Bom... esse é o meu primeiro tutorial \o/ kkk
Bom nesse tutorial eu vou ensinar a você um método de invasão de sites conhecido como SQL INJECTION.
O que é Sql Injection?
É uma vulnerabilidade existente nos dias de hoje, que si usa de uma manipulação em códigos sql. Esta vulnerabilidade permite ao atacante executar consultas ao banco de dados inserindo querys (comandos Sql) na url do site ou ate mesmo em campos de text. obtendo, assim, informações confidenciais como logins e senhas, dentre outros.
Hoje em dia são usadas muitas técnicas para explorar um banco de dados de um site servidor… Citarei algumas das técnicas.
1º Passo: Encontrar um site vulnerável.
Para isso vamos usar a seguinte string no google inurl:produtos.php?id=.
Aparecera uma lista de sites,escolha um e verifique se o site esta vulnerável a SQL INJECTION.
Suponhamos que voce escolheu o site:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]Para verficar se ele esta vulnerável é bem simples basta adicionar uma ASPAS no final do numero de ID.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]Se aparecer uma mensagem de erro SQL o site esta vulnerável,se o site carregar normalmente ele não esta,e so partir para outro e tentar.
2°Passo: Explorar a vulnerabilidade.
Bom primeiramente você tera que baixar um programa chamado HAVIJ... você podera encontrar ele pesquisando no google
Pra que serve o HAVIJ?
- Bom o HAVIJ é um programa que explora as falhas SQL no site... e te da o banco de dados ja pronto, para você não precisar utilizar os comandos.
3°Passo: Usando O HAVIJ.
Primeiramente abra o HAVIJ, depois cole no campo Target o link do site vulneravel sem as aspas ex:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]depois clique em Analyze e espere carregar...
Depois que carregar clique na aba Tables, selecione o Banco de dados e clique em Get Tables...
espere carregar. Procure o banco de dados com o nome user, admin, membro ou algo do tipo e
clique em Get Columns... depois disso selecione o campo login e senha, password e usuario ou
algo do tipo e clique em Get Date... Pronto... você pegou a senha do Adm do site... mais o
que eu faço agora?... simples, va na aba Find Admin e aperte Start e procure a pagina de
login do site...
Se por um acaso a senha vier criptografada va na aba MD5 e colque a senha criptografada e
aperte start, depois pegue a senha...
3°Passo: Upando a Shell no Site.
Depois de ter feito tudo isso vem a parte mais importante da SQL INJECTION...
primeiramente faça o login no site, depois procure alguma pagina que possa upar
arquivos ou fotos... upe sua Shell no site...
-O que é uma Shell? :S Tensoo...kkk
-Shell é um arquivo .txt .jpeg ou com outras extensões que quando upado em um site
vulneravel ele te da controle total do site... recomendo usar a Shell C99 ou R57
...
Depois de ter sua Shell em mãos upe ela no site.
Procure a pagina onde você upo a Shell e clique nela...
assim que abrir, procure pela index do site, exclua ela e subistitua por sua propria
index.
Prontoo Tutorial 97% meu
Crétido pra mim \0/ kk
By: Kinho_Op