Sql Map Nedir? Ve Kullanimi

Bay Asosyal

Katılımcı Üye
30 Eyl 2017
330
0
NereyeGeldik
Sqlmap python dili ile yazılmış açık kaynak kodlu,sql injection açığını tespit ve istismar eden bir araçtır. Bu araç sizin belirtmiş olduğunuz girdiler ile hedef site üzerinde, bünyesinde bulunan kombinasyonları deneyerek açık tarar. Kali Linux işletim sistemi üzerinde hazır olarak gelen bu araç, Windows işletim sistemi ve diğer Linux işletim sistemi kullanıcılarına da açıktır. İndirmek için “http://sqlmap.org/” adresine gidebilirsiniz. Bu tip araçları kullanmanın en güzel yanı el ile yapılan taramalardan daha hızlı sonuçlar çıkarması. Ama şunu unutmamak gerekir ki el ile yapılan taramalar her zaman daha iyi sonuçlar ortaya çıkarır.

Konuyu fazla uzatmadan “sqlmap” de var olan komutları ve bu araç ile yapılan örnek bir saldırıya yer verelim.

Komut satırına “sqlmap -h” yazdığımızda bu araç ile kullanılabilecek kod dizinleri karşımıza çıkıyor.



Yukarıda da gördüğümüz gibi bu araç ile ilgili var olan komutları ve açıklamalarına yer verilmiştir. Kullanımı ise mesela bir sitenin mevcut veritabanlarını bulmak istiyorsak kullanacağımız komut:”sqlmap -u http://www.hedefsite.com/index.php?id=2 –dbs” yazıyoruz.

Şimdi ise bu araç kullanarak hedef sitenin veritabanına erişip, sitenin admin paneli kullanıcı adı ve şifresine nasıl erişebileceğimize bakalım. Herhangi bir olumsuz durum yaşanmaması sebebiyle örnek olarak kullandığım sitenin bilgilerini sileceğim.

İlk olarak komut satırına sqlmap -u http://www.hedefsite.com/index.php?id=2 –dbs kodunu yazıyoruz.


Yukarı da gördüğümüz gibi ilgili sitenin veritabanını buldu. Bizim işlem yapacağımız yer information_**** diye devam eden değil. Bunun bir üstündeki veri tabanı ile işlem yapacağız. Parametreye değer girerken ismini komple kapattığım veri tabanı ismini giriniz. Şimdi ise bulunan veri tabanında hangi tablolar var bir göz atalım. Bunun için “sqlmap -u http://www.hedefsite.com/index.php?id=2 -D veritabani_adi –tables” komutunu yazıyoruz.


Yukarıda arama yaptığımız veri tabanında 7 adet tablo buldu ama burada adı “admin” olan veri tabanı tablosu benim gözüme takıldı bakalım burada neler varmış. Bunun için komut satırına “sqlmap -u http://www.hedefsite.com/index.php?id=2 -T admin –columns” yazıp gelen sonuçları inceleyelim.



Burada karşımıza 3 tane sütun çıkıyor. İlgili sitenin admin id, kullanıcı adı ve şifrelerinin kayıtlı olduğu sütunlar karşımıza çıkıyor. Buradaki sütunların hepsine bir göz atalım bunun için komut satırına “sqlmap -u http://hedefsite.com/index.php?id=2 -T admin -C id,password,username –dump” yazıp ilgili sütunlar da ne gibi bilgiler saklanıyor bakalım.

asdasfas

Yukarı da ilgili sitenin admin bilgilerine ulaştık. Bazı sistemlerde buradaki parolalar şifreli bir şekilde tutulmaktadır. Bu yazı sizin kendi sistemlerinizi olası saldırılardan korumak ve olası zafiyetler hakkında bilgilendirmek amacı ile yazılmıştır

Bir teşekkürü cok görmeyin görusmek üzere:mml
 

tokikolik

Uzman üye
16 Mar 2017
1,423
0
İstanbul
-tables değil --tables ve diğerleride aynı eline sağlık kopyala yapıştır olmuş konun biraz onun için ilgi görmeyebilir resim ve video da yok
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.