Sqlmap Nedir?
Sqlmap sql injection açıklarını tesbit ve istismar etme aracıdır.
Belirtilen hedefte sql injection açığı tarar ve bulduğu zaman kendisine belirtilen çeşitli
parametreler ile veritabanından bilgi sağlamaya çalışır.
Hedef Tipleri
-HTTP taleplerini okuma : --r
-URL : --url, -r
-Burp Suite ve WebScarp ProxyLogu : --log , -l
-Google ile url toplayabilmek : -g
Sqlmap ile sql tesbit ettiğimiz urlyi istismar etmek
Database çekmek:
Bu komut bize database İsim veya isimlerini verir.
Tabloları çekmek:
Bu işlem ile tablo isimlerini çekebiliriz.
Kolonları Görmek:
Bu komut ise bize kolonları yansıtır.
Kullanıcı bilgilerini çekmek:
Son olarak bu komut ile kullanıcı verilerini çekebiliriz.
Google üzerinde sql açıklı urlleri tesbit ve istismar etmek
Sqlmapa bu komut ile google üzerinde sql açıklı urlleri tesbit edip atack
yapmasını sağlarız.
Bulunan sql açıklı siteleri bildirir ve attack yapılması için sorgu sorulur
:(y/n/q)
Sorgu y ile cevaplandığı takdirde sql inj. işlemi başlar ve verileri çekmeye
başlar.
Eğer n ile cevaplanırsa bi sonraki hedefe geçer.
q ise işlemi sonlandırır.
Hedef sistem işletim sistemi ve versiyonu ile kullanılan web teknolojisi adı
ve versiyonunu öğrenme
İşlemini sql açığı bulunan satırla gerçekleştirir ve bilgilerini
yansıtır.
Blind sql açığı barındıran urlyi istismar etmek
Url deki açıktan user,db,pass bilgileri çekmek
Urldeki açıktan user,pass ve db bilgilerini bu komut ile elde
edebiliriz.
Database çekmek:
Blind sql açıklı urlden database bilgilerini bu komut ile çekebiliriz.
Tabloları çekmek:
devamında tablo isimlerini bu komut ile öğrenebiliriz
Kolonları görmek:
Kolonları ise bu komut ile görebiliriz.
Kullanıcı bilgilerini çekmek:
Son olarak kullanıcı bilgilerini bu komut ile çekebilriz.
Alıntıdır
Sqlmap sql injection açıklarını tesbit ve istismar etme aracıdır.
Belirtilen hedefte sql injection açığı tarar ve bulduğu zaman kendisine belirtilen çeşitli
parametreler ile veritabanından bilgi sağlamaya çalışır.
Hedef Tipleri
-HTTP taleplerini okuma : --r
-URL : --url, -r
-Burp Suite ve WebScarp ProxyLogu : --log , -l
-Google ile url toplayabilmek : -g
Sqlmap ile sql tesbit ettiğimiz urlyi istismar etmek
Database çekmek:
Bu komut bize database İsim veya isimlerini verir.
Tabloları çekmek:
Bu işlem ile tablo isimlerini çekebiliriz.
Kolonları Görmek:
Bu komut ise bize kolonları yansıtır.
Kullanıcı bilgilerini çekmek:
Son olarak bu komut ile kullanıcı verilerini çekebiliriz.
Google üzerinde sql açıklı urlleri tesbit ve istismar etmek
Sqlmapa bu komut ile google üzerinde sql açıklı urlleri tesbit edip atack
yapmasını sağlarız.
Bulunan sql açıklı siteleri bildirir ve attack yapılması için sorgu sorulur
:(y/n/q)
Sorgu y ile cevaplandığı takdirde sql inj. işlemi başlar ve verileri çekmeye
başlar.
Eğer n ile cevaplanırsa bi sonraki hedefe geçer.
q ise işlemi sonlandırır.
Hedef sistem işletim sistemi ve versiyonu ile kullanılan web teknolojisi adı
ve versiyonunu öğrenme
İşlemini sql açığı bulunan satırla gerçekleştirir ve bilgilerini
yansıtır.
Blind sql açığı barındıran urlyi istismar etmek
Url deki açıktan user,db,pass bilgileri çekmek
Urldeki açıktan user,pass ve db bilgilerini bu komut ile elde
edebiliriz.
Database çekmek:
Blind sql açıklı urlden database bilgilerini bu komut ile çekebiliriz.
Tabloları çekmek:
devamında tablo isimlerini bu komut ile öğrenebiliriz
Kolonları görmek:
Kolonları ise bu komut ile görebiliriz.
Kullanıcı bilgilerini çekmek:
Son olarak kullanıcı bilgilerini bu komut ile çekebilriz.
Alıntıdır
Son düzenleme: