Cómo hackear una base de datos

La mejor manera de asegurarse de que su base de datos esté segura de los hackers es pensar como un hacker. Si fueras un hacker, ¿qué tipo de información estarías buscando? ¿Cómo tratarías de conseguirlo? Existen numerosos tipos de bases de datos y muchas formas diferentes de piratearlas, pero la mayoría de los piratas informáticos intentarán descifrar la contraseña raíz de la base de datos o ejecutar un exploit de base de datos conocido. Si se siente cómodo con las declaraciones SQL y comprende los conceptos básicos de la base de datos, puede hackear una base de datos.

Usando una inyección SQL

Usando una inyección SQL
Averigüe si la base de datos es vulnerable. [1] Deberá ser útil con las declaraciones de la base de datos para usar este método. Abra la pantalla de inicio de sesión de la interfaz web de la base de datos en su navegador web y escriba un (comilla simple) en el campo de nombre de usuario. Haga clic en "Iniciar sesión". Si ve un error que dice algo como "Excepción de SQL: la cadena entre comillas no termina correctamente" o "carácter no válido", la base de datos es vulnerable a las inyecciones de SQL.
Usando una inyección SQL
Encuentra la cantidad de columnas. [2] Regrese a la página de inicio de sesión de la base de datos (o cualquier otra URL que termine en "id =" o "catid =") y haga clic en el cuadro de dirección del navegador. Después de la URL, presione la barra espaciadora y escriba , luego golpear . Aumente el número a 2 y presione . Sigue aumentando hasta que obtengas un error. El número real de columnas es el número que ingresó antes del número que le dio el error.
Usando una inyección SQL
Encuentra qué columnas aceptan consultas. Al final de la URL en la barra de direcciones, cambie el o a o . Presiona la barra espaciadora y escribe (si hay 6 columnas). Los números deben contar hasta la cantidad total de columnas, y cada uno debe estar separado por una coma. prensa y verá los números de cada columna que aceptará una consulta.
Usando una inyección SQL
Inyecte sentencias SQL en la columna. Por ejemplo, si desea conocer al usuario actual y desea poner la inyección en la columna 2, borre todo después de id = 1 en la URL y presione la barra espaciadora. Luego, escriba . Golpear y verá el nombre del usuario de la base de datos actual en la pantalla. Use cualquier declaración SQL que le gustaría devolver información, como listas de nombres de usuario y contraseñas para descifrar.

Descifrando la contraseña raíz de la base de datos

Descifrando la contraseña raíz de la base de datos
Intente iniciar sesión como root con la contraseña predeterminada. Algunas bases de datos no tienen una contraseña de administrador (administrador) de manera predeterminada, por lo que es posible que pueda dejar el campo de contraseña vacío. Otros tienen contraseñas predeterminadas que se pueden encontrar fácilmente buscando en foros de soporte técnico de bases de datos.
Descifrando la contraseña raíz de la base de datos
Prueba contraseñas comunes. Si el administrador aseguró la cuenta con una contraseña (una situación probable), intente combinaciones comunes de nombre de usuario / contraseña. Algunos piratas informáticos publican listas de contraseñas que han descifrado al usar herramientas de auditoría. Pruebe algunas combinaciones diferentes de nombre de usuario y contraseña.
  • Un sitio de buena reputación con listas de contraseñas recopiladas es https://github.com/danielmiessler/SecLists/tree/master/Passwords.
  • Probar contraseñas a mano puede llevar mucho tiempo, pero no tiene nada de malo intentarlo antes de sacar las armas grandes.
Descifrando la contraseña raíz de la base de datos
Use una herramienta de auditoría de contraseña. [3] Puede usar una variedad de herramientas para probar miles de palabras de diccionario y combinaciones de letras / números / símbolos por fuerza bruta hasta que se rompa la contraseña.
  • Herramientas como DBPwAudit (para Oracle, MySQL, MS-SQL y DB2) y Access Passview (para MS Access) son herramientas populares de auditoría de contraseñas que se pueden ejecutar en la mayoría de las bases de datos. [4] X Fuente de investigación También puede buscar en Google nuevas herramientas de auditoría de contraseñas específicamente para su base de datos. Por ejemplo, una búsqueda de la herramienta de auditoría de contraseña oracle db si está pirateando una base de datos Oracle.
  • Si tiene una cuenta en el servidor que aloja la base de datos, puede ejecutar un cracker hash como John the Ripper contra el archivo de contraseña de la base de datos. La ubicación del archivo hash es diferente según la base de datos. [5] X fuente de investigación
  • Solo descargue de sitios en los que pueda confiar. Investigue ampliamente las herramientas antes de usarlas.

