Лёгкий метод SQL - Injektion

[Norisen]

Всем привет
Сегодня расскажу о сливе базы
Что такое SQL Injektion - это инструмент для слива базы с уязвимых сайтов

Что мы будем использовать для слива базы:

1) Havij

2) php?id=1 ( Это команда для поиска сайтов с этой уязвимостью )

Ну вроде всё

Ищем сайт с уязвимостью, для этого достаточно ввести php?id=1 в Yandex или Google

И открывать все сайты подряд и вводить ( вот такую заковырку в конце адреса сайта ' )

И так ищем пока не выбьет ошибку странницы, если выбило то значит сайт уязвим.

Копируем ссылку уязвимого сайта, и идём в havij и вводим его в самом верху, и нажимаем поиск.

Ждём пока он завершит свою работу, и после этого кликаем на кнопку GetDBS и выбираем нужные нам файлы:

Пример: Base, Users, Passwords, и подобные.

Я всё время скачиваю всю базу потому-что там тоже может быть что-то интересное.

Сначала хотел написать данный урок на Kali Linux 2.0, но передумал)))

Просто не очень хочется его устанавливать.​

 

[kondrat]

А если я хочу определенный сайт проверить на ошибки ?

 

[Norisen]

А если я хочу определенный сайт проверить на ошибки ?

В каком смысле?, если хочешь проверить уязвимость, поставь в адресной строке ' Если выбьет ошибку то сайт уязвим и следуй по всем пунктам этой темы.

 

[Alexguru]

Здраствуйте. На сайте магазина arrowkey.ru/ выдает ошибку как описано выше. Получается я могу слить товар?

 

[Bart590]

баян, апач по дефолту уже давно фильтрует вывод ошибок

 

[Tundra]

А если я хочу определенный сайт проверить на ошибки ?

Kali-Linux тебе в помощь. И проштудируй https://kali.tools/ https://hackware.ru/.

 

[Nikuza]

Ссылку на Havij работающий есть возможность приложить?А то сейчас везде вирусы и пароли от архивов не верные

 

[spider-net]

Ссылку на Havij работающий есть возможность приложить?А то сейчас везде вирусы и пароли от архивов не верные

Ну у меня есть Havij v1.16 Pro Portable палится как hacktools в основном. Пользовался сам вирусов не находил.
Вот ссылка на ВТ
Вот прога Скачать

 

[meet]

было бы не плохо видосик снять

 

[SilentKingNA]

чот выводит вот что

Please register to activate injecting targets with Https protocol!

 

[8020d4]

Ну если надо взломать сайт, который лет 10 не обновлялся, то тема полезная безусловно... А так, sqlmap в руки и крутить, крутить, крутить.
З.ы. где-то здесь скачал годное пособие по кали, там куда больше инструментов разобрано, рекомендую копать в этом направлении и забыть про утилиты под маздай

 

[KROWIEL]

Сейчас куча сайтов защищена от такого метода и ломануть мало что выйдет, сам когда-то очень давно юзал похожий метод. Максимум что ты ломанешь, это сайт на который забили пару лет назад, может даже около 5

 

[shutler]

Сейчас куча сайтов защищена от такого метода и ломануть мало что выйдет, сам когда-то очень давно юзал похожий метод. Максимум что ты ломанешь, это сайт на который забили пару лет назад, может даже около 5

Просто всё не стоит на месте, как и система безопасности, так что такие схемы не актуальны, а вот всё что ещё в привате и стоит дорого, думаю работать всё ещё будет, а это в принципе в раздел свалка

 

[Pershing]

Неактуальный метод

 

[Parazit_lol]

Всем привет
Сегодня расскажу о сливе базы
Что такое SQL Injektion - это инструмент для слива базы с уязвимых сайтов

Что мы будем использовать для слива базы:

1) Havij

2) php?id=1 ( Это команда для поиска сайтов с этой уязвимостью )

Ну вроде всё

Ищем сайт с уязвимостью, для этого достаточно ввести php?id=1 в Yandex или Google

И открывать все сайты подряд и вводить ( вот такую заковырку в конце адреса сайта ' )

И так ищем пока не выбьет ошибку странницы, если выбило то значит сайт уязвим.

Копируем ссылку уязвимого сайта, и идём в havij и вводим его в самом верху, и нажимаем поиск.

Ждём пока он завершит свою работу, и после этого кликаем на кнопку GetDBS и выбираем нужные нам файлы:

Пример: Base, Users, Passwords, и подобные.

Я всё время скачиваю всю базу потому-что там тоже может быть что-то интересное.

Сначала хотел написать данный урок на Kali Linux 2.0, но передумал)))

Просто не очень хочется его устанавливать.​

его необязательно устанавливать, можно через лайф режим запустить.

 

[LAG30240]

"Dude, can we please keep the thread language to English? Not everyone speaks Russian. Also, I gotta say, SQL injection is a super old vulnerability, you gotta be more specific about the 'легкий метод' you're referring to."

 

[mrSeira]

"Hey guys, I know this ain't exactly crypto-related, but I'll chime in anyway. For a 'легкий метод' (easy method), have you tried SQLMap? It's a pretty sweet automated SQL injection tool. Has anyone had any experience with it?"