SQL scannen lohnt sich das noch?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Z3R0 PO!nt, 3. Mai 2010 .

Schlagworte:
  1. 3. Mai 2010
    Hallo zusammen

    Auch wenn mich jetzt alle als N00b beschimpfen werden WAYNE
    Meine Frage die ich geklärt haben möchte und durch googlen oder Sufu nur altes Zeugs (ca. 2008) gefunden habe.

    1) Phpmyadmin (PMA) enthält doch bei erfolg genau das gleiche als wenn man einfach nach SQL scannt nur das der Server Phpmyadmin laufen haben muss?
    Man kann doch wenn man nen SQL-Pass hat sich nen Account einrichten und bei einigen auf den Terminal zugreifen ist dies bei PMA auch so?

    2) Wie am besten SQL bruten?
    Da Xray mit der Standart suche nach sa:123 nur noch ca. 1 Ergebniss liefert. (Wenn überhaupt)

    3) Mit welchen Tools brutet ihr ?

    4) Wie sieht die Erfolgsrate bei euch aus, brutet ihr 1 Ip bis zu Resultat oder Ranges dafür nur billig Passwörter und hofft auf glück?

    5) Gibt es auch gute möglichkeiten SQL Lokal scannen (von Vorteil Toolz mit GUI :lol: ) oder inzwischen zu gefährlich?
     
  2. 3. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    warum sollte heutzutage weniger sql benutzt werden als früher? beim scannen vom port
    wirst sicher was finden, aber beim bruten siehts vllt anders aus, aber das war ja net deine frage
     
  3. 3. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Joah scannen nach Port 1433 ist kein Problem inerhalb von 30 sek 20 ergebnisse aber durchs scannen hat man leider noch keinen zugriff^^
     
  4. 3. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Zum bruten nimmste am besten sqlck.
    Dazu ne user.txt mit "sa" und ne "dicke" pass.txt.

    Das ganze zusammengerührt und hochgeladen auf nen ScanStro mit ner kleinen .bat und schon kann das fröhliche bruten losgehen.

    Inhalt der .bat
    sqlck.exe -i dfind.txt -u user.txt -p pass.txt -o results.txt -t 1500
    echo >> döner.txt

    Lokal Bruten?
    Lass es lieber aus 2 Gründen. 1. Sicherheit 2. Geschwindigkeit.
     
  5. 3. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Nunja mein Problem ist ich habe kein ScanStr0 -.- deshalb müsste ich lokal scannen
     
  6. 4. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Kannste von mir aus halten wie´n DachDecker, aber ich würds lokal scannen lassen.
    Was de machen könntest, Asia/Taiwan lokal zu scannen und dann damit Hoster in DE oder USA...
     
  7. 4. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    naja portscannen mit homeleitung ist eigentlich np, egal welches land/range...
    nur bruten würde ich nicht von zuhause aus, ohne proxy!
     
  8. 4. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Hab jetzt n par Str0
    Dennoch scannt ihr eher Ranges oder einzelne Ip?

    Welches ist eig. die aktuellste SQLexec 2 oder gibts schon die 3 ? (wenn ja bitte uppen THX)
     
  9. 7. Mai 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: SQL scannen lohnt sich das noch?

    Da ich kein ScanStr0 habe, scanne ich nach offene Ports 1433 und brute die IPs einzeln lokal mit einer kleinen 1 kbyte Passliste, bis ich was gefunden habe. Fühl mich dabei immer .;(

    Eine ganze IPliste (Ranges) lokal zu bruten, ist nicht so gut, weil der Sqlck.exe sich irgendwann in der Mitte aufhängt (abhängig von Prozessor) und zudem dauert es bei einer DSL 6000 sehr lang.

    Erfolg habe ich dabei schon, aber die meisten haben sql-errors oder würden bereits gehackt.

    Mit einem Str0 würde das ganze anderes aussehen.

    Na dann sei nicht so geizig und schenk mir eins:lol:

    ich denk SQLexec v2.0 ist die aktuellste, kA ob´s 3 gibt, aber ich benutze immer die Version 1.1.0.0.

    hier sind die tools:

    Spoiler
    Sql_Exec v1.1.0.0
    sqlcheck
    SQLExec_2.0
    SqlExec (Apfelicon)

    Passwort: Z3R0 PO!nt
    Download: mssql_tools.rar | xup.in
     
  10. 7. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Haha vielen dank, dass du die Toolz geuppt hast (hatte ich aber schon^^) ich dachte eher wen es eine nr. 3 gibt, die zu uppen. Dennoch BW ist raus: evt. kann ich dir morgen nen billig asia str0 geben habe bis jetzt noch keine weitere.
     
