यह सुनिश्चित करने का सबसे अच्छा तरीका है कि आपका डेटाबेस हैकर्स से सुरक्षित है, हैकर की तरह सोचना है। यदि आप एक हैकर होते, तो आप किस प्रकार की जानकारी की तलाश में होते? आप इसे कैसे प्राप्त करने का प्रयास करेंगे? कई प्रकार के डेटाबेस हैं और उन्हें हैक करने के कई अलग-अलग तरीके हैं, लेकिन अधिकांश हैकर्स या तो डेटाबेस रूट पासवर्ड को क्रैक करने का प्रयास करेंगे या किसी ज्ञात डेटाबेस शोषण को चलाने का प्रयास करेंगे। यदि आप SQL कथनों के साथ सहज हैं और डेटाबेस की मूल बातें समझते हैं, तो आप डेटाबेस को हैक कर सकते हैं।
कदम
विधि 1 में से 3: SQL इंजेक्शन का उपयोग करना
चरण 1. पता करें कि क्या डेटाबेस असुरक्षित है।
इस पद्धति का उपयोग करने के लिए आपको डेटाबेस स्टेटमेंट के साथ काम करना होगा। अपने वेब ब्राउज़र में डेटाबेस वेब इंटरफ़ेस लॉगिन स्क्रीन खोलें और उपयोगकर्ता नाम फ़ील्ड में '(एकल उद्धरण) टाइप करें। "लॉगिन" पर क्लिक करें। यदि आपको कोई त्रुटि दिखाई देती है जो "एसक्यूएल अपवाद: उद्धृत स्ट्रिंग ठीक से समाप्त नहीं हुई" या "अमान्य वर्ण" जैसी कुछ कहती है, तो डेटाबेस एसक्यूएल इंजेक्शन के लिए कमजोर है।
चरण 2. स्तंभों की मात्रा ज्ञात कीजिए।
डेटाबेस के लिए लॉगिन पेज पर लौटें (या कोई अन्य URL जो "id=" या "catid=" में समाप्त होता है) और ब्राउज़र एड्रेस बॉक्स में क्लिक करें। URL के बाद स्पेस बार को हिट करें और टाइप करें
1. द्वारा आदेश
फिर Enter दबाएं। संख्या को 2 तक बढ़ाएँ और Enter दबाएँ। तब तक बढ़ते रहें जब तक आपको कोई त्रुटि न मिल जाए। कॉलम की वास्तविक संख्या वह संख्या है जो आपने उस संख्या से पहले दर्ज की थी जिसने आपको त्रुटि दी थी।
चरण 3. पता लगाएं कि कौन से कॉलम प्रश्नों को स्वीकार करते हैं।
पता बार में URL के अंत में, बदलें
कैटिड = 1
या
आईडी = 1
प्रति
कैटिड = -1
या
आईडी = -1
. स्पेस बार को हिट करें और टाइप करें
संघ का चयन 1, 2, 3, 4, 5, 6
(यदि 6 कॉलम हैं)। संख्याओं को कॉलम की कुल संख्या तक गिनना चाहिए, और प्रत्येक को अल्पविराम से अलग किया जाना चाहिए। Enter दबाएं और आपको प्रत्येक कॉलम की संख्या दिखाई देगी जो एक क्वेरी को स्वीकार करेगा।
चरण 4। कॉलम में SQL स्टेटमेंट इंजेक्ट करें।
उदाहरण के लिए, यदि आप वर्तमान उपयोगकर्ता को जानना चाहते हैं और इंजेक्शन को कॉलम 2 में रखना चाहते हैं, तो यूआरएल में आईडी = 1 के बाद सब कुछ मिटा दें और स्पेस बार दबाएं। फिर, टाइप करें
संघ का चयन 1, कॉनकैट (उपयोगकर्ता ()), 3, 4, 5, 6--
. Enter दबाएं और आपको स्क्रीन पर वर्तमान डेटाबेस उपयोगकर्ता का नाम दिखाई देगा। किसी भी SQL कथन का उपयोग करें जिसे आप जानकारी वापस करना चाहते हैं, जैसे उपयोगकर्ता नामों की सूची और क्रैक करने के लिए पासवर्ड।
विधि 2 में से 3: डेटाबेस रूट पासवर्ड को क्रैक करना
चरण 1. डिफ़ॉल्ट पासवर्ड के साथ रूट के रूप में लॉग इन करने का प्रयास करें।
कुछ डेटाबेस में डिफ़ॉल्ट रूप से रूट (व्यवस्थापक) पासवर्ड नहीं होता है, इसलिए आप पासवर्ड फ़ील्ड को खाली छोड़ने में सक्षम हो सकते हैं। कुछ अन्य लोगों के पास डिफ़ॉल्ट पासवर्ड होते हैं जो डेटाबेस तकनीकी सहायता फ़ोरम खोज कर आसानी से मिल सकते हैं।
चरण 2. सामान्य पासवर्ड आज़माएं।
यदि व्यवस्थापक ने पासवर्ड (एक संभावित स्थिति) के साथ खाते को सुरक्षित किया है, तो सामान्य उपयोगकर्ता नाम/पासवर्ड संयोजनों का प्रयास करें। कुछ हैकर सार्वजनिक रूप से ऑडिटिंग टूल का उपयोग करते हुए उनके द्वारा क्रैक किए गए पासवर्ड की सूची पोस्ट करते हैं। कुछ अलग उपयोगकर्ता नाम और पासवर्ड संयोजनों का प्रयास करें।
