如何攻擊數據庫,3種方法來攻擊數據庫
方法1:利用SQL注入
1、弄清楚數據庫是否易受到攻擊。 要使用這種方法,你得熟悉數據庫語句。在瀏覽器中打開數據庫網頁登錄界面,並在用戶名字段中輸入’(單引號)。點擊"登錄"。如果你看到類似於"SQL異常:引號內的字符串沒有正確結束"或"無效字符"之類的錯誤,那麼數據庫就很容易受到SQL注入的攻擊。
2、確定列數。返回到數據庫的登錄頁面(或以"catnowrap" title="This is not a clickable button; it illustrates the button one should find." style=" border-color:#AAA #555 #555 #AAA; background-color: #F2F2F2;">Enter。數字增加到2,並按Enter。一直增加,直到出現錯誤爲止。實際的列數是出現錯誤之前輸入的列數。
3、確定哪些列可以被查詢。在地址欄URL的末尾,將catid=1
或id=1
改爲catid=-1
或id=-1
。按空格鍵,並輸入union select 1,2,3,4,5,6
(如果有6列的話)。數字應當從1數到列的總數,並且每個數字之間由逗號隔開。按Enter,這樣你就可以確定哪些列可以被查詢。
4、將SQL語句注入到列中。例如,如果你想知道當前用戶,並且想將SQL語句注入到第2列中,刪除URL中id=1後面的所有內容,再按空格鍵。然後,輸入union select 1,concat(user()),3,4,5,6--
。按Enter,會顯示當前數據庫的用戶名。使用可以返回信息的SQL語句,如要破解的用戶名和密碼列表。
方法2:破解數據庫根密碼
1、嘗試使用默認密碼以根用戶身份登錄。有些數據庫在默認沒有根(管理員)密碼,所以你可以將密碼字段保留爲空。其他用戶的默認密碼可以通過搜索數據庫技術支持論壇輕鬆找到。
2、嘗試常見密碼。如果管理員使用密碼保護帳戶(很可能是這種情況),請嘗試常見的用戶名/密碼組合。一些黑客會公開發布他們使用檢索工具破解的密碼列表。嘗試一些不同的用戶名和密碼組合。收集密碼列表的一家知名網站: https://github.com/5b8202b9bad60ac1fe341165a062/6c860f9cb6c913db/4b9109b5/52821fa4bac8.Passwords。
手工嘗試密碼可能很耗時,但在破解密碼之前嘗試一下也沒什麼壞處。
3、使用密碼檢索工具。你可以使用各種工具通過暴力嘗試數千個字典單詞和字母/數字/符號組合,直到密碼被破解爲止。 DBPwAudit(適用於Oracle、MySQL、MS- sql和DB2)和Access Passview(適用於MS Access)等工具是常用的密碼檢索工具,可以在大多數數據庫上運行。你也可以上谷歌搜索,尋找專門適用於你的數據庫的最新密碼檢索工具。例如,如果你正在攻擊Oracle數據庫,可以搜索password audit tool oracle db
。
如果有運行數據庫的服務器的帳戶,你可以對數據庫的密碼文件運行哈希破解工具,如John the Ripper,來破解數據庫的密碼文件。哈希文件的位置因數據庫而異。
只從你信任的網站下載。在使用工具之前,要仔細研究研究。
方法3:攻擊數據庫漏洞
1、查找漏洞。 Sectools.org 作爲安全工具(包括髮現漏洞)已經有十多年,並且廣受好評,被全世界的系統管理員用於安全測試。瀏覽"攻擊漏洞"數據庫(或者尋找其他信任站點),找到有助於你攻擊數據庫安全漏洞的工具或文本文件。另一個可以攻擊漏洞的網站是 www.exploit-db.com。進入這個網站,點擊"搜索"鏈接,然後搜索需要攻擊的數據庫類型(如"oracle")。在給定的方框中輸入驗證碼,並搜索。
確保你研究了所有準備嘗試的漏洞,這樣你就知道在可能出現問題時該怎麼做。
2、通過wardriving 尋找不設防的網絡。 Wardriving是指在區域內駕駛(或騎車、步行)的同時,運行網絡掃描工具(如NetStumbler或Kismet),以找到不安全的網絡。Wardriving 在理論上是合法的。在網絡上一些行爲是不合法的,而使用Wardriving卻是合法的。
3、利用不設防的網絡進行攻擊數據庫漏洞。如果你在做一些不該做的事情,最好不要用自己的網絡。無線連接到通過wardriving發現的開放式網絡,攻擊你之前研究並挑選的漏洞。
小提示
敏感數據一定要用防火牆保護。確保用密碼來保護你的無線網絡,這樣wardrivers就無法利用你的家庭網絡來攻擊漏洞。
尋找其他黑客,諮詢他們的建議。有時候,最好的黑客知識是在公共互聯網上找不到的。
警告瞭解黑客行爲在你的國家造成的後果及其相關法律。
永遠不要試圖從自己的網絡上非法訪問計算機。
訪問非他人的數據庫是非法的。
-
怎麼看蘋果手機型號
1、在蘋果手機找到“設置”圖標,點擊進入。2、進入設置頁面後,從下往上滑動,找到“通用”,點擊進入。3、進入通用頁面後,找到“關於本機”點擊進入。4、進入關於本機頁面後,會顯示關於手機的詳細信息,其中就有“型號名稱”。5、顯示的型號名稱,就是蘋果手機的型號。...
-
微信零錢通怎麼關閉,微信關閉零錢通的方法
1、打開微信app,點擊“我”,進入後點擊“錢包”,進入後點擊“零錢”,進入後點擊“零錢通”,進入零錢通的主頁面之後,點擊右上角的三個豎點,這時會在頁面底部彈出“關閉零錢通”,這時關閉就可以了。2、用戶在關閉零錢通時一定要把零錢通內的錢轉出來,只有轉出後才能關閉,...
-
微信裏的星標朋友是什麼意思,微信裏的星標朋友解釋
1、微信星標朋友是微信爲了方便用戶標記重要好友的一個功能,星標的好友會顯示在微信通信錄的星標朋友列表中,用戶可以更快地從這個列表中找到該分類好友。2、登陸微信點擊通訊錄,找到你的好朋友;點擊右上角的豎排三點,然後在彈出的菜單中選擇【標爲星標朋友】;重新回...
-
如何在b站獲得硬幣
1、首先我們需要有b站的會員賬號(如果沒有請自行百度如何成爲會員)。然後打開網頁,登錄。隨意點開一個視頻都會有廣告。點擊廣告可以賺取硬幣(但這個靠人品,不一定有。一般可獲得0~0.3個硬幣)2、這個是最普通的方法,就是你每天登錄,就會獲得一個硬幣的獎勵。(還有如果你...