Een database hacken

Pdf downloaden
Pdf downloaden

De beste manier om ervoor te zorgen dat je database is beveiligd tegen hackers, is door te denken als een hacker. Als je een hacker zou zijn, wat voor soort informatie zou je dan zoeken? Hoe zou je proberen om het te krijgen? Er zijn talrijke soorten databases en veel verschillende manieren om deze te hacken, maar de meeste hackers zullen proberen om het administrator-wachtwoord van de database te kraken of een bekende kwetsbaarheid van een database te benutten. Als je vertrouwd bent met SQL-instructies en de basisbeginselen van databases kent, kun je een database hacken.

Methode 1
Methode 1 van 3:

Met behulp van een SQL-injectie

Pdf downloaden
  1. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/4\/4b\/Hack-a-Database-Step-1-Version-3.jpg\/v4-460px-Hack-a-Database-Step-1-Version-3.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/4\/4b\/Hack-a-Database-Step-1-Version-3.jpg\/v4-728px-Hack-a-Database-Step-1-Version-3.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    [1] Je zult handig om moeten kunnen gaan met database-statements om deze methode te gebruiken. Open in je browser het loginscherm van de database en typ een ' (enkel aanhalingsteken) in het veld bedoeld voor de gebruikersnaam. Klik op 'Login'. Als je een foutmelding opmerkt die iets zegt als 'SQL Exception: quoted string not properly terminated' of 'invalid character', dan is de database kwetsbaar voor SQL-injecties.
  2. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/8\/80\/Hack-a-Database-Step-2-Version-3.jpg\/v4-460px-Hack-a-Database-Step-2-Version-3.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/8\/80\/Hack-a-Database-Step-2-Version-3.jpg\/v4-728px-Hack-a-Database-Step-2-Version-3.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    [2] Keer terug naar de loginpagina van de database (of een andere URL die eindigt op 'id=' of 'catid=') en klik in het adresveld van de browser. Na de URL druk je op de spatiebalk en typ je order by 1 , waarna je op Enter drukt. Verhoog het getal naar 2 en druk op Enter . Blijf hiermee doorgaan tot je een foutmelding krijgt. Het daadwerkelijk aantal kollommen is het getal dat je hebt ingevoerd voor het getal dat de foutmelding opleverde.
  3. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/3\/39\/Hack-a-Database-Step-3.jpg\/v4-460px-Hack-a-Database-Step-3.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/3\/39\/Hack-a-Database-Step-3.jpg\/v4-728px-Hack-a-Database-Step-3.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    Aan het einde van de URL in de adresbalk, wijzig je de catid=1 of id=1 in catid=-1 of id=-1 . Druk op de spatiebalk en typ union select 1,2,3,4,5,6 (als er 6 kolommen zijn). De cijfers moeten tot het totale aantal kolommen gaan, en elk moet worden gescheiden door een komma. Druk op Enter en je ziet de cijfers van elke kolom die een query accepteert.
  4. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/3\/39\/Hack-a-Database-Step-4.jpg\/v4-460px-Hack-a-Database-Step-4.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/3\/39\/Hack-a-Database-Step-4.jpg\/v4-728px-Hack-a-Database-Step-4.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    Bijvoorbeeld, als je de huidige gebruiker wilt weten en kolom 2 wilt injecteren, wis dan alles na id=1 in de URL en druk op de spatiebalk. Typ vervolgens union select 1,concat(user()),3,4,5,6-- . Druk op Enter en je ziet de naam van de huidige databasegebruiker op het scherm. Gebruik elk SQL-statement dat je wilt om informatie te achterhalen, zoals lijsten met gebruikersnamen en wachtwoorden om te kraken.
    Advertentie
Methode 2
Methode 2 van 3:

Het rootwachtwoord van een database kraken

Pdf downloaden
  1. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/2\/20\/Hack-a-Database-Step-5.jpg\/v4-460px-Hack-a-Database-Step-5.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/2\/20\/Hack-a-Database-Step-5.jpg\/v4-728px-Hack-a-Database-Step-5.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    Sommige databases hebben standaard geen administratorwachtwoord (admin), dus kun je mogelijk binnenkomen door het wachtwoordveld leeg te laten. Sommige andere hebben standaardwachtwoorden die gemakkelijk kunnen worden gevonden door te zoeken op helpfora voor databases.
  2. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/b\/b4\/Hack-a-Database-Step-6.jpg\/v4-460px-Hack-a-Database-Step-6.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/b\/b4\/Hack-a-Database-Step-6.jpg\/v4-728px-Hack-a-Database-Step-6.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    Als de admin de account heeft beveiligd met een wachtwoord (de waarschijnlijke situatie), probeer dan veelgebruikte gebruikersnaam/wachtwoord-combinaties. Sommige hackers plaatsen online lijsten met wachtwoorden die ze hebt gekraakt met behulp van onderzoeksprogramma's. Probeer enkele verschillende combinaties van een gebruikersnaam en wachtwoord.
    • Een gerenommeerde site met verzamelde wachtwoordlijsten is https://github.com/danielmiessler/SecLists/tree/master/Passwords.
    • Wachtwoorden met de hand proberen kan tijdrovend zijn, maar het kan geen kwaad om het een paar keer te proberen vóór je zwaarder geschut erbij gaat halen.
  3. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/7\/70\/Hack-a-Database-Step-7.jpg\/v4-460px-Hack-a-Database-Step-7.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/7\/70\/Hack-a-Database-Step-7.jpg\/v4-728px-Hack-a-Database-Step-7.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    [3] Je kunt diverse hulpprogramma's inzetten om duizenden woordenboekwoorden en letter/getal/symboolcombinaties te proberen met brute kracht, tot het wachtwoord is gekraakt.
    • Tools zoals DBPwAudit (voor Oracle, MySQL, MS-SQL en DB2) en Access Passview (voor MS Access) zijn populaire wachtwoordzoekprogramma's die kunnen worden losgelaten op de meeste databases. [4] Je kunt ook online zoeken naar nieuwere wachtwoordtools, specifiek voor je database. Zoek bijvoorbeeld naar password audit tool oracle db als je een Oracle-database wilt hacken.
    • Heb je een account op de server die als host optreedt van de database, dan kun je een 'hash-cracker' als John the Ripper gebruiken tegen het wachtwoordbestand van de database. De locatie van het hash-bestand is afhankelijk van de database. [5]
    • Download alleen van betrouwbare sites. Doe uitgebreid onderzoek naar tools alvorens ze te gebruiken.
    Advertentie
Methode 3
Methode 3 van 3:

