segunda-feira, 4 de março de 2013

SQL Injection. Havij – Parte 2


 



O HAVIJ é uma ferramenta automatizada que ajuda realizar testes de invasão, achando e explorando vulnerabilidades em páginas e aplicações web com banco de dados.

Apesar da ferrmanta rodar somente na plataforma Windows, ela suporta diversos banco de dados.

Dando continuidade a série SQL Injection, vou mostrar como funciona a ferramenta, através de suas telas.

Abaixo segue a tela inicial do Havij:

Veja que digitando no campo TARGET a URL a ser testada, na parte inferior é mostrada algumas informações como versão do banco de dados, versão do php, entre outras.

 

Após verificar as vulnerabilidades é possível visualizar o nome do banco e as tabelas clicando no botão Tables e Get Tables.



Para listar as colunas de uma determinada tabela selecione a tabela desejada e clique GET Columns.



 

Aqui você pode listar as colunas da tabela e seu conteúdo clicando em Get Data


 

Descobrindo as urls de administração do site.


 

Acessando a url de administração.


 

Acesso à url de administração solicitando login e senha.
 
 
O Havij possui a opção para quebrar senhas através do hash MD5.

 


Nos próximos posts falarei mais sobre o SQLi, porém para não ficar algo maçante, vou procurar falar mais sobre outros assuntos de interesse geral.

Sugestões são sempre bem vindas.

Grande abraço a todos!

Nenhum comentário:

Postar um comentário