O HAVIJ é uma ferramenta automatizada que
ajuda realizar testes de invasão, achando e explorando vulnerabilidades em
páginas e aplicações web com banco de dados.
Apesar da ferrmanta rodar somente na
plataforma Windows, ela suporta diversos banco de dados.
Dando continuidade a série SQL Injection, vou
mostrar como funciona a ferramenta, através de suas telas.
Abaixo segue a tela inicial do Havij:
Veja que digitando no campo TARGET a URL a
ser testada, na parte inferior é mostrada algumas informações como versão do
banco de dados, versão do php, entre outras.
Após verificar as vulnerabilidades é possível
visualizar o nome do banco e as tabelas clicando no botão Tables e Get Tables.
Para listar as colunas de uma determinada
tabela selecione a tabela desejada e clique GET
Columns.
Aqui você pode listar as colunas da tabela e
seu conteúdo clicando em Get Data
Descobrindo as urls de administração do site.
Acessando a url de administração.
Acesso à url de administração solicitando
login e senha.
O Havij possui a opção para quebrar senhas
através do hash MD5.
Nos próximos posts falarei mais sobre o SQLi,
porém para não ficar algo maçante, vou procurar falar mais sobre outros
assuntos de interesse geral.
Sugestões são sempre bem vindas.
Grande abraço a todos!
Nenhum comentário:
Postar um comentário