Database-exploits uitvoeren

Pdf downloaden
  1. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/0\/09\/Hack-a-Database-Step-8.jpg\/v4-460px-Hack-a-Database-Step-8.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/0\/09\/Hack-a-Database-Step-8.jpg\/v4-728px-Hack-a-Database-Step-8.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    [6] Sectools.org houdt al meer dan tien jaar een catalogus bij van beveiligingsprogramma's (inclusief exploits). Hun tools zijn gerenommeerd en worden gebruikt door systeembeheerders over de hele wereld voor beveiligingstests. Blader door hun 'Exploitation'-gegevensbestand (of zoek een andere betrouwbare website) voor tools of tekstbestanden die je helpen bij het blootleggen van gaten in de beveiliging in databases.
    • Een andere site met exploits is www.exploit-db.com. Ga naar hun website en klik op de koppeling Zoeken, en zoek vervolgens naar het type database dat je wilt hacken (bijvoorbeeld 'oracle'). Typ de Captcha-code in het daarvoor bestemde veld en druk op de daarvoor bestemde knop om te zoeken.
    • Zorg ervoor dat je onderzoek doet naar alle exploits die je van plan bent om te proberen, zodat je wat weet je moet doen in het geval er potentiële problemen aan het licht komen.
  2. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/7\/72\/Hack-a-Database-Step-9.jpg\/v4-460px-Hack-a-Database-Step-9.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/7\/72\/Hack-a-Database-Step-9.jpg\/v4-728px-Hack-a-Database-Step-9.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    [7] Wardriving is rondrijden (of fietsen, of wandelen) in een gebied terwijl je een netwerkscanner (zoals NetStumbler of Kismet) draait, op jacht naar een onbeveiligd netwerk. Wardriving is technisch gezien legaal. Inbreken op dergelijke tijdens het wardriven gevonden netwerken, is niet legaal.
  3. {"smallUrl":"https:\/\/www.wikihow.com\/images_en\/thumb\/b\/b7\/Hack-a-Database-Step-10.jpg\/v4-460px-Hack-a-Database-Step-10.jpg","bigUrl":"https:\/\/www.wikihow.com\/images\/thumb\/b\/b7\/Hack-a-Database-Step-10.jpg\/v4-728px-Hack-a-Database-Step-10.jpg","smallWidth":460,"smallHeight":348,"bigWidth":728,"bigHeight":551,"licensing":"<div class=\"mw-parser-output\"><\/div>"}
    Als je iets doet wat je niet hoort te doen, is het waarschijnlijk geen goed idee om het te doen vanaf je eigen netwerk. Maak een draadloze verbinding met een van de open netwerken die je tijdens het wardriven hebt gevonden en voer de exploit uit die je hebt onderzocht en gekozen.
    Advertentie

Tips

  • Bescherm gevoelige gegevens altijd achter een firewall.
  • Zorg ervoor dat je je draadloze netwerken beveiligt met een wachtwoord, zodat wardrivers je thuisnetwerk niet kunnen gebruiken voor het uitvoeren van exploits.
  • Zoek andere hackers en vraag hen om tips. Soms wordt de beste hacking-kennis buiten het publieke internet gehouden.
Advertentie

Waarschuwingen

  • Neem nota van de wetten aangaande hacken en de gevolgen ervan in je land.
  • Probeer nooit om illegale toegang te krijgen tot een machine vanaf je eigen netwerk.
  • Inbreken op een database die niet van jezelf is, is illegaal.
Advertentie

Gerelateerde artikelen

Een unieke gebruikersnaam verzinnen
Een wachtwoord bedenken dat je makkelijk kunt onthouden
Toegang verkrijgen tot de WhatsApp‐account van een ander
Een geheime code ontcijferen
Een computer hacken
Een website hacken met simpele HTML code
BitLocker uitschakelen
Gmail hacken
Doen alsof je aan het hacken bent
Ouderlijk toezicht uitschakelen
Een onschuldig virus creëren
Controleren of je wordt geschaduwd
Hacker worden
Ouderlijk toezicht op het internet omzeilen
Advertentie

Bronnen

  1. http://blog.red-database-security.com/2009/01/17/tutorial-oracle-sql-injection-in-webapps-part-i/
  2. https://blog.udemy.com/sql-injection-tutorial/
  3. https://www.cs.virginia.edu/~csadmin/gen_support/brute_force.php
  4. http://opensourceeducation.net/database-auditing-with-open-source-tool/
  5. http://www.openwall.com/john/doc
  6. http://sectools.org
  7. http://www.seattletimes.com/business/seattles-packed-with-wi-fi-spots/

Over dit artikel

In andere talen
Deze pagina is 4.253 keer bekeken.

Was dit artikel nuttig?

Advertentie