SQLMap Aracı #2 - Waf Atlatmak

L

LordSUCCESS

Uzman üye
17 Eyl 2023
1,349
624
oqk18ir.png


Merhabalar Ben LordSUCCESS, Bugünkü konumuz SQLMap Aracında Nasıl Waf Atlatırız

iwxqmay.png

Waf Nedir?


WAF, "Web Application Firewall" kelimelerinin kısaltmasıdır. Web uygulamalarını korumak için kullanılan bir güvenlik önlemidir. WAF, web uygulamalarına gelen istekleri denetler ve kötü niyetli trafikleri engellemek veya filtrelemek için kurallara dayalı bir yaklaşım kullanır. Bu sayede, SQL Injection, Cross-Site Scripting (XSS), ve diğer web uygulama saldırılarını önlemeye yardımcı olur.

ro3fzuc.png


SQLMap İle İlgili Konum: SQLMap Nedir? Nasıl Kullanılır?
Waf Tespit Etme İle İlgili Konum: WAF Nasıl Tespit Edilir?

93js8oc.png

SQLMap'te Nasıl Waf Atlatılır?


Tamper, SQLMap'in gönderdiği SQL sorgularını değiştirmek için kullanılan betiklerdir. Bu betikler, SQL Injection saldırılarını hedef uygulamaya uygun hale getirerek Web Application Firewall gibi güvenlik önlemlerini atlatmayı amaçlar. Önceden tanımlanmış veya özelleştirilmiş tamperler kullanılarak SQLMap'in saldırılarını uygun şekilde düzenlemek mümkündür. Ancak, bu işlem yasa dışı ve etik olabilir, bu yüzden sadece yasal ve etik sınırlar içinde hareket etmek önemlidir.

sjh1yjm.png

Şimdi sitede waf varmı SQLMap'te görelim

8jvg1rb.png

Altını çizdiğim uyarı, Waf'ın olduğunu işaret ediyor, Şimdi ise By-Pass payloadlarına bakalım

m0ud6yw.png

Burada istediğimiz payload'ı seçebiliriz ama dikkat etmemiz gereken birşey var, Payload'ın ne yaptığına ve payload'ı nasıl gizlediğine bakmalayız

bfcq5w9.png

Level ve risk parametreleri tarama seviyesi ve riski temsil eder, Kullandığım tamper payloadları eğer işe yararsa veritabanını çekebiliriz, Kesin olarak veritabanını çekecek diye kesin birşey diyemeyiz.

Önerdiğim Site: Önerdiğim Site, Buradan da Daha detaylı payloadların ne yaptığını inceleyebilirsiniz.
--level --> Sitedeki tarama seviyesini belirtir eğer en son değere çekersek detayına kadar tarar, 1 ile 5 arasındadır, Detayına kadar arar ancak daha uzun sürebilir.

--risk --> Bu parametre, tarama risk seviyesini belirtir; en yüksek değere (3) çekildiğinde, en yüksek riskli enjeksiyon noktalarını tespit etmek için daha agresif tarama yapar. Değer aralığı 1 ile 3 arasındadır ve yüksek riskli enjeksiyon noktalarını tespit etmek için kullanıldığında daha uzun sürebilir.

ro3fzuc.png

Okuyanlara Teşekkür ederim.
 
sasorii

sasorii

Asistan Moderatör
2 Mar 2023
211
97
nijerya
LordSUCCESS' Alıntı:
oqk18ir.png


Merhabalar Ben LordSUCCESS, Bugünkü konumuz SQLMap Aracında Nasıl Waf Atlatırız

iwxqmay.png

Waf Nedir?


