Jump to content

Turbine o seu Perfil

Confira a atualização e participe do clube!
Clique e saiba mais

Junte-se ao Clube de Membros VIP

Tenha destaque e diversos benefícios!
Confira Aqui

Acesse nosso Discord

Conheça nossos canais interativos
Confira Aqui
Notícia
  • Adquira já o seu VIP!
Sign in to follow this  
blender_nx

tutorial Como invadir sites com falhas SQL? - SQL Injection

Recommended Posts

sqlinjection-attack.jpg

 

GDpyxLF.png

Salve rapaziada, tudo tranquilo? o//

Hoje vou apresentar para vocês um tutorial para windows, de como invadir sites com falhas de SQL utilizando 1 programa simples e fácil. Para quem não sabe, existe um método mais complicado que é utilizando o Linux, para isso teríamos que baixar o sistema, instalar, e etc. Mas como vamos utilizar o windows, esses programa é capaz de fazer o que precisamos.

O que é SQL?

  •  SQL é sigla inglesa de “Structured Query Language” que significa, em português, Linguagem de Consulta Estruturada, uma linguagem padrão de gerenciamento de dados que interage com os principais bancos de dados baseados no modelo relacional.

    Hidden Content

      Give reaction or reply to this topic to see the hidden content.

O que é SQL Injection?

  • SQL Injection é uma técnica em que usuários maliciosos podem injetar comandos SQL em um procedimento SQL através da entrada de dados em uma página web. Esses comandos SQL injetados alteram um SQL já existente e que deveria processar uma requisição pré-definida. Esse SQL que pode ser injetado compromete severamente a segurança de uma aplicação web.

    Hidden Content

      Give reaction or reply to this topic to see the hidden content.

GDpyxLF.png

Tutorial:

           1. O primeiro passo será baixar e instalar o programa que vamos utilizar. (Link no final do post)

           2. O segundo passo, será procurar por sites que tenham falhas utilizando dorks, utilizando o Inurl do Google. Vou deixar no final do post um link com algumas dorks que provavelmente alguns sites tenham falhas. Para o tutorial vamos utilizar a dork news.php?id=para encontrar sites que tenham a falha, basta entrar no google.com e pesquisar o seguinte:  inurl:news.php?id=logo irá aparecer vários sites: 

Citar

rPmPiTQ.png

Alguns sites gringos foram carregados, para isso bastar clicar em algum link deles que irá abrir a página. Como exemplo iremos utilizar o primeiro site listado. Na frente do link que a dork achou, adicione ' ou %27 que na página irá aparecer em alguma parte do site um erro de sql:
 

Citar

UybPawD.png ' ou %27 na frente do link do site.

Citar

JOGCpFn.png Erro SQL.

Agora que o nosso site tem o erro, a chance dele conter a falha para conseguirmos pegar os dados de acesso é de 80%. O nosso ataque exemplo não será com esse site.

           3. O terceiro passo será abrir o programa Sql Injection Red Eye e colar o link da falha na barra de URL,  e depois clicar em Analisar. 

Citar

xf7ppjE.png

           3.1 Depois de clicar em analisar, o programa irá fazer o ataque sql automaticamente até encontrar o Banco de dados, por padrão aparecerá information_schema , e logo abaixo o banco de dados do site na qual está as informações que iremos precisar. Selecione a base de dados abaixo e clica em Pegar Tabelas. Vai listar várias tabelas que contém dados do site, com imagens, contatos, emails, telefones, etc.

Citar

TzpLWXD.png

           3.2 Vamos procurar por algo relacionado a admins, users, usuários, etc. Depois de encontrar essa tabela, vamos selecionar ela e clicar em Pegar Colunas:

Citar

a6zjvlA.png

           3.3 Vamos deixar selecionado apenas as colunas username e password, e clicar em Pegar Dados:

Citar

iQYtPIh.png

Sucesso! Conseguimos encontrar o nome de usuário e a senha. Porém como vemos, a senha não é comum, e sim criptografada em md5, para isso basta navegar na internet por md5 decrypt, copiar e colar a senha que o site irá descriptografar a senha.

           3.4 Vamos encontrar a página de login e senha do site, cpanel, control painel, etc. Para isso copiamos o link do site, vamos na aba Admin Finder e colamos na barrar e clicamos em Procurar:

Citar

6VjMCdy.png

Pronto, páginas de login encontradas com sucesso! Basta abrir no navegador e entrar com usuário e senhas encontrados no item 3.3.
 

Conhecimentos não é crime! Cuidado com o que você faz na Web.

Links Externos:





	

Hidden Content

    Give reaction or reply to this topic to see the hidden content.

By: Blender

Edited by blender_nx
  • Like 7
  • Thanks 1
  • Haha 1

"Nunca se afronte para uma pessoa. Pois ela pode ter uma faca e acertar seu peito."

Membro Membro Avançado [E]EstagiárioGame Zone Ex-Staffer Game Zone

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...