jeudi 3 novembre 2011

Pirater un site web vulnerable a sql injection avec Havij

Avant de commencer je signale que je ne suis po responsable pour tout acte illégal (piratage via sql injection ou havij ou autre)résultant de l'application de ce tutoriel , car je l'ai fait pour une raison éducative pure et je conseil de faire la pratique et le piratage sur son propre site web , je ne peux en aucun cas être responsable des actes malveillants resultants de l'utilisation de ce tutoriel
enjoy:)

1ere etape :

telecharger havij 1.10 ici http://www.itsecteam.com/products/havij-v116-advanced-sql-injection/

2eme etape

trouver un site vulnerable a sql injection et ca se fait comme ca d'abord telecharger la liste des dorks suivante (simple fichier texte qui va être utilisé pour sql injection)

http://worldajith.blogspot.fr/2012/12/huge-google-dork-list.html

puis copie une ligne du fichier text (un dork ) par exemple

la ligne suivante inurl:index.php?id=

et met la dans la zone de recherche google avec par exemple un mot spécifique pour les sites que tu veut pirater par exemple intext:"satan" inurl:"index.php?id=" pour les sites qui content le mot satan dans leur corps (ainsi on trouvera les site qui sont vulnérable a sql injection par le dork index.php?id )
si tu veux chercher dans les titres des pages tu met ititle:"satan" inurl:index.php?id=
de tout facon pour une profande maitrise de la recherche avec google va dans la section piratger avec google du forum

supposant que t'as trouvé le site suivant dans la liste retournée par google

http://www.hhhhhhhh.com/productinfo.php?id=285

attention n'en faite rien sinon tu risque la prison

3eme étape : On commence le serieux

démarrer havij
metter le site vulnérable dans la zone target
et click sur analyze
voir la photo suivant




puis attendre la fin du travail (il attaque le site si il est vulnérable a sql injection)

havij commence a afficher des messages.
(si il n'affiche rien ca veut dire que ton site n'est pas vulnérable a la blind sql injection et havij ne peux rien faire pour toi )
attend jusque a ce qu'il afficher le nom de la base de données.




apres click sur tables pour afficher les tables de la base de données et attendre a ce qu elles soient affichées
tu sélectionne les tables dont t'es interessé par exemple useres :d je pense qu' on y trouvera des mots de passe puis tu click sur get columns
enfin slectionne username ou email et password et click sur get data



tratata et maintenant t'as les base de données entre tes mains


c est vrai que les mots de passe sont des hashs qui il faut cracker alors tu copier le mot de passe et le colle dans la zone md5 et le programme va chercher dans des base de donneés comme dans le celebre milw0rm qui malheureusement n'existe plus

t as devant toi deux choses
soit le mot de passe et deja dans une des bases de données en clair et tu est sauvé sinon il faut
cracker le mot de passe avec un cracker comme cain
pour une demo en video

http://www.youtube.com/watch?v=3PtguRynZ5M&feature=player_embedded

1 commentaire:

  1. Apprenez à recuperez un compte gratuitement et facilement 458

    Download Software professionnel ▄︻̷̿┻̿═━一 http://geek-bot.com/comment-pirater-un-compte-facebook-gratuitement-sans-offre

    ▄︻̷̿┻̿═━一 comment pirater un compte facebook 2016

    RépondreSupprimer

Related Posts with Thumbnails