В 2007 году я сосредоточился на слепой инъекции MySQL, пытаясь обновить и улучшить свои навыки. Имея ряд случайно выбранных целей и некоторый предыдущий опыт, я быстро понял. Угадывая таблицы / столбцы, обнаруживая версии, собирая данные и кусочки головоломки, все шло отлично, быстрее, плавнее, и я снова начал наслаждаться этим.
В этих первых нескольких попытках мне удалось получить некоторые данные о яхт-клубе / торговце и благодаря слабым паролям MD5 с помощью Cain & Able получить полный доступ. Это было повышение. Вещи начали становиться агрессивными с моей стороны, вскоре я начал задаваться вопросом, что могут предложить некоторые правительственные веб-сайты, могу ли я их принять. Я был молод, любопытен, мне было все равно, попаду ли я в беду. Я попробовал один, и я думаю, что это было какое-то телекоммуникационное агентство, но они не были уязвимы для MySQLi. Следующим было государственное национальное транспортное агентство или что-то связанное с дорогами и автомагистралями страны. Они были уязвимы. Как и раньше, из пары извлеченных учетных записей и слабых паролей я смог получить учетную запись администратора. В то время это агентство работало над каким-то очень общественным проектом объездной дороги, постоянно транслируется по телевидению политиками (новости). Угадайте, что они использовали точно такой же аккаунт / пароль в этом независимом проекте. Это чертовски здорово.
До этого все было как в фильмах, но потом я немного переборщил. Я нашел сайт какого-то иностранного банка и решил попробовать его без каких-либо ожиданий. После пары попыток я получил положительный ответ. Домен был уязвим. Это было нереально, адреналин пронесся по моим венам в тот момент, когда я увидел это на своем экране, и хотя он не слишком заботился о законности всего этого, это был пробужденный сигнал. Я делал инъекцию MySQL из дома моих родителей (линия ADSL), мне пришлось остановиться, но я бы не простил себя, если бы не попробовал. Эта кошмарная дилемма заняла не менее 45 минут. Я думаю, что решение было принято в тот момент, когда я знал, что есть потенциальный путь, но рациональная / логическая часть моего мозга нуждалась в некотором убеждении. Это был определенный ход. Постепенно я начал вводить команды, полностью слепой впрыск и с каждым ударом, каждая команда и получала информацию, приходило все больше и больше адреналина. Наконец я вошел. Я получил доступ. Я смотрел на имена пользователей и клиентов, транзакции, данные в целом, я потерял дар речи, был в восторге, как бог. К сожалению, общие данные и информация на сайте, в конечном счете, начали создавать атмосферу системы honeypot. Я должен был знать, это было слишком легко, но, если не сказать больше, это был большой опыт обучения.