- एकत्रित पासवर्ड सूचियों वाली एक प्रतिष्ठित साइट https://github.com/danielmiessler/SecLists/tree/master/Passwords है।
- हाथ से पासवर्ड आज़माने में समय लग सकता है, लेकिन बड़ी तोपों को तोड़ने से पहले इसे एक शॉट देने में कोई बुराई नहीं है।
चरण 3. पासवर्ड ऑडिटिंग टूल का उपयोग करें।
पासवर्ड क्रैक होने तक आप हज़ारों शब्दकोष शब्दों और अक्षर/संख्या/प्रतीक संयोजनों को क्रूर बल द्वारा आज़माने के लिए विभिन्न उपकरणों का उपयोग कर सकते हैं।
-
DBPwAudit (Oracle, MySQL, MS-SQL और DB2 के लिए) और एक्सेस पासव्यू (MS Access के लिए) जैसे टूल लोकप्रिय पासवर्ड ऑडिटिंग टूल हैं जिन्हें अधिकांश डेटाबेस के विरुद्ध चलाया जा सकता है। आप विशेष रूप से अपने डेटाबेस के लिए नए पासवर्ड ऑडिटिंग टूल के लिए Google पर भी खोज कर सकते हैं। उदाहरण के लिए, के लिए एक खोज
पासवर्ड ऑडिट टूल ओरेकल डीबी
- यदि आप Oracle डेटाबेस को हैक कर रहे हैं।
- यदि आपके पास सर्वर पर एक खाता है जो डेटाबेस को होस्ट करता है, तो आप डेटाबेस की पासवर्ड फ़ाइल के विरुद्ध जॉन द रिपर की तरह हैश क्रैकर चला सकते हैं। हैश फ़ाइल का स्थान डेटाबेस के आधार पर भिन्न होता है।
- केवल उन्हीं साइटों से डाउनलोड करें जिन पर आप भरोसा कर सकते हैं। उपकरणों का उपयोग करने से पहले उन्हें व्यापक रूप से अनुसंधान करें।
3 की विधि 3: डेटाबेस एक्सप्लॉइट्स चलाना
चरण 1. चलाने के लिए एक शोषण खोजें।
Sectools.org दस वर्षों से अधिक समय से सुरक्षा उपकरणों (कारनामों सहित) को सूचीबद्ध कर रहा है। उनके उपकरण सम्मानित हैं और सुरक्षा परीक्षण के लिए पूरी दुनिया में सिस्टम प्रशासकों द्वारा उपयोग किए जाते हैं। डेटाबेस में सुरक्षा खामियों का फायदा उठाने में आपकी मदद करने वाले टूल या टेक्स्ट फ़ाइलों को खोजने के लिए उनके "शोषण" डेटाबेस (या कोई अन्य भरोसेमंद साइट खोजें) ब्राउज़ करें।
- शोषण वाली एक अन्य साइट www.exploit-db.com है। उनकी वेबसाइट पर जाएं और सर्च लिंक पर क्लिक करें, फिर उस डेटाबेस के प्रकार को खोजें जिसे आप हैक करना चाहते हैं (उदाहरण के लिए, "ओरेकल")। दिए गए वर्ग में Captcha कोड टाइप करें और सर्च करें।
- सुनिश्चित करें कि आप उन सभी कारनामों पर शोध कर रहे हैं जिन्हें आप आजमाने की योजना बना रहे हैं ताकि आप जान सकें कि संभावित मुद्दों के मामले में क्या करना है।
चरण 2। आगे बढ़कर एक कमजोर नेटवर्क खोजें।
एक असुरक्षित नेटवर्क की खोज में नेटवर्क स्कैनिंग टूल (जैसे नेटस्टंबलर या किस्मत) चलाते समय वार्डड्राइविंग एक क्षेत्र के चारों ओर गाड़ी चला रहा है (या बाइकिंग या पैदल चल रहा है)। वार्डड्राइविंग तकनीकी रूप से कानूनी है। एक नेटवर्क से कुछ अवैध करना जो आपको वार्डिंग करते समय मिलता है वह नहीं है।
चरण 3. कमजोर नेटवर्क से डेटाबेस शोषण का प्रयोग करें।
यदि आप कुछ ऐसा कर रहे हैं जो आपको नहीं करना चाहिए, तो शायद इसे अपने नेटवर्क से करना एक अच्छा विचार नहीं है। अपने द्वारा खोजे और चुने गए शोषण को चलाने और चलाने के दौरान आपको मिले खुले नेटवर्क में से एक से वायरलेस तरीके से कनेक्ट करें।
टिप्स
- संवेदनशील डेटा को हमेशा फ़ायरवॉल के पीछे रखें।
- अपने वायरलेस नेटवर्क को पासवर्ड से सुरक्षित रखना सुनिश्चित करें ताकि वार्डड्राइवर कारनामे चलाने के लिए आपके होम नेटवर्क का उपयोग न कर सकें।
- अन्य हैकर खोजें और सुझाव मांगें। कभी-कभी हैकिंग के सर्वोत्तम ज्ञान को सार्वजनिक इंटरनेट से दूर रखा जाता है।
चेतावनी
- ऐसे डेटाबेस तक पहुंच प्राप्त करना जो आपका नहीं है, अवैध है।
- अपने देश में हैकिंग के कानूनों और नतीजों को समझें।
- कभी भी अपने नेटवर्क से किसी मशीन तक अवैध पहुंच प्राप्त करने का प्रयास न करें।