1. Новые покупки

    28.05.2017: Workshop по прибыльным автоворонкам в TELEGRAM - Андрей Бер (2017)

    28.05.2017: Обучающий видеокурс по Slider Revolution

    28.05.2017: Интенсив TELEGRAM от Лаборатории бизнес кейсов (2017)

    28.05.2017: Белая схема. заработок полностью на автомате!

    28.05.2017: Абсолютно белая тема постоянного заработка от 40к в месяц

    26.05.2017: Скорочтение + Суперпамять. Управление информацией - Матюгин И.Ю

    26.05.2017: Измени свой мозг: Новые инструменты критического мышления

    26.05.2017: Как заработать с помощью прибыльных автоворонок с TELEGRAM - Андрей Бер (2017)

    25.05.2017: От 130 000 Зарабатывай сидя! (белая схема)

    23.05.2017: Законное освобождение от кредитов, ЖКХ и любых судебных решений!

    22.05.2017: PHP и MySQL с Нуля до Гуру 2.0 - Русаков (2017)

    22.05.2017: Подробная теория психосоматики - Зеленкова

    21.05.2017: Отборная Информатика - Computer Science Distilled

    21.05.2017: INSTASOFT 4.0.9.5

    18.05.2017: TheBrain - ваша персональная база знаний

    18.05.2017: Как за 8 недель запустить Бизнес на Амазоне с помощью AliExpress - ALI Academy

    18.05.2017: Финансовая грамотность - Станислав и Глеб Хрянины (2017)

    18.05.2017: Секреты хакеров! Полный курс по кибербезопасности - Udemy (2017)

    17.05.2017: Pro Context 2017. Convert Monster.

    17.05.2017: Музыка для видео и слайд-шоу + переводы уроков по видео

    16.05.2017: Самурай WordPress SEO: Rocket Edition (Новинка)

    15.05.2017: Быстрые деньги на Дропшиппинге - Валеев

    14.05.2017: Key Collector 3.7.4.2

    07.05.2017: Самый Легкий И В Тоже Время Самый Сложный Бот Для Понимания Соцсетью Вконтакте Vkontakte Superbot

    06.05.2017: Как зарабатывать от 50000 руб. сидя 4 часа в неделю в ВКонтакте - Жуковский (2017)

    05.05.2017: Фотошоп за 7 дней. Дизайн и реклама в малом бизнесе - Степаненко (2015)

    03.05.2017: Основы дизайна интерьеров - Highlights (2017)

    03.05.2017: Пассивная схема заработка

    01.05.2017: Базовый курс по стёбу [Второй Поток] - klinsman96 (2017)

    30.04.2017: сервис по лендингу

    28.04.2017: ЖИВОЙ МАРАФОН! 10 Денежных Дней С Ксенией Шокиной-Шокина (2017)

    25.04.2017: Дизайн вконтакте

    22.04.2017: [Бизнес Молодость] Выбор ниши 2017

    19.04.2017: Обучающий и интенсивный онлайн курс от ведущей иммиграционной компании Канады

    15.04.2017: Контрактные автозапчасти - Гордеев

    09.04.2017: Невероятно эффективная работа с VKPRO закрытый онлайн тренинг от Алексея Евстропова

    09.04.2017: Эффективное бизнес-планирование

    08.04.2017: Виртуальная ШКОЛА СКАЗКОТЕРАПИИ

    28.03.2017: [Muse] Доступ на год к сайту шаблонов Qooqee.com

    27.03.2017: [Lynda]Основы композитинга в After Effects: Ротоскопирование и обработка краев

    24.03.2017: Методика слива трафика. Арбитраж (Бурж и Ру)

    17.03.2017: Perfex CRM - мощнейшая crm и erp система на Codecanyon (1.6.2)

    14.03.2017: Поток клиентов из Инстаграм: Интенсив - Александра Гуреева (2016)

    06.03.2017: Как полностью раскрыть потенциал растений - Курдюмов

    03.03.2017: Закрытый профкурс кратчайший путь к профессионализму в трейдинге

    25.02.2017: Travelling with Hugh. Курс о путешествиях. Уроки с нейтивом

    21.02.2017: Бизнес форсаж. Н. Закхайм (2015)

    21.02.2017: Конструктор адаптивных email сообщений

    21.02.2017: Видео курс PRO 2.0. Партизанский маркетинг. 2017.

    21.02.2017: [Digital Tutors] Sculpting Male and Female Faces in ZBrush [ENG-RUS]

  2. Получи максимум инфопродуктов, оформи подписку всего за 295 рублей!
    Скрыть объявление

Чтиво Способ слива БД при помощи Web Cruiser.

Тема в разделе "Разное", создана пользователем Gustav, 13 фев 2016.

  1. Gustav

    Gustav Команда форума Администратор

    Сообщения:
    3.125
    Симпатии:
    12.965
    Способ слива БД при помощи Web Cruiser.

    Давно искал простую в использовании, программу - чекер на уязвимости с возможностью почти автоматического слива бд. И вот все таки мне это удалось. Имя этой программе - Web Cruiser. Да что тут говорить, казалось бы она может все. тут и XSS, и Cross site Scpirting, Sql injection. (с последним как раз то мы и будем работать). Так же есть возможность просматривать папки харда удаленного компьютера. Но мы сейчас не об этом, нас больше всего интересует непосредственно слив бд. Сейчас покажу и расскажу как это делается.

    Обзор программы:
    1.jpg

    1. Предварительно найдя сайт жертвы, копируем его URL и вставляем в одноименную строку в программе и нажимаем Scanner Вот так:

    2.jpg

    2. Далее мы перешли в окно вкладки сканера уязвимостей программы. Жмем Scan Current Site, в появившемся окошке жмем "ОК" и видим что программа начала "ковыряться" в недрах сайта - во всем его содержимом, дабы найти уязвимость:

    3.jpg

    Если все проходит успешно для нас, и сайт имеет "дыры" то программа обязательно найдет их и укажет о вышесказанных в нижнем окошке:

    4.jpg

    З.Ы по завершению сканирования текущего сайта внизу появится значение "Done"

    Что же нас интересует ? Нас интересуют уязвимости URL Sql injection и POST Sql Injection! Если программа находит такие, то: 3. Жмем правой кнопкой на одну из уязвимостей - появляется окошко, в котором выбираем SQL INJECTION POC: Мы перешли во вкладку SQL уязвимости сервера:

    5.jpg

    Что на нужно теперь!? А теперь нам надо определить тип бд (Mysql,Sql server e.t.c) и дополнительные параметры которые нам доступны через эту самую уязвимость. Жмем внизу окошка "Get Environment Information" (см картинку выше) Если все прошло успешно то программа найдет тип датабазы и выдаст нам столбцы с содержащейся в них информацией о дб и о сервере. Если же бд недоступна, то мы увидим окошечко с надписью "Get database Type Failed Please select DB type manually!"

    4. Ставим галочки на том, что нам нужно - а это database и root_passwordhash (по желанию)и нажимаем еще раз Get Environment Information. Получаем название дб и рутовский хеш админа(от Sql сервера):

    6.jpg

    В моем случае вместо хеша показал NULL потому что по каким либо причинам прога не смогла получить информацию или она недоступна. Так же если напротив датабазы будет написанно NULL, то это значит что скорее всего датабаза недоступна для нас (пробуем через другие, найденные уязвимости вышеописанным алгоритмом)

    Дальше переходим во вкладку "DataBase", где уже видим нашу найденную дб.
    5. Ставим галочку на нашей дб и жмем внизу окошка "Table".
    Программа начнет загружать таблицы с выбранной нами дб:

    В левом нижнем углу, где я отметил параметр Done, в момент загрузки таблиц будет надпись Getting Table, затем что то типа Get 1/32,1/56 - это значит что все нормально и таблицы загружаются.

    И так, покурив, попив чаю в общем подождав некоторое время (сразу говорю, таблицы загружаются не быстро. придется подождать.) Мы видим что все Sql таблицы загрузились. Нас интересует табличка Accounts.
    6. Выбираем ее и жмем внизу "Column". Программа начинает загружать найденные столбцы в этой таблице.

    Итак, спустя еще некоторое время видим что все нажи столбцы с таблицы Accounts загрузились. Теперь нам надо выбрать из этих столбцов параметры login и password. Ставим галочки на вышесказанных и видим, что в правой стороне вкладки, имитирующей таблицу sql появились эти самые столбцы.

    7. Поле Rows from 1 to 2 отвечает за количество показываемых программой строк. Т.е. по дефолту будет показано 2 строки (с 1 по 2). Следовательно вместо 2 нужно поставить чило соответствующее количеству зарегистрированных аккаунтов. Часто количество аккаунтов можно посмотреть на сайте. Поставив галочки, нажимаем в правом нижнем углу кнопочку "Data".Начинают загружаться все значения этих столбцов, проще говоря все аккаунты и пароли.

    7.jpg

    Занимает это очень продолжительное время (но поверьте, оно того стоит ).

    8.Дождавшись загрузки всех аккаунтов и паролей (это можно будет понять по надписи Done в самом левом нижнем углу программы) жмем экспорт, и сохраняем нашу базу в xml расширении. 9. Открываем блокнотом и видим нашу слитую базу в виде акк:хеш и радуемся Вот собственно и все. Гайд предназначен в основном для новичков, но может и опытные юзеры найдут для себя полезную инфу. Всем спасибо за внимание.



    Софт:
     
    wakariio нравится это.
  2. webweb

    webweb Пользователь

    Сообщения:
    160
    Симпатии:
    24
    и выскакивает окно с ошибкой, на этом работа заканчивается)
     
  3. webweb

    webweb Пользователь

    Сообщения:
    160
    Симпатии:
    24
    :bbluuush: все в норме, просто интернет потух, я не заметил.)