Sabo3eur
4th July 2011, 06:17 PM
چگونه پایگاه داده یک سایت را هک کنیم؟
برای هک کردن Data base یک سایت ما می توانیم از ۲ روش استفاده کنیم
۱- دادن کدهای مخرب
۲-پیدا کردن محل ذخیره شدن پایگاه داده
حال از روش ۱ استفاده می کنیم
اغلب در سایت های دینامیک از پایگاه داده برای انجام کارهای خود انجام می دهیم و دارای قسمتی برای عضو شدن در سایت و وارد شدن به قسمت کاربری خود هستند
حال شما بعد از ورود به این نوع صفحات باید در قسمت آدرس بار(قسمتی که نام سایت به همراه صفحه ی مورد نظر شما در آنجا وجود دارد)به نشانی ها کدهای مخرب خود را اضافه یا کدها را کم کنید
کدهای مخرب که پایگاه های داده اغلب دچار مشکل می شوند
۱-اعداد منفی
۲-اعداد فرد
۳- اعداد بزرگ
۴-علامت های اعشاری و درصد و ......
۵-کلمات اضافی
۶-عبارت های مشهور مانند image و data , user
مثالی از هک کردن دیتا بیس یک سایت به روش ۱
www.victim.com/userprofile.php
اجرای کدهای مخرب
www.Victim.com/userpeofile.php/20/$#/user
www.Victim.com/userprofile.php/-1(2*2)/25
www.Victim.com/userprofile.php/SaiedHacker.php
www.Victim.com/userprofile.php*user$$$$$/####%%%%%Login.php
و.....
در صورتی که پایگاه داده نتواند اطلاعات دریافتی را به درستی بخواند و ترجمه کنید موتور دستگاه از کار می افتد و پیغام خطایی می دهد یکی از خطاهایی که از پایگاه داده به دست آمده است
The page cannot be displayed
There is a problem with the page you are trying to reach and it cannot be displayed.
ALL ODBC Error Messages
Microsoft OLE DB Provider for ODBC drivers error
حال ما از این اطلاعات به دست آمده نتیجه می گیریم که موتور جیستجو سایت مورد نظر از نوع ODBC بوده و به یکی از اطلاعات وارده واکنش نشان داده و موجب شده است که دچار خطا در کار خود شود حال دیگه شما می توانید با عبارت هایی که موجب خطا در پایگاه شده است به پسورد و نام یوزر دست رسی پیدا کنید برای این منظور شما باید کدها را بسیار پیچیده تر و غیر قابل فهم تر کنید تا خوده پایگاه داده پسورد و نام کاربر را به شما نشان دهد (شاید هم به صورت هش پسورد و نام کاربر را به ما بدهد)
حال از روش ۲ استفاده می کنیم
شما وقتی از یکی از برنامه های خود شورکات می گیرید و آن را در صفحه ی دسکتاپ قرار می دهید به خوبی می دانید که این برنامه سورکات شده ظاهر برنامه است نه خوده برنامه و در صورتی که برنامه ی اصلی تغییر مکان دهد یا پاک شود در نتیجه شورکات آن نیز که ظاهر آن است از کار می افتد.
حال با توجه به این مثال نتیجه می گیریم که هر عکس یا هر پیوندی که در سایت وجود دارد به یکی جایی در دایرکتوری سایت وابسته است و برای آپلود شدن ابتدا به سراغ دایرکتوری می رود و چیز مورد نظر خود را پیدا می کند و آن را برای اپلود آماده می کند. این به این معنی است که پایگاه داده هم نیز در بخشی از دایرکتوری هر سایت ذخیره شده است پس در نتیجه ما باید یکی از دایرکتوری ها را پیدا کنیم تا بتوانیم به جایی که پایگاه در آنجا ذخیره شده است دسترسی پیدا کنیم
مثال برای هک یک سایت
بر روی یکی از پیوندها یا یکی از عکس های سایت کلیک راست کرده و از منوی باز شده گزینه ی properties را انتخاب کرده و در بخش آدرس نشانی پیوند را مشاهده می کنید .
www.Victim.com/images/bbo.php
ما از این آدرس نتیجه می گیریم که آ ن صفحه ی مورد در دایرکتوری images است پس در آدرس بار جستجو گر خود نشانی زیر را وارد می کنیم
www.Victim/images
حال مشاهده می کنید که به دایرکتوری سایت مورد نظر راه یافته سپس با کمی خالاقیت و جستجو ی خود می توانید فایل دیتا بیس سایت را پیدا کرده و آن را بر روی کامپیوتر خود کپی کرده و سپس آن را کرک کنید تا پسورد و یوزر را پیدا کنید
البته بعضی از سایتها برای بالا برده امنیت خود جلوی این قبیل راه یابی به دایرکتوری سایت را جلوگیری می کنند.
منبع : www.ajaxtm.com
برای هک کردن Data base یک سایت ما می توانیم از ۲ روش استفاده کنیم
۱- دادن کدهای مخرب
۲-پیدا کردن محل ذخیره شدن پایگاه داده
حال از روش ۱ استفاده می کنیم
اغلب در سایت های دینامیک از پایگاه داده برای انجام کارهای خود انجام می دهیم و دارای قسمتی برای عضو شدن در سایت و وارد شدن به قسمت کاربری خود هستند
حال شما بعد از ورود به این نوع صفحات باید در قسمت آدرس بار(قسمتی که نام سایت به همراه صفحه ی مورد نظر شما در آنجا وجود دارد)به نشانی ها کدهای مخرب خود را اضافه یا کدها را کم کنید
کدهای مخرب که پایگاه های داده اغلب دچار مشکل می شوند
۱-اعداد منفی
۲-اعداد فرد
۳- اعداد بزرگ
۴-علامت های اعشاری و درصد و ......
۵-کلمات اضافی
۶-عبارت های مشهور مانند image و data , user
مثالی از هک کردن دیتا بیس یک سایت به روش ۱
www.victim.com/userprofile.php
اجرای کدهای مخرب
www.Victim.com/userpeofile.php/20/$#/user
www.Victim.com/userprofile.php/-1(2*2)/25
www.Victim.com/userprofile.php/SaiedHacker.php
www.Victim.com/userprofile.php*user$$$$$/####%%%%%Login.php
و.....
در صورتی که پایگاه داده نتواند اطلاعات دریافتی را به درستی بخواند و ترجمه کنید موتور دستگاه از کار می افتد و پیغام خطایی می دهد یکی از خطاهایی که از پایگاه داده به دست آمده است
The page cannot be displayed
There is a problem with the page you are trying to reach and it cannot be displayed.
ALL ODBC Error Messages
Microsoft OLE DB Provider for ODBC drivers error
حال ما از این اطلاعات به دست آمده نتیجه می گیریم که موتور جیستجو سایت مورد نظر از نوع ODBC بوده و به یکی از اطلاعات وارده واکنش نشان داده و موجب شده است که دچار خطا در کار خود شود حال دیگه شما می توانید با عبارت هایی که موجب خطا در پایگاه شده است به پسورد و نام یوزر دست رسی پیدا کنید برای این منظور شما باید کدها را بسیار پیچیده تر و غیر قابل فهم تر کنید تا خوده پایگاه داده پسورد و نام کاربر را به شما نشان دهد (شاید هم به صورت هش پسورد و نام کاربر را به ما بدهد)
حال از روش ۲ استفاده می کنیم
شما وقتی از یکی از برنامه های خود شورکات می گیرید و آن را در صفحه ی دسکتاپ قرار می دهید به خوبی می دانید که این برنامه سورکات شده ظاهر برنامه است نه خوده برنامه و در صورتی که برنامه ی اصلی تغییر مکان دهد یا پاک شود در نتیجه شورکات آن نیز که ظاهر آن است از کار می افتد.
حال با توجه به این مثال نتیجه می گیریم که هر عکس یا هر پیوندی که در سایت وجود دارد به یکی جایی در دایرکتوری سایت وابسته است و برای آپلود شدن ابتدا به سراغ دایرکتوری می رود و چیز مورد نظر خود را پیدا می کند و آن را برای اپلود آماده می کند. این به این معنی است که پایگاه داده هم نیز در بخشی از دایرکتوری هر سایت ذخیره شده است پس در نتیجه ما باید یکی از دایرکتوری ها را پیدا کنیم تا بتوانیم به جایی که پایگاه در آنجا ذخیره شده است دسترسی پیدا کنیم
مثال برای هک یک سایت
بر روی یکی از پیوندها یا یکی از عکس های سایت کلیک راست کرده و از منوی باز شده گزینه ی properties را انتخاب کرده و در بخش آدرس نشانی پیوند را مشاهده می کنید .
www.Victim.com/images/bbo.php
ما از این آدرس نتیجه می گیریم که آ ن صفحه ی مورد در دایرکتوری images است پس در آدرس بار جستجو گر خود نشانی زیر را وارد می کنیم
www.Victim/images
حال مشاهده می کنید که به دایرکتوری سایت مورد نظر راه یافته سپس با کمی خالاقیت و جستجو ی خود می توانید فایل دیتا بیس سایت را پیدا کرده و آن را بر روی کامپیوتر خود کپی کرده و سپس آن را کرک کنید تا پسورد و یوزر را پیدا کنید
البته بعضی از سایتها برای بالا برده امنیت خود جلوی این قبیل راه یابی به دایرکتوری سایت را جلوگیری می کنند.
منبع : www.ajaxtm.com