprincipes die u moet weten

Om veel te worden bekwaam in de markt, moet u begrijpen hoe de technologie die u probeert te exploiteren, werkt. De meest gebruikte en gemakkelijkste methode die tegenwoordig wordt gebruikt, is de SQL-injectie. U moet SQL goed onder de knie hebben als u wilt begrijpen hoe deze aanval werkt.

Wat is een SQL-injectieaanval?

SQL die staat voor Structured Query Language is een taal die wordt gebruikt voor het manipuleren en ophalen van gegevens in een relationeel databasebeheersysteem (RDBMS). U moet weten dat gegevens worden geopend door het gebruik van zoekopdrachten waarmee informatie kan worden gemaakt, gelezen, bijgewerkt en ook verwijderd. Om deze reden zult u een applicatie zien die CRUD-applicaties wordt genoemd.

Belangrijke opmerkingen:

U kunt nu pc-problemen voorkomen door dit hulpmiddel te gebruiken, zoals bescherming tegen bestandsverlies en malware. Bovendien is het een geweldige manier om uw computer te optimaliseren voor maximale prestaties. Het programma herstelt veelvoorkomende fouten die kunnen optreden op Windows-systemen met gemak - geen noodzaak voor uren van troubleshooting wanneer u de perfecte oplossing binnen handbereik hebt:

  • Stap 1: Downloaden PC Reparatie & Optimalisatie Tool (Windows 11, 10, 8, 7, XP, Vista - Microsoft Gold Certified).
  • Stap 2: Klik op "Start Scan" om problemen in het Windows register op te sporen die PC problemen zouden kunnen veroorzaken.
  • Stap 3: Klik op "Repair All" om alle problemen op te lossen.

hier

Databases zijn op veel manieren nuttig; de meest gebruikelijke configuratie is de database die als w-backend naar een webtoepassing dient. Wanneer bepaalde acties zoals inloggen of zoeken worden uitgevoerd, worden de queries vanuit de webapplicatie naar de database gestuurd.

Wanneer de invoervelden niet correct zijn opgeschoond of ontsnapt, is de injectie toegestaan. De aanvaller kan de kwaadaardige SQL-opdrachten invoeren om toegang te krijgen tot gegevens die anders misschien niet zichtbaar zijn. De SQL-injectie heeft een aanzienlijke impact omdat het de aanvallers in staat stelt gevoelige informatie te verkrijgen, gegevens te vernietigen, met gegevens te knoeien, rechten te escaleren en ook opdrachten aan de server te geven.

LEZEN :  Hoe PS5 bevroren en opgehangen opnieuw te starten | Forceer afsluiten en herstart PS5

Over het algemeen is elke invoer die er is is dat een webpagina potentieel kwetsbaar is voor de SQL-injectie omdat deze hier interageert met de database. De authenticatieformulieren waarbij de gebruiker inlogt met zijn gebruikersnaam en een wachtwoord zijn de meest voorkomende inputs die worden misbruikt. De mogelijke doelen voor injectie zijn de zoekformulieren, contactformulieren en het uploaden van bestanden.

Anatomie van een database

De gegevens die worden opgeslagen in een relationele database wordt opgeslagen in tabellen. De tabellen vertegenwoordigen relaties tussen verschillende elementen die uit rijen en kolommen bestaan. Rijen worden records genoemd en bevatten gegevens voor elk item in de database. Velden zijn de kolommen van de tabel en ze vertegenwoordigen een specifiek stuk informatie voor elk afzonderlijk record.

Gegevenstypen en operatoren

De gegevens begrijpen waarmee we gaan werken, we moeten de verschillende soorten gegevens kennen die in SQL worden gebruikt. De exacte gegevenstypen variëren tussen verschillende databasesystemen, maar in de meeste gevallen zijn ze vergelijkbaar met wat ze zijn. Ze zijn meestal gecategoriseerd op tekst, nummer en datum. De operators stellen ons in staat om te communiceren met en te manipuleren met gegevens in SQL.s

Er zijn vijf hoofdcategorieën van operators. Deze zijn als volgt:

  1. Rekenkundig
  2. Bitsgewijs
  3. Vergelijking
  4. Samengesteld
  5. Logisch

Hoe een database met SQL te hacken-SQL Server-wachtwoorden kraken 2021

Start Metasploit en selecteer module

In de eerste stap gaan we beginnen met Metasploit. Als we de prompt van de Metasploit-opdracht krijgen, moeten we definiëren welk type module we willen gebruiken. Metasploit maakt ook gebruik van exploits, maar hier zullen we een scanner gebruiken onder de hulpmodule die ons helpt om het wachtwoord van het systeemaccount bruut te forceren. Om de MySQL-login te laden:

Gebruik scanner/MySQL/mssql_login

Hier kun je zien dat Metasploit reageert en ons laat weten dat we de hulpmodus met succes hebben geladen. Laten we nu eens kijken welke opties we krijgen met deze module.

