मैंने अपने स्कूल की वेबसाइट को कैसे हैक किया (मेरे शहर के 1000+ डेटाबेस तक पहुंच प्राप्त की)
हैक करना मत सीखो, सीखने के लिए हैक करो।
आइए देखें कि एक इंटरमीडिएट के छात्र के रूप में मैंने अपने स्कूल की वेबसाइट को कैसे हैक किया।
यह लॉक-डाउन का समय था जब मैंने हैकिंग के क्षेत्र में प्रवेश किया और बहुत कुछ सीखा (किताबें पढ़कर) लेकिन व्यावहारिक ज्ञान नहीं था।
मैं वेबसाइट को हैक करने के बारे में कुछ लेख अपलोड कर रहा हूं, इसलिए फॉलो करना न भूलें ताकि आप उन्हें मिस न करें
#कार्रवाई का समय#
मैंने उद्धरण पढ़ा है कि "हैक करना मत सीखो, सीखने के लिए हैक करो" और यह मेरे लिए काम करता है। मैंने इसके बाद हैकिंग शुरू की और पाया कि कई बगों ने उन्हें रिपोर्ट किया लेकिन #दायरे से बाहर #।
मैं आमतौर पर सार्वजनिक कार्यक्रमों को हैक करता हूं। धीमी प्रक्रिया के बाद मैंने पाया कि अपने व्यावहारिक ज्ञान का परीक्षण करने के लिए मुझे कुछ ऐसी वेबसाइट हैक करनी पड़ीं जो अच्छी तरह से ज्ञात नहीं हैं। यह विदाई का दिन था 'हमारी तस्वीरें हमारे स्कूल की वेबसाइट पर अपलोड की गई थीं' इसलिए मैं वहां अपनी फोटो देखने जाता हूं लेकिन मेरी फोटो थी (आप अच्छी तरह जानते हैं) इसे छोड़ दें।
# बग पाया #
जब मुझे अपनी तस्वीर मिली, तो मैंने देखा कि URL 'https://my-school.co.in/galary.aspx?Id=343' जैसा था।
मैंने कुछ xss पेलोड डाला लेकिन फ़ायरवॉल उन्हें निष्पादित करने से रोक रहा है। कुछ समय बाद मुझे एहसास हुआ कि ज्यादातर I'd पैरामीटर SQL इंजेक्शन और बूम के लिए असुरक्षित हैं। जब मैं डालता हूं 'तो यह SQL त्रुटि दिखाता है, हाँ यह त्रुटि आधारित SQL इंजेक्शन है।
#मेरे शहर के 1000+ डेटाबेस मिले#
मैंने अपने स्कूल की वेबसाइट को sqlmap टूल में डाला, एक टूल जिसका उपयोग sql इंजेक्शन भेद्यता का शोषण करने के लिए किया जाता है। मैंने डेटाबेस निकालने के लिए नीचे दिए गए आदेश का उपयोग किया।
sqlmap -u https://my-schoool?id=356 --dbs
# एडमिन का पासवर्ड निकालना#
इसके बाद मैंने URL को sqlmap में डाल दिया। मैंने पाया कि वहाँ लगभग हर स्कूल डेटाबेस थे। इसलिए मैं "लॉगऑन" नाम की तालिका की तुलना में निकाले गए कॉलम की तुलना में अपने स्कूल डेटाबेस में जाता हूं, वहां मुझे व्यवस्थापक की साख मिलती है और इसलिए मैंने व्यवस्थापक और बूम के रूप में लॉग इन किया और मैं अपने स्कूल की वेबसाइट व्यवस्थापक पैनल में आ गया।
आदेश
'डी' डेटाबेस के लिए खड़ा है। 1:
sqlmap -u https://my-school?id=465 --column -D my-school-database
sqlmap -u https://my-school?id=465 --tables -C some-column
sqlmap -u https://my-school?id=465 -T logon --dump
मुझे हमारे शहर के स्कूलों का डेटाबेस भी मिला। हा हा।
उम्मीद है तुम्हें मजा आया ।
हैप्पी हैकिंग
![क्या एक लिंक्ड सूची है, वैसे भी? [भाग 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
