[Tut] Script-kiddies si Havij

[vLaDdO96]

[] Nu am gasit categorie necesara, asa ca postez aici.

Aberand pe forum, vedeam cati haceri are romania. Aparuti peste noapte, zici ca-s vreun fel de gândaciuni gasite pe sub pat. Sa nu deviez de la subiect, revin unde eram. Si pe forum, am gasit niste specimene numite script-kiddies (prosti copii de 10-14 ani care se folosesc de programe ca sa gaseasca vulnerabilitati in site-uri si dupa zic “hacked by xyz”, unde “xyz” este necesar unui hacer, un nume de über-leet ca sa para mai agresiv). Printre acele programe necesare unui hacker script-kiddie, este Havij. Il gasiti de asemenea aici. Havij este un programel care face SQLi-ul manual sa para mai greu decat vulcanizarea unui prezervativ. Hum, ce face ? Prin apasarea unui buton reuseste injectia SQL fara probleme. Lasand la o parte acesti copilasi care reusesc sa ‘sparga’ site-uri cu ajutorul a n programe, sa revenim la cei care sunt mai ‘invechiti’ asa, si e mai grele cu pi-si-ul. So, in urmatoarele randuri gasim un frumos tutorial facut manual, de data asta .

1. Deschiderea executabilei.

2. Gasirea unui site vulnerabil.

a. Deschidem pe gogu’

b. Introducem dork-ul pe care-l dorim (mai sus am folosit cel pentru ‘index.php?id=’)

c. Click pe 185792365 linkuri si dupa testam manual daca site-ul este vulnerabil prin introducerea caracterului ” ‘ ” inainte de valoarea aflata dupa id= (in cazul de fata)

d. Se incearca link urmator : Bensons, commercial and residential property construction, development and maintenance (credite lui Snoopy pentru gasirea SQLi-ului)

e. Se pune apostroful dupa “id=”

Ta-daam ! Ati gasit website vulnerabil !

3. In Havij-ul deschis bagam link fara apostrof, se apasa “Analyze” si asteptam …

Dupa ce asteptam, obtinem o abureala de text, ca urmatoarea :

Havij 1.10 ready!
Analyzing http://bensonbros.co.uk/newsdetail.php?id=69
Host IP: 62.249.212.194
Web Server: Apache/1.3.41 (Unix) PHP/5.2.10 mod_log_bytes/1.2 mod_bwlimited/1.4 mod_ssl/2.8.31 OpenSSL/0.9.8a
Powered-by: PHP/5.2.10
Keyword Found: office
Injection type is Integer
DB Server: MySQL >=5
Selected Column Count is 9
Valid String Column is 2
Target Vulnerable 
Current DB: websyche_bensons

Nu trebuie explicat nimic. Decat ca site-ul este vulnerabil si nenea Havij stie sa il sparga.

4. Click pe tab-ul “Tables” si dupa pe “Get tables” ca in imaginea urmatoare :

5. Ne dam cu capu’ de pereti vazand ca obtinem text cu rosu (textu’ cu rosu e de rau, nu ?).

Can not get Count(table_name) of information_schema.tables Where table_schema=0x77656273796368655F62656E736F6E73
It seems information_schema table does not exist! Trying to guess tables!

Vai, e grav ! Trebuie sa asteptam iar …

6. Cautam tabelele cu useri > “Get columns” > id, username, password > “Get data” > postam pe forum cum ca am ‘spart’ site-ul respectiv.

The End.

* Acest post este un pamflet si trebuie tratat ca atare.

Original link : here

P.s. : scuzati-ma ca am deformat pagina cu imaginile.

P.s.2 : Repet : Acest post este un pamflet si trebuie tratat ca atare.

[BogdanNBV]

recomand(ce e sus) tuturor hecarilor, dupa un tutorial dinasta am hecarit si eu un site (:

[HellScream]

Hackeri apar ca ciupercile. Noroc de programe.

[skipper]

Jucati-va cu havij.Visul oricarui copil de 12 ani : sa sparga un site si sa se laude la scoala la ora de informatica .

[Vlachs]

@vLaDdO96 tu esti un adevarat "hacker", am folosit si eu programul ca sa nu stau sa fac dump la 500.000 de articole(app are un bug la articole multe) da stii ce am folosit eu mereu PROXY RATATULE

[UnixDevel]

bravo bennyy ,buna asta ,oricum trebuie apreciati si acesti script kiddies,ne fac pe noi sa muncim si a fim mai atenti la felul in care programam

oricum foarte tare postul..

[daatdraqq]

Ce dracu vi se pare tare la postu asta ma ? Injurati programele astea dar le folositi toti . De 3 ori pe zi cautati pe google "havij pro cracked " si "pangolin pro download" in speranta ca o sa le gasiti moka si daca nu le gasiti va apuca dracii si incepeti sa le injurati .

[phantomas90]

Eu unu sunt de acord cu ce a zis daatdraqq. Si cred ca multi de aici folosesc acest tool pt a economisi timp, cum a zis si benny_loppa. Intr-adevar script-kiddies sunt cei care se lauda cu bazele de date gasite, dar sunt si oameni care folosesc cu cap asa ceva. Cel mai bine intrebati-l pe Dr3aq si despre eroarea mysql persistenta in site-urile administrate de cel care a creat trafic.ro(PS: in jur de 10 site-uri vulnerabile, cu aceiasi eroare, cautand dupa numele prezent in toate bazele, am ajuns la trafic.ro). L-ati vazut pe el laudandu-se cumva cu chestia asta?

Havij este bun daca este folosit cu cap, nu pentru lauda.

[vLaDdO96]

bai prostul pulii, uitate in mortii tai la program sa vezi ca are si suport de proxy, ma refeream ca esti atat de l33t si inteligent incat nu stii sa pui un cacat de proxy, e greu cu idiotii

smechere, daca vorbesc despre program, nu crezi ca stiu despre ce e vorba ? doar ca postul era la panarama, si nu stateam sa explic fiecare cacat de functie. da-o-n plm.

[Vlachs]

nu cred ca stiai, sunt sigur de asta, da in fine cum zici tu

[HIENA]

benny ce rost are sa te enervezi atat

[Flubber]

E calmate!

Chiar de ar fi sa folosesti un astfel de program pentru a iti usura munca si nu neaparat pentru a te da cel mai tare din parcarea subterana in a te proclama 'hacker' eu prefer CLI cum ar fi sqlmap.

Cat despre thread? Amuzant si totusi atat de trist, similar ca atunci cand colegii din clasa mea ii dau un leu unui tiganel sa danseze pe melodiile puse de ei si apoi sa le explice cum porneste masina ('bagi ambreiaj, muti maneta, calci acceleratia, apesi frana, scoti ambreiaju, si brrrrrrrrrrrr'). Si uite asa mi-am irosit cateva minute pentru acest post foarte inutil.

[DjBricheta]

E destul de folositor Haviju asta, adica cum ziceau si altii, economisesti timp:D

[afcrapid]

La ce ajuta,imi explicati si mie???