Hackbar ile Manual SQL Enjeksyon (Kurulum+Videolu Anlatım)

[MrMaXim]

Hackbar ile Manual SQL Enjeksyon (Kurulum+Videolu Anlatım)

Herkese merhaba arkadaşlar bugün sizlere hackbar ile manuel sql enjeksiyon nasıl yapılır ondan bahsedeceğim. DİKKAT şunu belirtmek isterim ki, burada öğretilen her şey eğitim amaçlıdır.

Öncelikle sql enjeksiyon nedir gelin ondan bir bahsedelim.

Sql Enjeksiyon Nedir?

SQL enjeksiyonu, bir web uygulaması veya veritabanı ile etkileşim kurarken güvenlik zafiyetlerinden kaynaklanan bir saldırı türüdür. Saldırgan, kullanıcı girişleri gibi etkileşimli alanlara kötü niyetli SQL kodlarını ekleyerek uygulamayı manipüle eder ve veritabanına zararlı komutlar enjekte eder. Bu saldırı, veritabanına erişim sağlayarak hassas verilere, kullanıcı bilgilerine veya diğer önemli verilere izinsiz erişim elde etmeyi amaçlar. Web uygulamaları geliştirirken bu tür zafiyetlere karşı dikkatli olmalısınız ve gerekli güvenlik önlemlerinin almanız önemlidir. Peki bu sql enjeksiyonu tam olarak ne işe yarar?

Sql Enjeksiyonu Ne İşe Yarar?

Sql enjeksiyon zafiyeti, bir tür web uygulama güvenliği açığıdır. Dolayısıyla saldırgan kişi bu saldırıyı web üzerinden yapar. Bu saldırı türünde, saldırgan erişimli alanlardan yola çıkarak daha derinlere inmeye hedefler. Bunu yapabilmek için bulunduğu erişimli alana kötü niyetli sql kodlarını enjekte ederek uygulamayı açık üzerinden manipüle eder. Böylelikle saldırgan, veri çalma veri silme veya izinsiz veri değişimi gibi işlemleri gerçekleştirebilir. Sql enjeksiyonu, uygulamaların güvenlik kontrollerinin yetersiz olduğu durumlarda, genellikle yazılımcı hatasıyla oluşan bir güvenlik açıdır. Saldırganların hassas verilere erişmesine ve gerekli yöntemlerle sistemin tam kontrolüne erişim sağlamasına olanak tanır.

Sql Enjeksiyondan Nasıl Korunuruz?

Sql enjeksiyonundan korunmak için bazı güvenlik önlemleri mevcuttur. Enjeksiyon saldırısı yememek için bu önlemleri almanızı tavsiye edilir:

1. Parametreli sorgular kullanın: Sql sorgularından kullanıcı girişlerini doğrudan değil, parametreli sorgular yoluyla tercih edin. Parametreler, veritabanı tarafından otomatik olarak doğru bir şekilde işlenir ve SQL enjeksiyon saldırılarına karşı etkili bir şekilde koruma sağlar.

2. Giriş doğrulama ve veri temizleme: kullanıcı girişlerini dikkatli bir şekilde doğrulayın ve gereksiz karakterleri temizleyin. Giriş alanları üzerinde herhangi bir sql komutunun çalıştırılmaması için giriş yapılan kısımlara çeşitli yazı kısıtlamaları getirebilirsiniz. Bu saldırganların zararlı kodları enjekte etmelerini engelleyecektir.

3. Güvenlik duvarı kullanın: Web uygulamanız için bir güvenlik duvarı hizmeti kullanarak, zararlı girişleri tespit edip engelleyebilirsiniz.

4. Özellikle siteniz üzerinde kod değişiklikleri yaparken yazdığınız kodlarda bir boşluk olmadığının elinizden geldiğince kontrolünü sağlayın.

5. Güncellemeleri yapmayı unutmayın: Web uygulamasının veritabanı yönetim sistemlerini ve tüm yazılımsal bileşenlerini güncel tutmaya özen gösterin. Bu önlem eğer sistemsel bir açık varsa kapanmasını sağlayacaktır.

6. Kullanıcılara gösterilen hata mesajlarını kısıtlayın: Kullanıcılara gönderilen hata mesajlarını kısıtlama durumunuzda kullanıcılar alınan hataları göremeyecekleri için açıklardan faydalanamayacaklardır.

Bu güvenlik önlemleri uygulandığı müddetçe sql enjeksiyon ve benzeri saldırılara karşı web sitemizi bir tık daha korumuş oluruz, güvenli hale getirmiş oluruz.

Sql Enjeksiyon Zafiyetinden Nasıl Yararlanırız?

Peki gelelim sql enjeksiyon zafiyetinden nasıl yararlanırız. SQL enjeksiyon zafiyeti saldırganlara çeşitli zararlı eylemler gerçekleştirme olanağı tanır. İşte saldırganların SQL enjeksiyonu kullanarak yapabileceği bazı eylemler:

1. Veri Çalma: Saldırgan, SQL enjeksiyon ile veritabanından hassas bilgileri çalabilir. Bu bilgiler kullanıcı adları, şifreler, kredi kartı numaraları, kişisel bilgiler gibi önemli veriler içerebilir.

2. Veri Değiştirme: Saldırgan, SQL enjeksiyonunu kullanarak veritabanındaki verileri değiştirebilir, güncelleyebilir veya silerek veri bütünlüğünü bozabilir.

3. Veritabanını Silme: SQL enjeksiyonu ile saldırgan, veritabanını tamamen silme veya veri kaybına neden olacak şekilde verilere zarar verme yeteneğine sahip olabilir.

4. İzinsiz Erişim: Saldırgan, SQL enjeksiyonu sayesinde normalde erişemeyeceği veritabanı tablolarına veya fonksiyonlara izinsiz ve yetkisiz erişim sağlayabilir.

5. Yönetici Hakları Elde Etme: Saldırgan, SQL enjeksiyonu ile veritabanı yönetici haklarını ele geçirebilir ve veritabanı üzerinde tam kontrol sağlayabilir.

6. Sistem Dışı Bırakma: SQL enjeksiyonu, veritabanını aşırı yükleyerek hizmet reddi saldırılarına yol açabilir ve sistemleri geçici olarak çalışamaz hale getirebilir.

7. Sızma (Hacking): SQL enjeksiyonu sayesinde saldırgan, web uygulamasının arkasındaki sunucu sistemine sızmak ve diğer saldırılar için erişim elde etmek için kullanabilir.

Tüm bu eylemler, SQL enjeksiyonu kullanarak web uygulamalarına yapılan saldırılardan kaynaklanır. Bu nedenle geliştiricilerin güvenlik önlemleri alarak ve SQL enjeksiyonu gibi zafiyetlere karşı dikkatli olmaları önemlidir. Biz bu eğitimde tabiki bunların hepsini gösteremeyeceğiz fakat bu eğitimde göstereceğim şey bir sql açığı nasıl bulunur, Hangi toollar kullanılır, Hackbar eklentisi nasıl eklenir, Gerekli ayarları nasıl yapılır vb. teknileri anlatmayı hedeflemekteyim.

Teknik anlatıma yazı üzerinden devam ederek konuyu uzatmak yerine video çekerek daha iyi anlamanızı istedim. İşte tamda bu nedenle videoları ve tool linklerini aşağı kısıma ekleyeceğim. Konularımda hocam şunuda yapsan güzel olur böyle yapsan daha iyi olur vs. dönüşleriniz benim için çok değerli bir önceki konumda videoda komutları istemişsiniz bunda videoda komutları verdim, yine aşağıyada koyarım. Dönüşleriniz için teşekkür ediyorum. İyi günler sağlıkla kalın hackle kalın...

Videolar

Mega yönlendirme video1
Mega yönlendirme video2

Linkler

SQL-scanner
Hackbar
Firefox 47.0 sürüm

Komutlar

firefox'un eski sürümü: wget https://download-installer.cdn.mozi...ses/47.0/linux-x86_64/tr/firefox-47.0.tar.bz2
hackbar arac(url)ı: https://github.com/justalinko/webshell/raw/master/hackbar.xpi


Scanner
sql scanner: git clone GitHub - Bitwise-01/SQL-scanner: A tool that finds and scan sites for sql injection vulnerability
cd SQL-scanner
pip install -r requirements.txt
python3 main.py -d newsDetail.php?id=

​

 

[S3SS1Z T3AM]

Kullanımı hakkında görsel anlatım yapabilirdin hatalarla katşılaşıcağımız yerleri söyleyebilirdin Konu biraz kısa kalmış .Eline sağlık

 

[Muslukcu]

Hackbar ile Manual SQL Enjeksyon (Kurulum+Videolu Anlatım)

Herkese merhaba arkadaşlar bugün sizlere hackbar ile manuel sql enjeksiyon nasıl yapılır ondan bahsedeceğim. DİKKAT şunu belirtmek isterim ki, burada öğretilen her şey eğitim amaçlıdır.

Öncelikle sql enjeksiyon nedir gelin ondan bir bahsedelim.

Sql Enjeksiyon Nedir?

SQL enjeksiyonu, bir web uygulaması veya veritabanı ile etkileşim kurarken güvenlik zafiyetlerinden kaynaklanan bir saldırı türüdür. Saldırgan, kullanıcı girişleri gibi etkileşimli alanlara kötü niyetli SQL kodlarını ekleyerek uygulamayı manipüle eder ve veritabanına zararlı komutlar enjekte eder. Bu saldırı, veritabanına erişim sağlayarak hassas verilere, kullanıcı bilgilerine veya diğer önemli verilere izinsiz erişim elde etmeyi amaçlar. Web uygulamaları geliştirirken bu tür zafiyetlere karşı dikkatli olmalısınız ve gerekli güvenlik önlemlerinin almanız önemlidir. Peki bu sql enjeksiyonu tam olarak ne işe yarar?

Sql Enjeksiyonu Ne İşe Yarar?

Sql enjeksiyon zafiyeti, bir tür web uygulama güvenliği açığıdır. Dolayısıyla saldırgan kişi bu saldırıyı web üzerinden yapar. Bu saldırı türünde, saldırgan erişimli alanlardan yola çıkarak daha derinlere inmeye hedefler. Bunu yapabilmek için bulunduğu erişimli alana kötü niyetli sql kodlarını enjekte ederek uygulamayı açık üzerinden manipüle eder. Böylelikle saldırgan, veri çalma veri silme veya izinsiz veri değişimi gibi işlemleri gerçekleştirebilir. Sql enjeksiyonu, uygulamaların güvenlik kontrollerinin yetersiz olduğu durumlarda, genellikle yazılımcı hatasıyla oluşan bir güvenlik açıdır. Saldırganların hassas verilere erişmesine ve gerekli yöntemlerle sistemin tam kontrolüne erişim sağlamasına olanak tanır.

Sql Enjeksiyondan Nasıl Korunuruz?

Sql enjeksiyonundan korunmak için bazı güvenlik önlemleri mevcuttur. Enjeksiyon saldırısı yememek için bu önlemleri almanızı tavsiye edilir:

1. Parametreli sorgular kullanın: Sql sorgularından kullanıcı girişlerini doğrudan değil, parametreli sorgular yoluyla tercih edin. Parametreler, veritabanı tarafından otomatik olarak doğru bir şekilde işlenir ve SQL enjeksiyon saldırılarına karşı etkili bir şekilde koruma sağlar.

2. Giriş doğrulama ve veri temizleme: kullanıcı girişlerini dikkatli bir şekilde doğrulayın ve gereksiz karakterleri temizleyin. Giriş alanları üzerinde herhangi bir sql komutunun çalıştırılmaması için giriş yapılan kısımlara çeşitli yazı kısıtlamaları getirebilirsiniz. Bu saldırganların zararlı kodları enjekte etmelerini engelleyecektir.

3. Güvenlik duvarı kullanın: Web uygulamanız için bir güvenlik duvarı hizmeti kullanarak, zararlı girişleri tespit edip engelleyebilirsiniz.

4. Özellikle siteniz üzerinde kod değişiklikleri yaparken yazdığınız kodlarda bir boşluk olmadığının elinizden geldiğince kontrolünü sağlayın.

5. Güncellemeleri yapmayı unutmayın: Web uygulamasının veritabanı yönetim sistemlerini ve tüm yazılımsal bileşenlerini güncel tutmaya özen gösterin. Bu önlem eğer sistemsel bir açık varsa kapanmasını sağlayacaktır.

6. Kullanıcılara gösterilen hata mesajlarını kısıtlayın: Kullanıcılara gönderilen hata mesajlarını kısıtlama durumunuzda kullanıcılar alınan hataları göremeyecekleri için açıklardan faydalanamayacaklardır.

Bu güvenlik önlemleri uygulandığı müddetçe sql enjeksiyon ve benzeri saldırılara karşı web sitemizi bir tık daha korumuş oluruz, güvenli hale getirmiş oluruz.

Sql Enjeksiyon Zafiyetinden Nasıl Yararlanırız?

Peki gelelim sql enjeksiyon zafiyetinden nasıl yararlanırız. SQL enjeksiyon zafiyeti saldırganlara çeşitli zararlı eylemler gerçekleştirme olanağı tanır. İşte saldırganların SQL enjeksiyonu kullanarak yapabileceği bazı eylemler:

1. Veri Çalma: Saldırgan, SQL enjeksiyon ile veritabanından hassas bilgileri çalabilir. Bu bilgiler kullanıcı adları, şifreler, kredi kartı numaraları, kişisel bilgiler gibi önemli veriler içerebilir.

2. Veri Değiştirme: Saldırgan, SQL enjeksiyonunu kullanarak veritabanındaki verileri değiştirebilir, güncelleyebilir veya silerek veri bütünlüğünü bozabilir.

3. Veritabanını Silme: SQL enjeksiyonu ile saldırgan, veritabanını tamamen silme veya veri kaybına neden olacak şekilde verilere zarar verme yeteneğine sahip olabilir.

4. İzinsiz Erişim: Saldırgan, SQL enjeksiyonu sayesinde normalde erişemeyeceği veritabanı tablolarına veya fonksiyonlara izinsiz ve yetkisiz erişim sağlayabilir.

5. Yönetici Hakları Elde Etme: Saldırgan, SQL enjeksiyonu ile veritabanı yönetici haklarını ele geçirebilir ve veritabanı üzerinde tam kontrol sağlayabilir.

6. Sistem Dışı Bırakma: SQL enjeksiyonu, veritabanını aşırı yükleyerek hizmet reddi saldırılarına yol açabilir ve sistemleri geçici olarak çalışamaz hale getirebilir.

7. Sızma (Hacking): SQL enjeksiyonu sayesinde saldırgan, web uygulamasının arkasındaki sunucu sistemine sızmak ve diğer saldırılar için erişim elde etmek için kullanabilir.

Tüm bu eylemler, SQL enjeksiyonu kullanarak web uygulamalarına yapılan saldırılardan kaynaklanır. Bu nedenle geliştiricilerin güvenlik önlemleri alarak ve SQL enjeksiyonu gibi zafiyetlere karşı dikkatli olmaları önemlidir. Biz bu eğitimde tabiki bunların hepsini gösteremeyeceğiz fakat bu eğitimde göstereceğim şey bir sql açığı nasıl bulunur, Hangi toollar kullanılır, Hackbar eklentisi nasıl eklenir, Gerekli ayarları nasıl yapılır vb. teknileri anlatmayı hedeflemekteyim.

Teknik anlatıma yazı üzerinden devam ederek konuyu uzatmak yerine video çekerek daha iyi anlamanızı istedim. İşte tamda bu nedenle videoları ve tool linklerini aşağı kısıma ekleyeceğim. Konularımda hocam şunuda yapsan güzel olur böyle yapsan daha iyi olur vs. dönüşleriniz benim için çok değerli bir önceki konumda videoda komutları istemişsiniz bunda videoda komutları verdim, yine aşağıyada koyarım. Dönüşleriniz için teşekkür ediyorum. İyi günler sağlıkla kalın hackle kalın...

Videolar

Mega yönlendirme video1
Mega yönlendirme video2

Linkler

SQL-scanner
Hackbar
Firefox 47.0 sürüm

Komutlar

firefox'un eski sürümü: wget https://download-installer.cdn.mozi...ses/47.0/linux-x86_64/tr/firefox-47.0.tar.bz2
hackbar arac(url)ı: https://github.com/justalinko/webshell/raw/master/hackbar.xpi


Scanner
sql scanner: git clone GitHub - Bitwise-01/SQL-scanner: A tool that finds and scan sites for sql injection vulnerability
cd SQL-scanner
pip install -r requirements.txt
python3 main.py -d newsDetail.php?id=

​

Eline saglik

 

['Eşref]

Eline sağlık. Güzel anlatım.

 

[MrMaXim]

Kullanımı hakkında görsel anlatım yapabilirdin hatalarla katşılaşıcağımız yerleri söyleyebilirdin Konu biraz kısa kalmış .Eline sağlık

Üst düzey bilgi gerektiren bir konu olmadığı için ve hata alma olasılığınız yok denilecek kadar az olduğu için değinme gereği bile duymadım. Yazılı anlatımının olmamasının sebebi de zaten halihazırda video koymuş olmam. kurulumu ayrı kullanıma ayrı video yaptım. Kelime sayısını doldurmak için de zaten videoda anlattığım bir şeyi tekrardan gereksiz bir şekilde yazmak istemedim. Benim konularımda amacım insanların en kısa şekilde bilgiye ulaşması. Bu teknik bir konu. Üzerine düşünülmesi gereken tartışılır bir konu olsaydı eğer emin olun yazardım.

Şunu da belirteyim halihazırda herhangi bir hata alma olasılığınız bulunmamakta. Sebebi şu videolarda da ayrı konunun altında ayrı olarak uygulamaları yükleyeceğiniz linkten komutlarına kadar her şeyi verdim. Size videoları izlemenizi tavsiye ediyorum.

 

[MrMaXim]

Eline sağlık. Güzel anlatım.

Teşekkür ederim hocam var olun.

 

[WHITERUBY]

Elinize sağlık.

 

[zamparaa]

eline koluna emeğine sağlık üstadım .

 

[kuzeykibris]

Eline sağlık güzel çalışma.