Регистрация Главная Пользователи Все разделы прочитаны
Сообщения за день Справка Регистрация
Навигация
Zhyk.org LIVE! Реклама на Zhyk.org Правила Форума Награды и достижения Доска "почета"

Слив бд с помощью Web Cruiser.

-

Статьи и описания по Lineage 2

- Статьи, квесты, карты и описания мира Lineage 2 в этом разделе

Ответ
 
Опции темы
Старый 26.12.2011, 09:02   #1
 Разведчик
Аватар для anjunabeats
 
anjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауру
Регистрация: 13.02.2010
Сообщений: 23
Популярность: 627
Сказал(а) спасибо: 228
Поблагодарили 133 раз(а) в 42 сообщениях
 
По умолчанию Слив бд с помощью Web Cruiser.

Предисловие.
Давно искал простую в использовании, программу - чекер на уязвимости с возможностью почти автоматического слива бд. И вот все таки мне это удалось. Имя этой программе - Web Cruiser. Да что тут говорить, казалось бы она может все. тут и XSS, и Cross site Scpirting, Sql injection. (с последним как раз то мы и будем работать). Так же есть возможность просматривать папки харда удаленного компьютера. Но мы сейчас не об этом, нас больше всего интересует непосредственно слив бд. Сейчас покажу и расскажу как это делается.
З.Ы. Если повтор - то удалите тему. Но тут я подобного нигде не видел.


Обзор программы

Начнем пожалуй.
1. Предварительно найдя сайт жертвы, копируем его URL и вставляем в одноименную строку в программе и нажимаем Scanner Вот так :
2. Далее мы перешли в окно вкладки сканнера уязвимостей программы. Жмем Scan Current Site, в появившемся окошке жмем "ОК" и видим что программа начала "ковыряться" в недрах сайта - во всем его содержимом, дабы найти уязвимость:

[Ссылки могут видеть только зарегистрированные пользователи. ]

Если все проходит успешно для нас, и сайт имеет "дыры" то программа обязательно найдет их и укажет о вышесказанных в нижнем окошке:

[Ссылки могут видеть только зарегистрированные пользователи. ]

З.Ы по завершению сканирования текущего сайта внизу появится значение "Done"

Что же нас интересует ? нас интересуют уязвимости URL Sql injection и POST Sql Injection! Если программа находит такие, то:
3. Жмем правой кнопкой на одну из уязвимостей - появляется окошко, в котором выбираем SQL INJECTION POC:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Мы перешли во вкладку SQL уязвимости сервера:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Что на нужно теперь!?
А теперь нам надо определить тип бд (Mysql,Sql server e.t.c) и дополнительные параметры которые нам доступны через эту самую уязвимость. Жмем внизу окошка "Get Environment Information" (см картинку выше)
Если все прошло успешно то программа найдет тип датабазы и выдаст нам столбцы с содержащейся в них информацией о дб и о сервере. Если же бд недоступна, то мы увидим окошечко с надписью "Get database Type Failed Please select DB type manually!"
4. Ставим галочки на том, что нам нужно - а это database и root_passwordhash (по желанию)и нажимаем еще раз Get Environment Information. Получаем название дб и рутовский хеш админа(от Sql сервера):


[Ссылки могут видеть только зарегистрированные пользователи. ]
В моем случае вместо хеша показал NULL потому что по каким либо причинам прога не смогла получить информацию или она недоступна. Так же если напротив датабазы будет написанно NULL, то это значит что скорее всего датабаза недоступна для нас (пробуем через другие, найденные уязвимости вышеописанным алгоритмом)

Дальше переходим во вкладку "DataBase", где уже видим нашу найденную дб.
5. Ставим галочку на нашей дб и жмем внизу окошка "Table".
Программа начнет загружать таблицы с выбранной нами дб:


[Ссылки могут видеть только зарегистрированные пользователи. ]
В левом нижнем углу, где я отметил параметр Done, в момент загрузки таблиц будет надпись Getting Table, затем что то типа Get 1/32,1/56 - это значит что все нормально и таблицы загружаются.

И так, покурив, попив чаю в общем подождав некоторое время (сразу говорю, таблицы загружаются не быстро. придется подождать.) Мы видим что все Sql таблицы загрузились. Нас интересует табличка Accounts.
6. Выбираем ее и жмем внизу "Column". Программа начинает загружать найденные столбцы в этой таблице.


[Ссылки могут видеть только зарегистрированные пользователи. ]
На данном скриншоте кнопка Column не активна, потому что была уже предварительно нажата !

Итак, спустя еще некоторое время видим что все нажи столбцы с таблицы Accounts загрузились. Теперь нам надо выбрать из этих столбцов параметры login и password. Ставим галочки на вышесказанных и видим, что в правой стороне вкладки, имитирующей таблицу sql появились эти самые столбцы.
7. Поле Rows from 1 to 2 отвечает за количество показываемых программой строк. Т.е. по дефолту будет показано 2 строки (с 1 по 2). Следовательно вместо 2 нужно поставить чило соответствующее количеству зарегистрированных аккаунтов. Часто количество аккаунтов можно посмотреть на сайте. Поставив галочки, нажимаем в правом нижнем углу кнопочку "Data".Начинают загружаться все значения этих столбцов, проще говоря все аккаунты и пароли.


[Ссылки могут видеть только зарегистрированные пользователи. ]

Занимает это очень продолжительное время (но поверьте, оно того стоит ).
8.Дождавшись загрузки всех аккаунтов и паролей (это можно будет понять по надписи Done в самом левом нижнем углу программы) жмем экспорт, и сохраняем нашу базу в xml расширении.
9. Открываем блокнотом и видим нашу слитую базу в виде акк:хеш и раруемся


[Ссылки могут видеть только зарегистрированные пользователи. ]

Вот собственно и все. Гайд предназначен в основном для новичков, но может и опытные юзвери найдут для себя полезную инфу
Всем спасибо за внимание.


Для работы программы необходим пакет Net Framework версии 2 или выше!
Ссылка на програму: [Ссылки могут видеть только зарегистрированные пользователи. ]
Virustotal: [Ссылки могут видеть только зарегистрированные пользователи. ]

Для тренировки можно использовать сайты _the-evil.ru и _ladream.com.ua. в первом пустая дб (видимо будующая), во втором случае база тестового сервера!
________________
Если чем то помог тыкай волшебную кнопочку
R102564399977
410011605993034

Последний раз редактировалось anjunabeats; 30.12.2011 в 09:52.
  Ответить с цитированием
52 пользователя(ей) сказали cпасибо:
>>X[a]k[e]R<< (26.12.2011), .::WizardS::. (31.05.2013), 3a4eT (28.03.2012), 4itbl (26.12.2011), Владечка (03.01.2012), allgood033 (26.12.2011), Amir1999 (16.02.2012), AnotherTest (20.07.2013), axela89 (14.01.2012), bonn (26.12.2011), Chi Yamada (24.06.2012), danilka111 (27.04.2012), Dom1nic (24.01.2013), Dream_Wizard (23.07.2012), DukcoH (03.01.2012), Ekzuperi (10.01.2013), Emperial (16.02.2012), exses (30.05.2012), Летящий сапог (14.10.2013), flymore (10.10.2013), Geraldo (09.04.2012), Guch (10.01.2012), МаЙоРчИк (16.07.2012), Про100Убийца (16.03.2012), Igoryan234 (23.02.2013), НогиВинниПуха (10.07.2013), InSiS (26.12.2011), JohnLennon (26.12.2011), Jumper (29.12.2011), KoT1kq (26.04.2015), lSiml (24.04.2012), Maliros (28.12.2011), meteor1462 (08.01.2013), Midsummer (05.03.2012), mirza (26.12.2011), MMavashi (12.05.2013), Nikot (27.02.2013), PrOveN (16.02.2012), rayan1 (15.02.2012), ro6ert (26.12.2011), rolinkt (26.12.2011), salemko (29.05.2012), shustrik1993 (24.11.2012), Spiritizm (02.03.2013), The Boss (28.02.2012), The_Cruiser (31.01.2012), VADIMA12 (13.07.2012), VolT18 (20.09.2012), W1nNeR (08.01.2015), WhiteJe (19.07.2012), YuraAAA (19.07.2012), Zephy (05.03.2012)
Старый 26.12.2011, 10:26   #2
 Разведчик
Аватар для anjunabeats
 
anjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауру
Регистрация: 13.02.2010
Сообщений: 23
Популярность: 627
Сказал(а) спасибо: 228
Поблагодарили 133 раз(а) в 42 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Цитата:
Сообщение от JohnLennonПосмотреть сообщение
такой вопрос напротив пасворд и хеш пишет нулл ну это понятно значит не доступно а на против датабейс не че не пнишет эт че значит ?

Отметь галочку на датабейс и потом перейди во вкладку датабейз. если там ничего нету - то значит дб не доступна. Ну во всяком случае можно попробовать просканить еще раз.
________________
Если чем то помог тыкай волшебную кнопочку
R102564399977
410011605993034
  Ответить с цитированием
Пользователь сказал cпасибо:
JohnLennon (26.12.2011)
Старый 27.12.2011, 05:45   #3
 Разведчик
Аватар для anjunabeats
 
anjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауруanjunabeats излучает ауру
Регистрация: 13.02.2010
Сообщений: 23
Популярность: 627
Сказал(а) спасибо: 228
Поблагодарили 133 раз(а) в 42 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Цитата:
Сообщение от IamWizZard1Посмотреть сообщение
такой вопрос:
слитые акки в виде акк:хеш нужно ещё будет расшифровывать в пассвордспро?

именно так и надо

Добавлено через 5 минут
Цитата:
Сообщение от 33232424Посмотреть сообщение
Хотелось бы узнать если ли софт вроде этого только что нибудь помощнее что умеет обходить защиту.

обходить защиту ? уважаемый это не гайд по бруту, это гайд по СЛИВУ бд...
тут уж если хорошая защита стоит то ее никак не обойдешь

Добавлено через 32 минуты
Цитата:
Сообщение от MezeonПосмотреть сообщение
Столкнулся с новой проблемой все база загрузилась ставлю галочку на accounts наимаю Colluь и ни чего не происходит помогите кто знает?

Повторяю, это происходит НЕ быстро...и прежде чем нажимать на загрузку столбцов(колумн) желательно чтобы вся дб уже была загружена, то есть стояло значение "Done"

Добавлено через 36 минут
Цитата:
Сообщение от xPRO100CAPSxПосмотреть сообщение
Сначала идет Getting Table
а потом сразу get length -1
в чем может быть проблема?

ждем минуту, если значение так и остается, либо напишет Done то таблицы не доступны

Добавлено через 1 час 1 минуту
Цитата:
Сообщение от InSiSПосмотреть сообщение
попроверял я тут сам и посоветовался эта прога только xss уезвимости находит норм а SQL криво так что буду дальше со стареньким SQL и Havij работать))

сугубо личное право каждого - с какой программой работать. я объяснил как удобнее

Добавлено через 1 час 6 минут
Цитата:
Сообщение от mirzaПосмотреть сообщение
Сделайте плиз видео гайд

сделаю до момента самого непосредственно слива.
________________
Если чем то помог тыкай волшебную кнопочку
R102564399977
410011605993034

Последний раз редактировалось anjunabeats; 27.12.2011 в 06:51. Причина: Добавлено сообщение
  Ответить с цитированием
Старый 28.12.2011, 18:07   #4
 Разведчик
Аватар для elvisman
 
elvisman на правильном путиelvisman на правильном пути
Регистрация: 23.02.2011
Сообщений: 6
Популярность: 112
Сказал(а) спасибо: 4
Поблагодарили 10 раз(а) в 9 сообщениях
Отправить сообщение для elvisman с помощью Skype™
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Цитата:
Сообщение от N7q1Посмотреть сообщение
Нахожу уйму уезвимостей... но постояно вот такая барода---> "Get database Type Failed Please select DB type manually!", Возможно я что не не правельно делаю? (или просто нет доступа к базе?)

Автор писал же, что не через каждую уязвимость получится слить бд, я сам в этом убедился, по моему это значит что база вообще не доступна, или по какой-то причине программа не может получиться к ней доступ, с моих же слов я делаю вывод, что с нормальных серверов именно по этому гайду бд слить не получится, возможно, что с больее расширенным гайдом что-то выйдет, а админы серваков тоже не дурачки...
  Ответить с цитированием
Старый 13.07.2012, 18:53   #5
 Сержант
Аватар для МаЙоРчИк
 
МаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядомМаЙоРчИк в состоянии испепелить взглядом
Регистрация: 30.12.2011
Сообщений: 110
Популярность: 5268
Золото Zhyk.Ru: 23
Сказал(а) спасибо: 432
Поблагодарили 556 раз(а) в 282 сообщениях
Отправить сообщение для МаЙоРчИк с помощью Skype™
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Цитата:
Сообщение от TastyRelaxxПосмотреть сообщение
Перезайлейте пожалуйста,не могу скачать;/

[Ссылки могут видеть только зарегистрированные пользователи. ] перезалил)
[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
3 пользователя(ей) сказали cпасибо:
achehin (13.07.2012), anjunabeats (28.09.2012), Zheludd (14.07.2012)
Старый 19.07.2012, 04:44   #6
Заблокирован
 Разведчик
Аватар для ™Extazic™
 
™Extazic™ скоро будет известен™Extazic™ скоро будет известен™Extazic™ скоро будет известен
Регистрация: 17.06.2010
Сообщений: 1
Популярность: 201
Сказал(а) спасибо: 1
Поблагодарили 102 раз(а) в 58 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

[Ссылки могут видеть только зарегистрированные пользователи. ]

Последний раз редактировалось ™Extazic™; 04.08.2012 в 23:15.
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
neTyIIIoK (07.08.2012), noxukau000 (27.07.2012)
Старый 21.07.2012, 22:45   #7
 Разведчик
Аватар для romansambo
 
romansambo никому не известный тип
Регистрация: 03.01.2012
Сообщений: 2
Популярность: 10
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Отправить сообщение для romansambo с помощью Skype™
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

спасибо!хорошая прога!
  Ответить с цитированием
Старый 26.07.2012, 20:08   #8
 Разведчик
Аватар для necro3078
 
necro3078 никому не известный тип
Регистрация: 11.07.2012
Сообщений: 2
Популярность: 10
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Гопосда, а что делать если отображает вместо читаемого текста квадратики и вопросики?????

Заранее благодарен за ответ.
  Ответить с цитированием
Старый 26.07.2012, 20:52   #9
 Старший сержант
Аватар для achehin
 
achehin скоро будет известенachehin скоро будет известенachehin скоро будет известенachehin скоро будет известен
Регистрация: 13.01.2011
Сообщений: 178
Популярность: 346
Золото Zhyk.Ru: 15
Сказал(а) спасибо: 70
Поблагодарили 66 раз(а) в 55 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Цитата:
Сообщение от necro3078Посмотреть сообщение
Гопосда, а что делать если отображает вместо читаемого текста квадратики и вопросики?????

Заранее благодарен за ответ.

судя по всему у вас в системе не хватает шрифта который используется в программе, или кодировка неправильно определяется
________________
Паяльник на 100 ватт увеличивает скорость брутфорса
Спасибка лучшая благодарность )))

Последний раз редактировалось achehin; 26.07.2012 в 21:00.
  Ответить с цитированием
Старый 26.07.2012, 22:11   #10
 Разведчик
Аватар для ecover
 
ecover никому не известный тип
Регистрация: 31.10.2011
Сообщений: 1
Популярность: 10
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Цитата:
Сообщение от achehinПосмотреть сообщение
судя по всему у вас в системе не хватает шрифта который используется в программе, или кодировка неправильно определяется

Столкнулся с аналогичной проблемой, а есть ли какие-нибудь варианты решения данной проблемы.
  Ответить с цитированием
Старый 28.07.2012, 14:48   #11
 Разведчик
Аватар для Playboy4uk
 
Playboy4uk никому не известный тип
Регистрация: 07.08.2011
Сообщений: 2
Популярность: 16
Сказал(а) спасибо: 0
Поблагодарили 3 раз(а) в 1 сообщении
Отправить сообщение для Playboy4uk с помощью ICQ
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Перепробовал около 50 нубацких серверов, ни на одном не удалось слить базу. Способ с данной программой еще актуален? Если актуален что и как? Если нет, дайте линк на другой РАБОЧИЙ гайд по сливке бд. Заранее благодарен
  Ответить с цитированием
Старый 29.07.2012, 23:15   #12
 Разведчик
Аватар для necro3078
 
necro3078 никому не известный тип
Регистрация: 11.07.2012
Сообщений: 2
Популярность: 10
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

И как поставить нужные шрифты, а главное как определить шрифты ли это вобще и какие нужны шрифты, кодировку менял в самой проге толку ноль.
  Ответить с цитированием
Старый 30.07.2012, 13:38   #13
 Разведчик
Аватар для nachsitzen12
 
nachsitzen12 никому не известный тип
Регистрация: 05.04.2012
Сообщений: 19
Популярность: 14
Сказал(а) спасибо: 2
Поблагодарили 3 раз(а) в 2 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

а если не находит уязвимости?
  Ответить с цитированием
Старый 05.08.2012, 15:44   #14
Заблокирован
 Разведчик
Аватар для PROFInoob8
 
PROFInoob8 на правильном путиPROFInoob8 на правильном пути
Регистрация: 10.07.2012
Сообщений: 3
Популярность: 185
Сказал(а) спасибо: 13
Поблагодарили 18 раз(а) в 14 сообщениях
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Что то не получаетсья сливать всегда NuLL пишет, вроде защита большая у серверов. киньте плиз сервер с каторых вы смогли слить)
  Ответить с цитированием
Старый 05.08.2012, 17:01   #15
 Разведчик
Аватар для lordik467
 
lordik467 излучает ауруlordik467 излучает ауруlordik467 излучает ауруlordik467 излучает ауруlordik467 излучает ауруlordik467 излучает ауру
Регистрация: 05.08.2012
Сообщений: 1
Популярность: 565
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Отправить сообщение для lordik467 с помощью Skype™
 
По умолчанию Re: Слив бд с помощью Web Cruiser.

Спасибо!! То что нужно. С первого раза разобрался))
  Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Помогите!] Обращение к Cruiser ыефдлук7392 Общение и обсуждение 1 30.11.2011 00:39
[Информация] The Cruiser Biwsnight PVP Room 2 29.07.2011 15:39
The Cruiser ToSTeР PVP Room 12 02.07.2011 10:01
[Уязвимость] Сила и скорость бега с помощью CЕ The-DreaM Баги, читы и статьи по Point Blank 34 20.07.2010 20:23

Заявление об ответственности / Список мошенников

Часовой пояс GMT +4, время: 12:26.

Пишите нам: [email protected]
Copyright © 2024 vBulletin Solutions, Inc.
Translate: zCarot. Webdesign by DevArt (Fox)
G-gaMe! Team production | Since 2008
Hosted by GShost.net