Добро пожаловать обратно, мои начинающие хакеры White Hat !
В предыдущих уроках этой серии я рассказал вам об основах SQL-инъекции (самого распространённого метода взлома онлайн-баз данных), а также о том, как использовать её против базы данных MySQL . В этом уроке мы рассмотрим, как извлечь ключевые данные из этой базы данных, что и является нашей конечной целью!
Шаг №1: Проведите разведку, чтобы получить необходимую информацию
Первый шаг, конечно же, — это провести разведку базы данных с помощью SQLMAP через веб-приложение. Для успешного извлечения данных нам потребуется:
1. тип системы управления базами данных (СУБД)
2. имя базы данных
3. название таблиц
4. имя столбца, данные которого мы хотим извлечь
В нашем предыдущем уроке мы получили всю эту информацию с веб-сайта www.webscantest.com.
Вы можете выполнить следующие шаги или вернуться к разделу «Взлом баз данных, часть 3».
Затем мы извлекли таблицы и столбцы из базы данных, как показано ниже.
В таблице заказов мы видим, что данные кредитной карты хранятся для каждого заказа, полученного компанией. Это то, что нам нужно!
Шаг №2: Извлечение данных
Теперь, когда у нас есть вся необходимая ключевая информация, пора извлечь данные кредитной карты. Вернёмся к экрану справки по sqlmap. Просто введите:
кали > sqlmap –помощь
Как видите выше, нам нужно использовать опцию –dump в sqlmap вместе с именем столбца и таблицы. Например:
-свалка
-C billing_CC_number
-Т заказы
-D webscantest
Давайте соберем всю эту информацию и посмотрим, сможем ли мы извлечь данные кредитной карты из базы данных.
kali > sqlmap -u “http://www.webscantest.com/datastore/search_get_by_id.php?id=4” –dump -C billing_CC_number -T orders -D webscantest
Как вы можете видеть выше, sqlmap извлек и выгрузил данные в мою систему Kali в формате .csv и сохранил их в:
/root/.sqlmap/output/www.webscantest.com/dump/webscantest/orders.csv
Теперь у нас есть все
данные кредитных карт в формате CSV-файла, который можно открыть в Excel, текстовом редакторе или любой программе для работы с электронными таблицами.
Конечно, если нам нужны дополнительные данные, например даты истечения срока действия или имя и фамилия, мы можем извлечь эти данные, просто заменив имя столбца кредитной карты в нашей команде sqlmap на соответствующее имя столбца (например, billing_firstname) в таблице.
Заключение
Мы успешно взломали серверную базу данных веб-приложения, используя техники SQL-инъекции, и, что самое главное, нам удалось извлечь из неё ключевые данные. В следующих уроках мы рассмотрим дополнительные способы взлома и извлечения данных из онлайн-баз данных, так что заходите ещё!
В предыдущих уроках этой серии я рассказал вам об основах SQL-инъекции (самого распространённого метода взлома онлайн-баз данных), а также о том, как использовать её против базы данных MySQL . В этом уроке мы рассмотрим, как извлечь ключевые данные из этой базы данных, что и является нашей конечной целью!
Шаг №1: Проведите разведку, чтобы получить необходимую информацию
Первый шаг, конечно же, — это провести разведку базы данных с помощью SQLMAP через веб-приложение. Для успешного извлечения данных нам потребуется:
1. тип системы управления базами данных (СУБД)
2. имя базы данных
3. название таблиц
4. имя столбца, данные которого мы хотим извлечь
В нашем предыдущем уроке мы получили всю эту информацию с веб-сайта www.webscantest.com.
Вы можете выполнить следующие шаги или вернуться к разделу «Взлом баз данных, часть 3».
Затем мы извлекли таблицы и столбцы из базы данных, как показано ниже.
В таблице заказов мы видим, что данные кредитной карты хранятся для каждого заказа, полученного компанией. Это то, что нам нужно!
Шаг №2: Извлечение данных
Теперь, когда у нас есть вся необходимая ключевая информация, пора извлечь данные кредитной карты. Вернёмся к экрану справки по sqlmap. Просто введите:
кали > sqlmap –помощь
Как видите выше, нам нужно использовать опцию –dump в sqlmap вместе с именем столбца и таблицы. Например:
-свалка
-C billing_CC_number
-Т заказы
-D webscantest
Давайте соберем всю эту информацию и посмотрим, сможем ли мы извлечь данные кредитной карты из базы данных.
kali > sqlmap -u “http://www.webscantest.com/datastore/search_get_by_id.php?id=4” –dump -C billing_CC_number -T orders -D webscantest
Как вы можете видеть выше, sqlmap извлек и выгрузил данные в мою систему Kali в формате .csv и сохранил их в:
/root/.sqlmap/output/www.webscantest.com/dump/webscantest/orders.csv
Теперь у нас есть все
данные кредитных карт в формате CSV-файла, который можно открыть в Excel, текстовом редакторе или любой программе для работы с электронными таблицами.
Конечно, если нам нужны дополнительные данные, например даты истечения срока действия или имя и фамилия, мы можем извлечь эти данные, просто заменив имя столбца кредитной карты в нашей команде sqlmap на соответствующее имя столбца (например, billing_firstname) в таблице.
Заключение
Мы успешно взломали серверную базу данных веб-приложения, используя техники SQL-инъекции, и, что самое главное, нам удалось извлечь из неё ключевые данные. В следующих уроках мы рассмотрим дополнительные способы взлома и извлечения данных из онлайн-баз данных, так что заходите ещё!