Ejecución de exploits de bases de datos

Ejecución de exploits de bases de datos
Encuentra un exploit para correr. [6] Sectools.org ha estado catalogando herramientas de seguridad (incluyendo exploits) por más de diez años. Sus herramientas tienen buena reputación y las utilizan los administradores de sistemas de todo el mundo para realizar pruebas de seguridad. Explore su base de datos de "Explotación" (o busque otro sitio confiable) para encontrar herramientas o archivos de texto que lo ayuden a explotar los agujeros de seguridad en las bases de datos.
  • Otro sitio con exploits es www.exploit-db.com. Vaya a su sitio web y haga clic en el enlace Buscar, luego busque el tipo de base de datos que desea piratear (por ejemplo, "oráculo"). Escriba el código Captcha en el cuadrado proporcionado y busque.
  • Asegúrese de investigar todos los exploits que planea probar para saber qué hacer en caso de posibles problemas.
Ejecución de exploits de bases de datos
Encuentre una red vulnerable al guardar en el armario. [7] Wardriving es conducir (o andar en bicicleta o caminar) alrededor de un área mientras ejecuta una herramienta de escaneo de red (como NetStumbler o Kismet) en busca de una red no segura. Wardriving es técnicamente legal. Hacer algo ilegal desde una red que encuentras mientras no se realiza el reclutamiento.
Ejecución de exploits de bases de datos
Utilice el exploit de la base de datos de la red vulnerable. Si está haciendo algo que se supone que no debe hacer, probablemente no sea una buena idea hacerlo desde su propia red. Conéctate de forma inalámbrica a una de las redes abiertas que encontraste mientras trabajabas y ejecuta el exploit que has investigado y elegido.
¿Cómo piratearía un consejo de examen escolar?
Tienes que averiguar los parámetros del consejo de examen escolar. ¿Qué quieres hackear? ¿Hay wifi disponible? ¿Tienen cámaras (conectadas) en la habitación? Una gran parte de ser un hacker es encontrar un punto de entrada. Por lo tanto, asegúrese de estudiar la situación antes de hacer algo grande.
¿Cómo pirateo una base de datos del gobierno?
Con dificultad. Los gobiernos de todo el mundo incorporan a sus evaluaciones de riesgos la posibilidad de usuarios con intenciones maliciosas y agencias gubernamentales en el extranjero y crean salvaguardas contra estos. A menos que sea un hacker experimentado, tendrá pocas o ninguna posibilidad de ingresar. Es mejor que busque tutoriales y consejos generales sobre la piratería de centros de datos en lugar de preguntar específicamente sobre los del gobierno. Soy analista de negocios para una organización gubernamental que actualmente trabaja en la replicación de centros de datos.
¿Cómo pirateo cualquier contraseña de WiFi?
A menudo, la mayoría de las personas usarán exploits simples. Los sistemas operativos como Kali Linux tienen una gran variedad de herramientas.
¿Qué es lo primero que debo hacer para hackear una llamada telefónica?
Intente obtener un software de monitoreo de tráfico inalámbrico como Wireshark. Otros métodos se pueden encontrar en la base de datos de explotación de Rapid7; metapsloit. Asegúrese de cumplir con las leyes de su jurisdicción.
Mantenga siempre los datos confidenciales detrás de un firewall.
Asegúrese de proteger sus redes inalámbricas con una contraseña para que los controladores no puedan usar su red doméstica para ejecutar exploits.
Encuentra otros hackers y pide consejos. A veces, el mejor conocimiento de piratería se mantiene fuera de la Internet pública.
Comprenda las leyes y las repercusiones de la piratería en su país.
Obtener acceso a una base de datos que no es suya es ilegal.
Nunca intente obtener acceso ilegal a una máquina desde su propia red.
tumomentogeek.com © 2020