O Havij é uma ferramenta de injeção SQL que ajudava os programadores a fazerem testes, encontrar e explorar vulnerabilidades de injeção SQL em suas páginas web. O programa foi desenvolvido pela ITSecTeam, tendo o objetivo de deixar páginas da web mais seguras. Contudo, o programa foi descontinuado no final de 2014 e em janeiro de 2015 o site da ITSecTeam foi fechado, encerrando todas as atividades.
Para não deixar a ideia morrer, um grupo desenvolveu o havij para o sistema Android, chamado Droid Havij. Ele praticamente faz a mesma coisa, sendo uma ferramenta automatizada de injeção SQL, permitindo que você teste seu aplicativo da Web contra ataques de injeção SQL ou invadir sites via celular (Eu pessoalmente não recomendo).
Tudo o que você precisa fazer é encontrar uma URL vulnerável e colocá-la no App. Em poucos minutos você estará obtendo base de dados e todas as informações do servidor. O aplicativo seleciona automaticamente a melhor técnica para usar e emprega alguns métodos simples para burlar os filtros.
O Havij é uma ferramenta de injeção SQL que ajudava os programadores a fazerem testes, encontrar e explorar vulnerabilidades de injeção SQL em suas páginas web. O programa foi desenvolvido pela ITSecTeam, tendo o objetivo de deixar páginas da web mais seguras. Contudo, o programa foi descontinuado no final de 2014 e em janeiro de 2015 o site da ITSecTeam foi fechado, encerrando todas as atividades.
Para não deixar a ideia morrer, um grupo desenvolveu o havij para o sistema Android, chamado Droid Havij. Ele praticamente faz a mesma coisa, sendo uma ferramenta automatizada de injeção SQL, permitindo que você teste seu aplicativo da Web contra ataques de injeção SQL ou invadir sites via celular (Eu pessoalmente não recomendo).
Tudo o que você precisa fazer é encontrar uma URL vulnerável e colocá-la no App. Em poucos minutos você estará obtendo base de dados e todas as informações do servidor. O aplicativo seleciona automaticamente a melhor técnica para usar e emprega alguns métodos simples para burlar os filtros.
Requisitos:
1). Site Vulnerável SQL
2). Telefone Android
3). Ferramenta Droid Havij
FAÇA DOWNLOAD DO APP
Droid Havij suporta as seguintes técnicas de injeção:
* Injeção baseada no tempo
* Injeção cega
* Injeção baseada em erro
* Injeção normal.
Sendo capaz de entrar em bancos:
* MsSQL 2000/2005 with error
* MsSQL 2000/2005 no error union based
* MsSQL Blind
* MySQL time based
* MySQL union based
* MySQL Blind
* MySQL error based
* MySQL time based
* Oracle union based
* Oracle error based
* PostgreSQL union based
* MsAccess union based
* MsAccess Blind
* Sybase (ASE)
* Sybase (ASE) Blind
Tutorial
1. Encontre um site vulnerável na web ou teste seu próprio site. Caso procure na web, use a dork php?id=
2. Teste o site colocando uma aspa simples no final. Por exemplo:
segital.blogspot.com.br'
Geralmente, se for vulnerável, aparece um erro SQL como mostrado abaixo
2. Teste o site colocando uma aspa simples no final. Por exemplo:
segital.blogspot.com.br'
Geralmente, se for vulnerável, aparece um erro SQL como mostrado abaixo
3. Instale o aplicativo. Para instalar o aplicativo é necessário autorizar instalação de aplicativos de fonte desconhecida. Acesse as configurações do seu aparelho e vá até o menu “Segurança” e Localize o item “Fontes desconhecidas”, na seção “Administração do dispositivo”.
4. Ative a opção para permitir a instalação de arquivos APK baixados por fontes alternativas. Abra o aplicativo e coloque o site vulnerável
5. Abra o aplicativo e coloque o site vulnerável
No primeiro exemplo, eu coloquei um site e apertei no botão Inject. Fez o scan, mas não achou vulnerabilidade.
5. Abra o aplicativo e coloque o site vulnerável
No primeiro exemplo, eu coloquei um site e apertei no botão Inject. Fez o scan, mas não achou vulnerabilidade.
No segundo exemplo, já encontrou o banco de dados em poucos minutos.
6. Basta dá um clique no banco de dados que você achou e vai mostrar as tabelas do banco.
7. Escolha a tabela desejada, marque os campos que você queira exibir e clique em "Get Records".
8. Após isso, o app vai mostrar os dados da tabela escolhida. Após pegar as credenciais do site, basta descobrir a página admin e logar no site. Não vou mostrar como fazer deface no site e colocar a shell. Essa parte ficará para um próximo tutorial.
vlw mans vcs manda muito <3
ResponderExcluirTá pegando no Android 10?
ExcluirNão comsigo baixae alguem me manda?
ResponderExcluirLink atualizado e postagem corrigida!
ExcluirLink deu erro 404
ResponderExcluirLink atualizado e postagem corrigida!
ExcluirO link tá dando erro da pra ajeitar??
ResponderExcluirLink atualizado e postagem corrigida!
ExcluirTop aula
ResponderExcluirLink tá quebrado
ResponderExcluirLink atualizado e postagem corrigida!
ExcluirPor que não traz algumas dessas coisas que traz pra cá pra pc também?
ResponderExcluirjá temos tutorial pra pc usando acunetix , pesquisa ai no blog.
ExcluirPow dá uma força aí como consigo fazer a deface pai pra ver. Os app
ResponderExcluirlink do download quebrado
ResponderExcluirLink atualizado e postagem corrigida!
ExcluirQueria mais informações sobre o curso
ResponderExcluirLink não está funcionando
ResponderExcluirvcs poderia explorar um app/site chamado de Omlet arcade, a idade da comunidade e de 18 pra baixo na maioria, e la o pessoal usa como uma rede social " livre " e de base para servidores de minecraft e de lives.
ResponderExcluirmas o lado ruim e que tem uns filhotes de saroe que posta pornografia infantil, gore, gente morta, pornografia, ( ja vi ate em live uma mulher brincando com um consolo, e o app na maioria tem menos de 18 anos! ) algumas contas cai pela causa da comunidade que faz as denuncias.
vcs devem verificar esse app.
Filhote de saorekkkkkkkk
ExcluirNão funciona o app
ResponderExcluirO difícil é achar um site vulnerável e que tenha algo de útil
ResponderExcluirRealmente, a maioria só tem login e email(já é alguma coisa), eu mesmo tô atrás é de cc pra vender e pra consumo próprio.
ExcluirLink quebrado
ResponderExcluirPostar um comentário