Thread: Массовые SQL инъекции шопов
View Single Post
  #1 Old 08-25-2013, 09:39 AM
Cartographer
 
Cartographer's Avatar
 
Join Date: Aug 2013
Posts: 511
Cartographer is on a distinguished road
Default Массовые SQL инъекции шопов
Сразу предупреждаю, что этот способ для особо ленивых, т.к знание SQL инъекций вообще не требуется, за нас все будут делать программы).
Для начала нам нужно раздобыть 3 программы:
Code:
NetDeviLz SQL Scanner
SQLIHelper
SQL checker by Aciid
NetDeviLz SQL Scanner - с помощью этой программы проверяем список линков на предмет скули, которые мы найдем с помощью SQL checker by Aciid.
SQLIHelper - для проведения SQL инъекции. Этой прогой мы будем сливать нашу базу сс)
SQL checker by Aciid - этой прогой ищем шопы.

[Поиск шопов]

Открываем файл def.txt , который находится в папке с SQL checker by Aciid, и добавляем критерии, по которым искать шопы. Они должны быть такого вида:
Code:
Productinfo.php?id=
item_id=
product-item.php?id=
Productinfo.php?id=
order.php?id=
Далее запускаем SQL checker by Aciid и жмем Search def.txt.
Ждем пока прога найдет шопы, они будут сохранены в файле out.txt в папке с SQL checker by Aciid.
Все с поиском шопов закончили.

[Проверка сайтов на предмет SQL инъекции]

Тут все довольно просто...
Запускаем NetDeviLz SQL Scanner и вставляем список, который добыли при помощи SQL checker by Aciid, в верхнее окно проги.
Жмем на большую кнопку посередине проги и ждем пока она проверит сайты на присутствие скули. В нижнем окне проги будут сайты, на которых нашлись SQL - инъекции)

[Сливаем базу сс]

Теперь вставляем линки отсеянные NetDeviLz SQL Scanner в SQLI Helper и жмем Inject!
Если появилось сообщение Mysql version 5 OK - Please Get Database, то смело жмем кнопку Get Database.
Далее выбираем бд из Database Name и жмем Get Tables. Результатом будет вывод таблиц базы в поле Table Name.
Выбираем нужную нам таблицу и жмем Get Columns.
Нам нужны колонки с названием orders, payment, credit_card, info и т.п , то есть все, что может быть связанно с картоном)
Теперь выбираем таблицы, которые нам нужны (cc_number, cc_cvv, cc_exp) и жмем Dump Now!
Все картон слит с шопа)



[Заключение]

В этой статье мы научились делать массовые SQL инъекции шопов.
Большинство шопов данные о карте не хранят, а если и хранят, то в зашифрованном виде...

Проги, используемые в статье:
hXXp://www.sendspace.com/file/ejqciy

SQL checker by Aciid
hXXp://www.sendspace.com/file/6nxbhz
Cartographer is offline   Reply With Quote