PDF download PDF herunterladen PDF download PDF herunterladen

Die beste Möglichkeit, um sicherzustellen, dass deine Datenbank vor Hackern sicher ist, ist, zu denken wie ein Hacker. Wenn du ein Hacker wärst, nach welcher Art Informationen würdest du suchen? Wie würdest du versuchen, an diese heranzukommen? Es gibt zahlreiche Datenbank-Typen und viele verschiedene Möglichkeiten, diese zu hacken, aber die meisten Hacker werden entweder versuchen, das root-Passwort der Datenbank zu knacken oder einen bekannten Datenbank-Exploit auszuführen. Wenn du sicher bist im Umgang mit SQL Statements und die Datenbank-Grundlagen verstehst, kannst du eine Datenbank hacken.

Methode 1
Methode 1 von 3:

Eine SQL Injection nutzen

PDF download PDF herunterladen
  1. [1] Für diese Methode musst du geschickt im Umgang mit Datenbank-Statements sein. Öffne die Web-Schnittstelle der Datenbank in deinem Browser und tippe ein (einzelnes Anführungszeichen) in das Feld Benutzername ein. Klicke auf "Login". Wenn du einen Ausnahmefehler bekommst, der besagt, dass das Zeichen ungültig ist, ist die Datenbank durch SQL Injections angreifbar.
  2. [2] Kehre zurück auf die Login-Seite für die Datenbank (oder eine andere URL, die auf “id=” oder “catid=” endet) und klicke in die Adresszeile des Browsers. Gib nach der URL ein Leerzeichen ein und tippe order by 1 ein. Drücke dann auf Enter . Erhöhe die Zahl auf 2 und drücke auf Enter . Erhöhe die Zahl immer weiter, bis du eine Fehlermeldung bekommst. Die tatsächliche Anzahl der Spalten ist die Zahl, die du vor der Zahl eingegeben hast, bei der du eine Fehlermeldung bekommen hast.
  3. Ändere am Ende der URL in der Adressleiste catid=1 oder id=1 auf catid=-1 oder id=-1 . Drücke auf die Leertaste und tippe union select 1,2,3,4,5,6 ein (wenn es sechs Spalten gibt). Die Zahlen sollten durchgängig bis zur Gesamt-Spaltenanzahl gehen und jeweils durch ein Komma getrennt werden. Drücke auf Enter und du wirst die Nummern der Spalten sehen, die eine Abfrage akzeptieren.
  4. Wenn du z. B. den aktuellen Benutzer wissen möchtest und die Injektion in Spalte 2 einfügen möchtest, lösche alles nach id=1 in der URL und drücke auf die Leertaste. Tippe dann union select 1,concat(user()),3,4,5,6-- ein. Drücke auf Enter und du siehst den Namen des aktuellen Datenbank-Benutzers auf dem Bildschirm. Verwende alle gewünschten SQL Statements, um Informationen zu erhalten, z. B. die Liste der Benutzernamen und der zu knackenden Passwörter.
    Werbeanzeige
Methode 2
Methode 2 von 3:

Das root-Passwort der Datenbank knacken

PDF download PDF herunterladen
  1. Manche Datenbanken haben standardmäßig kein root (Admin) Passwort, daher kann es sein, dass du hineinkommst, wenn du das Passwortfeld frei lässt. Andere Datenbanken haben Standard-Passwörter, die du leicht finden kannst, indem du in Tech-Foren für Datenbanken danach suchst.
  2. Wenn der Admin den Account mit einem Passwort gesichert hat (was wahrscheinlich der Fall ist), versuche es mit häufigen Benutzername-Passwort-Kombinationen. Manche Hacker posten öffentlich Listen von Passwörtern, die sie mit Auditing Tools geknackt haben. Versuche es mit verschiedenen Kombinationen aus Benutzernamen und Passwörtern.
    • Eine anerkannte Seite mit einer Liste gesammelter Passwörter ist https://github.com/danielmiessler/SecLists/tree/master/Passwords.
    • Das Ausprobieren von Passwörtern von Hand kann zeitaufwändig sein, aber es schadet nicht, es einmal auszuprobieren, bevor du die großen Geschütze auffährst.
  3. Du kannst verschiedene Tools nutzen, um mit brachialer Gewalt tausende Wörter aus dem Wörterbuch und Buchstaben-Zahlen-Zeichenkombinationen auszuprobieren, bis das Passwort geknackt wurde.
    • Tools wie DBPwAudit (für Oracle, MySQL, MS-SQL und DB2) und Access Passview (für MS Access) sind beliebte Password Auditing Tools, die auf die meisten Datenbank angesetzt werden können. [3] Du kannst auch in Google nach neueren Password Auditing Tools speziell für deine Datenbank suchen. Führe z. B. eine Suche nach password audit tool oracle db durch, wenn du eine Oracle Datenbank hackst.
    • Wenn du einen Account auf dem Server, der die Datenbank hostet, hast, kannst du einen Hash Cracker wie John the Ripper auf die Passwort-Datei der Datenbank ansetzen. Der Ort der hash-Datei hängt von der Datenbank ab. [4]
    • Lade nur von Seiten herunter, denen du vertrauen kannst. Recherchiere die Tools umfassend, bevor du sie nutzt.
    Werbeanzeige
Methode 3
Methode 3 von 3:

Datenbank-Exploits ausführen

PDF download PDF herunterladen
  1. [5] Sectools.org katalogisiert schon seit über zehn Jahren Sicherheits-Tools (einschließlich Exploits). Ihre Tools sind seriös und werden von Systemadministratoren auf der ganzen Welt zum Test der Sicherheit eingesetzt. Blättere durch deren “Exploitation” Datenbank (oder finde eine andere vertrauenswürdige Seite), um Tools oder Textdateien zu finden, die dir helfen, Sicherheitslöcher in Datenbanken auszunutzen.
    • Eine andere Seite mit Exploits ist www.exploit-db.com. Gehe auf deren Webseite und klicke auf den Suchen-Link. Suche dann nach der Art Datenbank, die du hacken möchtest (z. B. “oracle”). Tippe das Captcha ein und starte die Suche.
    • Stelle sicher, dass du alle Exploits, die du ausprobieren möchtest, recherchierst, damit du weißt, was du im Fall von möglichen Problemen tun musst.
  2. [6] Wardriving bedeutet, dass du in einer Gegend herumfährst (ob mit dem Auto oder dem Fahrrad oder auch zu Fuß), während du ein Tool zum Scannen von Netzwerken laufen hast (wie etwa NetStumbler oder Kismet), um ungesicherte Netzwerke zu finden. Wardriving ist technisch gesehen legal. Über ein Netzwerk, das du während des Wardriving gefunden hast, etwas Illegales auszuführen, ist es nicht.
  3. Wenn du etwas tust, das du nicht tun sollst, ist es wahrscheinlich keine gute Idee, es aus deinem eigenen Netzwerk zu machen. Verbinde dich drahtlos mit einem der offenen Netzwerke, die du während des Wardriving gefunden hast, und führe den gewählten und recherchierten Exploit aus.
    Werbeanzeige

Tipps

  • Halte sensitive Daten immer hinter einer Firewall.
  • Schütze deine drahtlosen Netzwerk immer mit einem Passwort, damit Wardriver deine Heimnetzwerke nicht für die Ausführung ihrer Exploits nutzen können.
  • Finde andere Hacker und frage nach Tipps. Manchmal wird das beste Hacker-Wissen nicht im öffentlichen Internet geteilt.
Werbeanzeige

Warnungen

  • Verstehe die Gesetze und Auswirkungen des Hackens in deinem Land.
  • Versuche niemals, aus deinem eigenen Netzwerk illegalen Zugang auf einen Rechner zu erlangen.
  • Zugang zu einer Datenbank zu erlangen, die nicht deine ist, ist illegal.
Werbeanzeige

Über dieses wikiHow

Diese Seite wurde bisher 10.161 mal abgerufen.

War dieser Artikel hilfreich?

Werbeanzeige