  11. 8. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    ah, merci mon ami:]


    was für Ranges scannst du denn?
    Wenn ich 2 Stunden lang scanne, dann finde ich ca. 20 - 30 offene 1433 IPs und mehr net.
    Liegt es vllt daran, dass ich die Finger von Seiten mit den Endungen gov, edu, eu, .mil lasse??(
     
  12. 8. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    hm ich würde gerne mal wissen wieviele % von deinen scannz du am ende auch brutet bekommst und wie viele von den bruted sql einen error haben den du nicht umgehen/fixen kannst... weil nur so könnte man mal grob überschlagen ob sich das wirklich lohnt.. vom spassfaktor mal abgesehen *gg*


    grüsse
     
  13. 8. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Ich scanne in DE / GB und NL und finde auch noch maßig ...
    Also scheinst was falsch zu machen

    grezzes: thug-life
     
  14. 8. Mai 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: SQL scannen lohnt sich das noch?

    @thug-life

    ich benutze zum Scannen immer Angry IP Scanner 2.21 und so sehen die Einstellungen dazu aus:

    Spoiler
    Bild

    kA was ich da falsch mache...

    Aber zurück zum eigentlichen Thema.
     
  15. 8. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Den Haken bei Skip Broadcast IPs rausd
    machen !!


    Dann läufts..
    Die Broadcast IPs sind ja die Serer die Jedenfall n Port auf haben...
    Meist sind da auch welche dabei die Gehen !!
    den Fehler hatte ich auch gemacht und keine Efrgebnisse gefunden...
    Also mach den ma weg nden Haken,dann sollte es gehen !!


    Threads auf 235 Machen,da die meisten Router nur bis 300 Threads gleichzeitig schaffen,is ne Interne regelung..
    Kommse auch nich drum rum...

    Das is alles... ^^
     
  16. 8. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Hat mit der Anzahl der Threads nix zu tun.
    Die Begrenzung in der NAT für Sockets, bei 65535 parallelen ist definitiv schluss, kann fix erreicht werden da TCP-SYN einem Timeout unterliegen und unter umständen mehr Sockets aufgebaut als geschlossen werden.
     
  17. 9. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    wow, jetzt klappt es.

    von XXX.XXX.9.1 bis XXX.XXX.14.254 (XXX.XXX war dabei auf beiden Seiten gleich.)
    ---> 204 offene IPs gefunden.

    danke, Bw ist raus.
     
  18. 9. Mai 2010
    AW: SQL scannen lohnt sich das noch?

    Aber mit den offenen IP's kannst du ja nicht viel anfangen oder ? (also sofort die musst du ja dann bruten)
    Oder meinst du das du jetzt auch PW findest?

    -Sorry aber ich benutze kein Angry IP-Scanner sondern H-scan
     
  19. 9. Mai 2010
    AW: SQL scannen lohnt sich das noch?


    Mit Angry IP Scanner kann man u. A nur nach Ports scannen, aber nicht (gleichseitig) bruten.
    Mit HScan oder Xray könntest du scannen und gleichseitig bruten.
    Ich brute aber die IPs dann mit sqlck...
     

  20. Videos zum Thema
    Video Script
Die Seite wird geladen...

Ähnliche Themen mit den Stichworten: SQL scannen lohnt

  1. Antworten:
    2
    Aufrufe:
    1.085
  2. [FTP] Scannen nach SQL
    omeriko, 12. Oktober 2008 , im Forum: Filesharing
    Antworten:
    20
    Aufrufe:
    1.937
  3. MSSQL scannen mit dfind.
    phoz, 20. März 2008 , im Forum: Sicherheit & Datenschutz
    Antworten:
    2
    Aufrufe:
    1.006
  4. Antworten:
    1
    Aufrufe:
    10.708
  5. SQL scannen gefährlich?!
    Scan-O, 2. Juli 2006 , im Forum: Sicherheit & Datenschutz
    Antworten:
    11
    Aufrufe:
    1.275