[Hướng dẫn] SQL Injection với Havij

DDos

VIP Members
22/10/2013
524
2.191 bài viết
[Hướng dẫn] SQL Injection với Havij
Havij là công cụ SQL injection tự động nó phép bạn tìm và khai thác lỗi SQL trên một trang web. Bằng việc sử dụng công cụ này, bạn có thể tìm lỗi, dành lấy một cơ cở dữ liệu người dùng ở dạng hash, lấy dữ liệu từ cơ sở dữ liệu nền, chạy câu lệnh SQL và thậm chí truy cập tới file hệ thống và thực hiện dòng lệnh trên hệ điều hành.

+ Các bước thực hiện

Bước 1: Download Havji từ google. Chúng ta cần cẩn trọng khi sử dụng các công cụ crack có sẵn trên Internet.

Bước 2: Sau khi đã có phần mềm Havij, chúng ta khởi chạy phần mềm:

1490892963hajiv1.jpg


Bước 3: Để sử dụng proxy (vì lý do an toàn cho bản thân), click vào nút Settings và điền địa chỉ proxy bạn có.


1490892963hajiv2proxy.jpg


Bước 4: Khi đã xác định được mục tiêu rõ ràng. Bạn có thể sử dụng google dork để tìm website mục tiêu. Nhập "inurl:/reservations.php?id=" trong ô tìm kiếm.

Bước 5: Điền địa chỉ website mục tiêu vào ô "Target". Sau đó bấn nút "Analyze"

Bước 6: Nếu webiste có khả năng bị tổn thương với lỗi SQL, bạn sẽ nhìn thấy phiên bản của DB SQL và tổng số cột sẽ được hiển thị trong hình dưới đây. Nếu website mục tiêu của bạn không có khả năng bị tổn thương với lỗi SQL, thì Hajiv thông báo cho bạn kết quả "âm tính" (negative outcome.)

1490892963hajiv3.jpg


Bước 7: Tiếp theo, click vào tab "Info" và đợi Havij kết thúc quá trình thu thập thông tin.


1490892963hajiv4.jpg


Bước 8: Click vào tab "Tables", bạn sẽ thấy danh sách cơ sở dữ liệu được liệt kê ở bên trái.

Bước 9: Chọn cơ sở dữ liệu mà bạn muốn và click vào nút "Get Tables".


1490892963hajiv5.jpg


Bước 10: Bạn sẽ tìm thấy tất cả các bảng được liệt kê ở bên trái như một "sub menu"

Bước 11: Xác định bảng mà bạn muốn để xâm nhập và click vào nó hoặc chọn tất cả các bảng có trong cơ sở dữ liệu. Trong trường hợp này, mình chọn bảng "mb_reservation"

1490892963hajiv6.jpg


Bước 12: Sau khi chọn bảng mục tiêu, click vào nút "Get Columns"


1490892963hajiv7.jpg


Bước 13: Khi các cột đã được liệt kê ra, chúng ta tìm tới cột mà chúng ta cần


1490892963hajiv8.jpg


Bước 14: Khi đã lựa chọn được cột mà chúng ta cần lấy dữ liệu, click vào nút "Get Data". Chúng ta cũng có thể lưu cột chúng ta muốn tới file .xml cho việc sử dụng sau này.

Bước 15: Như bức ảnh dưới đây, chúng ta đã truy cập thành công cơ sở dữ liệu với tất cả các thông tin về người dùng.


1490892963hajiv9.jpg


Bước 16: Bạn có thể sửa đổi thông tin trong cơ sở dữ liệu theo cách mà bạn muốn như email, phone, add,....


1490892963hajiv12.jpg

Done!
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: [Hướng dẫn] SQL Injection với Havij

Tìm mục tiêu khó quá :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên