Воспользовался поиском но не нашел актуальную тему на сегодняшний день.
Мануал для новичков , скоро выложу мануал на проф. уровне .
Работать мы будем с WebCruiser и Havij 1.16 pro .
WebCruiser-некий многофункциональный сканер .
Havij 1.16 pro-некий сканер SQL уязвимостей на сайте .
Открываем программу WebCruiser и видим :
[Ссылки могут видеть только зарегистрированные пользователи. ]
В поле URL вводим сайт в формате [Ссылки могут видеть только зарегистрированные пользователи. ]
Далее над строкой url находим слово Scanner клацаем по нему,далее нажимаем Scan Current Site всплывет окно,нажимаем ОК, и видим что программа начинает поиск sql уязвимостей :
[Ссылки могут видеть только зарегистрированные пользователи. ]
В моем случае она уже закончила поиск.
Нажимаем правой кнопкой мыши по любой уязвимости и выбираем SQL INJECTION POC .
Из строки URL копируем уязвимость в моем случае это [Ссылки могут видеть только зарегистрированные пользователи. ]
Далее закрываем программу и запускаем Havij :
[Ссылки могут видеть только зарегистрированные пользователи. ]
В поле Target вставляем уязвимость и нажимаем Analyze и ждем пока программа проанализирует уязвимость .
Будем считать что программа успешно провела анализ сайта.
Мы получили множество колон и название базы,переходим на вкладку Tables и нажимаем GetTables .
Программа начнет поиск таблиц базы.
Вот все, есть таблицы, чтобы найти колоны таблиц, нужно кликнуть по кнопке Get Collums .
Программа начинает поиск колон.
Все поиск окончен. Результат такой:
Таблица - Users
Колонны - Id, Username, Passwd. чтобы добыть колоны, нажимаем Get columns
Чтобы получить данные колон, в нашем случае данные о юзерах, нужно выделить колоны галочками, и нажать Get Data. В поле справа, и будет эта информация.
Отмечаем колонны которые нам требуются, например, login и password и kликаем Get data И в логе справа выводятся все пароли и логины.
Софт:
WebCruiser- [Ссылки могут видеть только зарегистрированные пользователи. ] VT-[Ссылки могут видеть только зарегистрированные пользователи. ] |
Havij 1.16 pro-[Ссылки могут видеть только зарегистрированные пользователи. ] | VT-[Ссылки могут видеть только зарегистрированные пользователи. ] |
Ну вот собственно и все,как я уже писал выше ,скоро выложу мануал на проф. уровне с другим софтом.
Ждем следующий мануал, спасибо, хоть и есть примерно такой же мануал только там без хавиджи. Примем во внимание и твой. Может что и получится. + у тебя в названии ошибка, не дб, бд должно быть...
Твой вебкраузер не пашет...
Последний раз редактировалось NeonEye; 06.09.2013 в 07:33.
Ждем следующий мануал, спасибо, хоть и есть примерно такой же мануал только там без хавиджи. Примем во внимание и твой. Может что и получится. + у тебя в названии ошибка, не дб, бд должно быть...
Твой вебкраузер не пашет...
Веб кузер ,работает .
Если что-то не получается пиши сюда,помогу.
Вначале выходит ошибка, типо пробная версия кончилась, если хотите использовать веб краузер купите платную версию и в итоге программа запускается но кнопка scan current site заблокирована.
Вначале выходит ошибка, типо пробная версия кончилась, если хотите использовать веб краузер купите платную версию и в итоге программа запускается но кнопка scan current site заблокирована.
[Ссылки могут видеть только зарегистрированные пользователи. ]
уязвимость нашлась, но в Havij ничего не нашлось, дал бы сайтик для теста, может что то не так делаю
Если Havij не подключился к базе данных MySQL то это означает что там стоит защита - Подключение к базе данных MySQL не авторизованным пользователям запрешено.
Т.е стоит ограничение по ip на подключение к бд,или же к бд можно подключится только с 1 ip , предлагаю тебе попробовать через proxy в webcruizer .
Добавлено через 2 минуты
Цитата:
Сообщение от Tilker
Что делать если вместо таблиц у меня неопределенные символы?
Шифрация бд,тоже зашита.
Добавлено через 17 минут
Прошу в лс не флудить,если что-то не понятно или что-то не получается пишите в этой теме,чтобы все видели "вопрос-ответ"
В лс пишите только если хотите предложить мне работу на пару сотен))
пробная версия у тебя закончилась .. если ты хочеш просканить сайт то нажимай сюда [Ссылки могут видеть только зарегистрированные пользователи. ]
или покупай лицензию
________________
Быть добрым не круто
большую часть баз выкидываю сюда
нажми кнопку "таблицы" и подожди,загрузка таблиц с хорошим интернетом будет длится около 1-2 часов .
Далее будет загрузка логинов-паролей , это тоже займет не мало времени - около 2-3 часов (у кого как)
p.s. у меня инет очень медленный и бд я сливаю 6-7 часов , время слива еше зависит от количества акков .
Привет lenovo123459!!!!!!!! занимаюсь подобным делом в первый раз,поэтому наткнулся на проблемы. пытаюсь слить бд с [Ссылки могут видеть только зарегистрированные пользователи. ] (не реклама) и чего то не получается.Если будет время, попробуй поковырять этот сайтик.Заранее спс
Привет lenovo123459!!!!!!!! занимаюсь подобным делом в первый раз,поэтому наткнулся на проблемы. пытаюсь слить бд с [Ссылки могут видеть только зарегистрированные пользователи. ] (не реклама) и чего то не получается.Если будет время, попробуй поковырять этот сайтик.Заранее спс
Когда Вы уже начнете читать и поймете суть, а не будете искать программы где нажал на кнопку и сайт разломался.
Эти две программы сливают только сайты быдлокодеров, то бишь тех людей которые учили PHP на youtube по видео урокам от таких же школьников как и они.
На их сайтах на постой ошибки... экранирование при написании кода при обращении к базе данных MySQL ******* ярко игнорирует.
В следствии чего можно слить и БД. Достаточно только адресная строчка браузера.
Но хочу всех огорчить.... 99.5% веб сайтов L2 используют движок StressWeb, в нем отсутствуют SQL injection, то есть, Ваша нуболюбительская прога просто заходит на сайт и ставит в адресной строке такие комбинации чтоб при запросе случилась ошибка запроса (SQL query на сервере), если случается так то прога пишет типо тут возможна инъка...
Короче суть, занубились нынче все и по этому остановились в своём развитии.
Регистрация: 01.08.2013
Сообщений: 22
Популярность: -388
Сказал(а) спасибо: 12
Учимся сливать дб!
Золото Zhyk.Ru: 7 
