Havij es una herramienta de Inyeccion SQL de Multiples Databases Compatibles para inyectar (MsSQL, MsSQL Blind, Oracle etc..) llegando ser para muchos el mejor Inyecctor automatizado de este tipo de Vulnerabilidades. Busca Tablas, Columnas, sus Datos, Buscador de panales de admin, Descryptor de MD5 y más.
Instrucciones:
- Pega la dirección de la pagina "Victima" en el campo Target ( en formato http://www.target.com/index.asp?id=123 )
- Presiona Analyze
- A continuación Havij analizara nuestro objetivo y al cabo de unos segundos nos dirá en el Event Log en la parte inferior de la pantalla si es vulnerable o no, y a que método.
- En caso de que sea vulnerable, procedemos a escanear las tablas de la base de datos de nuestra víctima en la pestaña Tables.
- Al finalizar el escaneo obtendremos los nombres de las tablas con la opción de seleccionarlas, aquí seleccionamos las tablas que nos parezcan de importancia (Ejemplo: admin, users, etc...) Una vez seleccionadas las tablas le damos a Get Tables.
- Como resultado obtendremos las columnas de las tablas que hayamos seleccionado anteriormente. Lo único que queda es seleccionar las columnas importantes (Ejemplo: usuario, contraseña, teléfono, mail etc) y darle a Get Info. (realizar este paso de a una tabla por vez)
- Listo! A tu derecha veras todos los resultados ordenados! (suele tomar unos hasta que cargue toda la información)
Video Tutorial:
