怎么攻击数据库
时间:2022-07-23 16:25 | 来源:hedem
确保数据库不受黑客攻击的最佳方法是像黑客一样思考。如果你是一个黑客,你会搜寻什么样的信息?你会怎么做来获取这些信息?数据库有很多种类型,攻击数据库的方法也各不相同,但是大多数黑客要么试图破解数据库根密码,要么攻击已知的数据库漏洞。如果你熟悉SQL语句,了解数据库的基础知识,那你就可以对数据库发起攻击。
方法1利用SQL注入
1弄清楚数据库是否易受到攻击。 要使用这种方法,你得熟悉数据库语句。在浏览器中打开数据库网页登录界面,并在用户名字段中输入’(单引号)。点击“登录”。如果你看到类似于“SQL异常:引号内的字符串没有正确结束”或“无效字符”之类的错误,那么数据库就很容易受到SQL注入的攻击。
2确定列数。返回到数据库的登录页面(或以“id=”或“catid=”结尾的任何URL),点击浏览器地址框。在URL后面,点击空格键,并输入order by 1,然后按Enter。数字增加到2,并按Enter。一直增加,直到出现错误为止。实际的列数是出现错误之前输入的列数。
3确定哪些列可以被查询。在地址栏URL的末尾,将catid=1或id=1 改为catid=-1或id=-1。按空格键,并输入union select 1,2,3,4,5,6(如果有6列的话)。数字应当从1数到列的总数,并且每个数字之间由逗号隔开。按Enter,这样你就可以确定哪些列可以被查询。
4将SQL语句注入到列中。例如,如果你想知道当前用户,并且想将SQL语句注入到第2列中,删除URL中id=1后面的所有内容,再按空格键。然后,输入union select 1,concat(user()),3,4,5,6--。按Enter,会显示当前数据库的用户名。使用可以返回信息的SQL语句,如要破解的用户名和密码列表。
方法2破解数据库根密码
1尝试使用默认密码以根用户身份登录。有些数据库在默认没有根(管理员)密码,所以你可以将密码字段保留为空。其他用户的默认密码可以通过搜索数据库技术支持论坛轻松找到。
2尝试常见密码。如果管理员使用密码保护帐户(很可能是这种情况),请尝试常见的用户名/密码组合。一些黑客会公开发布他们使用检索工具破解的密码列表。尝试一些不同的用户名和密码组合。
3使用密码检索工具。你可以使用各种工具通过暴力尝试数千个字典单词和字母/数字/符号组合,直到密码被破解为止。
password audit tool oracle db。方法3攻击数据库漏洞
1查找漏洞。 Sectools.org 作为安全工具(包括发现漏洞)已经有十多年,并且广受好评,被全世界的系统管理员用于安全测试。浏览“攻击漏洞”数据库(或者寻找其他信任站点),找到有助于你攻击数据库安全漏洞的工具或文本文件。
2通过wardriving 寻找不设防的网络。 Wardriving是指在区域内驾驶(或骑车、步行)的同时,运行网络扫描工具(如NetStumbler或Kismet),以找到不安全的网络。Wardriving 在理论上是合法的。在网络上一些行为是不合法的,而使用Wardriving却是合法的。
3利用不设防的网络进行攻击数据库漏洞。如果你在做一些不该做的事情,最好不要用自己的网络。无线连接到通过wardriving发现的开放式网络,攻击你之前研究并挑选的漏洞。
注意事项
警告
阅读排行