http://helpchromebook.blogspot.com/2014/11/comment-installer-linux-sur-un.html
Utilisez sqlmap Injection SQL pour pirater un site web et la base de données dans le Chromebook
Injection SQL est une technique d'injection de code, utilisé pour attaquer des applications orientées données, dans lequel des instructions SQL malveillants sont insérés dans un champ de saisie pour l'exécution (par exemple, pour vider le contenu de base de données pour l'attaquant). Injection SQL doit exploiter une vulnérabilité de sécurité dans un logiciel d'application, par exemple, lorsque l'entrée de l'utilisateur est soit mal filtré pour cordes caractères d'échappement littérales intégrées dans les requêtes SQL ou entrée de l'utilisateur ne sont pas fortement typé et exécuté de manière inattendue. Injection SQL est surtout connu comme un vecteur d'attaque pour les sites web, mais peut être utilisé pour attaquer tout type de bases de données SQL. Dans ce guide, je vais vous montrer comment sqlmap Injection SQL sur Kali Linux de pirater un site web (plus précisément la base de données) et d'extraire les noms d'utilisateur et mots de passe sur Kali Linux.
Quel est sqlmap
sqlmap est un outil de test de pénétration de l'open source qui automatise le processus de détection et de l'exploitation des failles d'injection de SQL et de la prise en charge des serveurs de base de données. Il est livré avec un puissant moteur de détection, de nombreuses fonctionnalités de niche pour le testeur de pénétration ultime et une large gamme de commutateurs d'une durée de base de données d'empreintes digitales, sur extraction de données à partir de la base de données, à l'accès au système de fichiers sous-jacent et l'exécution de commandes sur le système d'exploitation via sortie connexions de bande.
Caractéristiques
Support complet pour MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase et les systèmes de gestion de base de données SAP MaxDB.
Support complet pour six techniques d'injection SQL: aveugles base booléen, aveugles basée sur le temps, sur la base d'erreurs, UNION requête, les requêtes empilées et out-of-band.
Soutien de se connecter directement à la base de données sans passer par une injection SQL, SGBD en fournissant des informations d'identification, l'adresse IP, le port et le nom de base de données.
Soutien à énumérer les utilisateurs, les mots de passe, privilèges, rôles, bases de données, tables et colonnes.
Reconnaissance automatique des formats de hachage de mot de passe et un soutien pour eux de craquage en utilisant une attaque par dictionnaire.
Soutenir pour vider les tables de base de données entièrement, une plage d'entrées ou des colonnes spécifiques selon le choix de l'utilisateur. L'utilisateur peut également choisir de vider seulement une gamme de caractères à partir de l'entrée de chaque colonne.
Soutenir pour rechercher des noms de bases de données spécifiques, des tables spécifiques à travers toutes les bases de données ou des colonnes spécifiques à travers les tables de toutes les bases de données.
Ceci est utile, par exemple, d'identifier les tables contenant des références d'application personnalisés où les noms de colonnes pertinentes contiennent chaîne comme nom et passe.
Soutien de télécharger et téléverser un fichier à partir du serveur de base de données sous-jacente du système de fichiers lorsque le logiciel de base de données est MySQL, PostgreSQL ou Microsoft SQL Server.
Soutien à exécuter des commandes arbitraires et de récupérer leur sortie standard sur le serveur de base de données sous-jacente du système d'exploitation lorsque le logiciel de base de données est MySQL, PostgreSQL ou Microsoft SQL Server.
Soutien à établir une connexion TCP stateful out-of-band entre la machine de l'attaquant et le système d'exploitation serveur de base de données sous-jacent. Ce canal peut être une invite de commande interactive, une session de Meterpreter ou un graphique session de l'interface utilisateur (VNC) selon le choix de l'utilisateur.
Soutien aux privilèges de l'utilisateur l'escalade de la base de données process via Meterpreter commande getsystem de Metasploit.
[Source: www.sqlmap.org]
Soyez attentif à l'utilisateur qui passe du temps et des efforts pour mettre en place un site web et éventuellement en dépend pour faire sa fin des jours. Vos actions pourraient avoir un impact quelqu'un est une façon que vous ne vouliez pour. Je pense que je ne peux pas faire plus clair.
Aucun commentaire:
Enregistrer un commentaire