LEZEN :  Video's downloaden van elke website in Chrome of Firefox (2021)

Om de MS SQL-login uit te voeren, hebt u het volgende nodig:

  • Een wachtwoordbestand
  • U moet de RHOSTS instellen
  • Bepaal het aantal threads dat u wilt uitvoeren

De backtrack heeft een woordenlijst die speciaal is gebouwd voor de MS SQL wachtwoordaanval met meer dan 57 duizend veelgebruikte SQL-wachtwoorden. Je kunt ze vinden op/pentest/exploits/fasttrack/bin/wordlist.txt.

In ons geval, aangezien ons doel is ingesteld op 192.168.1.103, zullen we de thread op 20 zetten.

Stap 3-u moet de databankwachtwoorden brute forceren

In de derde stap hoeft u alleen maar exploit te typen, en het zal de lijst doorlopen totdat het het wachtwoord voor het systeem vindt beheerdersaccount

Het testen van 57 duizend wachtwoorden kost tijd, dus voor dit doel is geduld vereist. Het wachtwoord vindt u op ons systeembeheerdersaccount van Secured You. Welnu, dit wordt succesvol: D. Nu hoeven we alleen maar volledige sysadmin-privileges op de database te hebben en hopen te verhullen om sysadmin-privileges te voltooien.

Grijp xp_cmdshell

Voorlopig hebben we de volledige sysadmin op de MS SQL-database, dus we gaan ervoor zorgen dat dit volledige sysadmin-privileges krijgt. Een opgeslagen procedure is dat er de MS SQL-server is die wordt genoemd als de xp_cmdshell waarmee het systeembeheerdersaccount een systeemopdracht krijgt met volledige systeembeheerdersrechten. Als we die specifieke opdrachtshell kunnen aanroepen, kunnen we mogelijk de payload van onze eigen keuze op het systeem laden en ook eigenaar zijn van dat systeem.

De Metasploit heeft een exploit-module die wordt genoemd als windows/mssqlpayload die dit probeert. Eenmaal geladen, doet het het volgende:

Nu gaan we de opties voor deze exploit bekijken. Hiervoor gaan we de meterpreter op het systeem opladen.

LEZEN :  Hoe PUBG Mobile op Linux te spelen (UbuntuKali LinuxCentOS)

De Payload instellen

Nu gaan we de LJOST, de LPORT , en de RHOST en ook het wachtwoord dat we van bovenaf hebben hersteld van de systeemaccountbeheerder. In dit geval de null-byte.

Nu gaan we exploit typen en wachten op de meterpreter-prompt

Alsjeblieft, we hebben met succes een meter-preter-sessie.

Je hebt toegang tot de gehackte database

Allemaal dankzij de xp_cmdshell opgeslagen procedure hebben we nu de meterpreter op dit systeem. Nu kunnen we grote schade aanrichten op het netwerk. U moet er eerst een paar proberen.

Allereerst moet u de microfoon aanzetten en vervolgens luisteren naar alle gesprekken met de systeembeheerder en naar iemand anders in de kamer. U kunt hieraan denken terwijl u een bug uit een van de oude films in de kamer installeert. Gebruik hiervoor

Meterpreter \u0026 gt; run sound_recorder –I 100 –l/etc

Dit zal 100 audio-segmenten van 30 seconden bevatten of 50 minuten. U kunt het vervolgens opslaan in het bestand/etc. Directory. We kunnen zoveel audio opnemen als we willen, maar we worden alleen beperkt door de ruimte op de harde schijf.

Wachtwoordhash verkrijgen

Nu moeten we zeker weten wachtwoord zodat we kunnen inloggen wanneer we maar willen, maar onthoud dat zodra we het admin-wachtwoord hebben, we op elk moment kunnen inloggen met Metasploit psexec exploit. Gebruik hiervoor meterpreter> hash dump

Aangezien we in staat waren om de wachtwoord-hashes van het systeem te halen, moeten we ofwel:

  • de hashes kraken met Kaïn en Abel of John The Ripper
  • Je kunt ook Hashcat gebruiken

Over naar jou

We hebben voor je gemarkeerd met betrekking tot hoe u databases kunt hacken en SQL-wachtwoorden kunt kraken . We hebben de essentiële hacks besproken die elke hacker moet kennen om in aanmerking te komen in de hackwereld. Deze gids zal je ook helpen om een websitedatabase te hacken met behulp van Kali Linux.

AANBEVOLEN: Klik hier om Windows-fouten op te lossen en de systeemprestaties te optimaliseren

adminguides

Windows 7 opstartbare USB maken van ISODVD (2021)

Windows 10 Store opnieuw installerenrepareren met PowerShell (2021)

Windows 10 SSH inschakelen via de opdrachtregelopdrachtprompt

Windows 10 repareren Geen geluid of audioservices werken niet

Windows 10 gratis activeren met CMD 2021 (zonder sleutel)

WiFi verbonden maar geen oplossing voor internettoegang voor Windows 10 (2021-oplossing)

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *