Взлом сайтов через Kali Linux
Внимание! Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством. А также это является авторская тема!
Всем привет, в этой статье будем дампить сайты. Меньше воды, больше скринов!
Способ первый:
Для начала вам нужны сайты с дырами, куда и будет инжектится все, для этого используйте дорки, вот вам в подарок 15к штук
После того как получили список сайтов и нашли тот что нужен именно вам, бутимся в кали и бежим открывать Терминал,
в терминале пишем команду sqlmap -u "ваш cайт" --dbs
После проверки и инжекта он выдаст вам что то в этом роде, это база данных
После этого открываем нужную БД в виде тэйблов командой sqlmap -u "cайт" -D "ваша база данных" --table
Нам выдаст примерно вот такой вот списочек
Из этого списка ищем что то с тематикой админки, например
Теперь дампим этот тэйбл командой sqlmap -u "cайт" -D "ваша база данных" -T "ваш тейбл" --dump
Получаем вот такую вот схему логин пароль статус имя и тд...
Это и есть логин и пароль к сайту в качестве Админа.
Находим страничку логина для админок это обычно например что то такое http://site.com/admin
хотя в инете куча прог которые сделают это за вас, кому нужно погуглит
видим такую картину и пытаемся залогинится
Вуаля, ваш взломанный сайт готов!
исходя из того что это за сайт вы можете его использовать по разному, например менять баннеры рекламы и направлять трафик себе на сайт, страничку, YT и так далее.
Способ второй:
В данном способе будем использовать программу FOCA. Это такой мощный инструмент для извлечения и анализа метаданных. Так вот, Foca может извлекать данные из файлов Microsoft Office, PDF файлов, графических файлов и т.д. Foca может вытаскивать подробную информацию о месте где производилась фотосъёмка по сохранённым GPS данным.
Возможности ее таковы:
- extracts metadata from Open Office, MS Office, PDF, EPS and graphic documents.
- network discovery
- fingerprinting
- DNS Cache Snooping
- discover what websites the internal users of a network are browsing on.
- exports data into a report.
Судя по всему инструмент бесплатный, к сожалению сайт разработчика этого инструмента на сегодня умер. Поэтому проверить актуальную версию возможности нет. Тем не менее инструмент полезный, мне удалось найти версию 3.0.
Foca анализирует данные с файлов которые она выкачивает с сети, т.е. web-сайта. Локальные файлы для анализа вы можете добавить просто по выпадающей менюшке, пункт "Add file".
Вы просто создаете новый проект, вводите сайт, и ждете пока все загрузится. А дальше все очень легко, можно изымать фотки, файлы, видео, которые находятся на всем разделе сайта и поддоменов. Даже показывает почты, которые могли быть привязаны к этому сайту. И из этих данных можно брать еще метаданные, получая инфу он устройствах и т.д.
После того Что вы найдете встает вопрос как это все очистить.)
Для тех из вас, кто хочет избавиться от любых персональных метаданных из любых данных, которые будут разделены с другими, есть способы удалить метаданные из информации о файлах. Вы можете использовать существующий редактор документов или изображений, которые обычно имеют встроенные возможности редактировать метаданные. Но есть отличный отдельный инструмент по очистке метаданных, которые разработан для единственной цели: анонимизировать все метаданные для вашей приватности.
Более подробно рассказано тут - https://telegra.ph/Exiftool-Udalenie-metadannyh-i-sledov-s-fotografij-11-22
MAT (Metadata Anonymisation Toolkit - инструментарий анонимизации метаданных) - это отдельный чистильщик метаданных, написанный на Python.
Требования:
• Windows XP или более поздняя;
• .NET Framework 4 или более поздняя;
• WinPcap library.
Скачать программу можно здесь https://github.com/ElevenPaths/EvilFOCA/.
Способ третий:
adfind
Поисковик панелей администрирования (админок, панелей управления).
Домашняя страница: https://github.com/sahakkhotsanyan/adfind
Автор: Sahak Khotsanyan
Примеры запуска adfind
Найти административные панели всех типов (all) на целевом сайте (http://example.com):
adfind http://example.com all
Установка adfind
Установка в Kali Linux
git clone https://github.com/sahakkhotsanyan/adfind.git
cd adfind*
sudo cp adfind /bin/adfind
sudo chmod +x /bin/adfind
adfind -h
Установка в BlackArch
Программа предустановлена в BlackArch.
Информация об установке в другие операционные системы будет добавлена позже.