WAF, "Web Application Firewall" kelimelerinin kısaltmasıdır. Web uygulamalarını korumak için kullanılan bir güvenlik önlemidir. WAF, web uygulamalarına gelen istekleri denetler ve kötü niyetli trafikleri engellemek veya filtrelemek için kurallara dayalı bir yaklaşım kullanır. Bu sayede, SQL Injection, Cross-Site Scripting (XSS), ve diğer web uygulama saldırılarını önlemeye yardımcı olur.

ro3fzuc.png


SQLMap İle İlgili Konum: SQLMap Nedir? Nasıl Kullanılır?
Waf Tespit Etme İle İlgili Konum: WAF Nasıl Tespit Edilir?

93js8oc.png

SQLMap'te Nasıl Waf Atlatılır?


Tamper, SQLMap'in gönderdiği SQL sorgularını değiştirmek için kullanılan betiklerdir. Bu betikler, SQL Injection saldırılarını hedef uygulamaya uygun hale getirerek Web Application Firewall gibi güvenlik önlemlerini atlatmayı amaçlar. Önceden tanımlanmış veya özelleştirilmiş tamperler kullanılarak SQLMap'in saldırılarını uygun şekilde düzenlemek mümkündür. Ancak, bu işlem yasa dışı ve etik olabilir, bu yüzden sadece yasal ve etik sınırlar içinde hareket etmek önemlidir.

sjh1yjm.png

Şimdi sitede waf varmı SQLMap'te görelim

8jvg1rb.png

Altını çizdiğim uyarı, Waf'ın olduğunu işaret ediyor, Şimdi ise By-Pass payloadlarına bakalım

m0ud6yw.png

Burada istediğimiz payload'ı seçebiliriz ama dikkat etmemiz gereken birşey var, Payload'ın ne yaptığına ve payload'ı nasıl gizlediğine bakmalayız

bfcq5w9.png

Level ve risk parametreleri tarama seviyesi ve riski temsil eder, Kullandığım tamper payloadları eğer işe yararsa veritabanını çekebiliriz, Kesin olarak veritabanını çekecek diye kesin birşey diyemeyiz.

Önerdiğim Site: Önerdiğim Site, Buradan da Daha detaylı payloadların ne yaptığını inceleyebilirsiniz.
--level --> Sitedeki tarama seviyesini belirtir eğer en son değere çekersek detayına kadar tarar, 1 ile 5 arasındadır, Detayına kadar arar ancak daha uzun sürebilir.

--risk --> Bu parametre, tarama risk seviyesini belirtir; en yüksek değere (3) çekildiğinde, en yüksek riskli enjeksiyon noktalarını tespit etmek için daha agresif tarama yapar. Değer aralığı 1 ile 3 arasındadır ve yüksek riskli enjeksiyon noktalarını tespit etmek için kullanıldığında daha uzun sürebilir.

ro3fzuc.png

Okuyanlara Teşekkür ederim.
Genişletmek için tıkla ...
Yeni başlayanlar için güzel olabilir hatta bazı orta seviye kişiler de bilmiyorudr belki benim gibi. Eline sağlık +1 yeni birşey daha öğrendim.
 
L

LordSUCCESS

Uzman üye
17 Eyl 2023
1,349
624
ACE Veen

ACE Veen

Uzman üye
4 Şub 2023
1,111
563
Belirsiz
LordSUCCESS' Alıntı:
oqk18ir.png


Merhabalar Ben LordSUCCESS, Bugünkü konumuz SQLMap Aracında Nasıl Waf Atlatırız

iwxqmay.png

Waf Nedir?


WAF, "Web Application Firewall" kelimelerinin kısaltmasıdır. Web uygulamalarını korumak için kullanılan bir güvenlik önlemidir. WAF, web uygulamalarına gelen istekleri denetler ve kötü niyetli trafikleri engellemek veya filtrelemek için kurallara dayalı bir yaklaşım kullanır. Bu sayede, SQL Injection, Cross-Site Scripting (XSS), ve diğer web uygulama saldırılarını önlemeye yardımcı olur.

ro3fzuc.png


SQLMap İle İlgili Konum: SQLMap Nedir? Nasıl Kullanılır?
Waf Tespit Etme İle İlgili Konum: WAF Nasıl Tespit Edilir?

93js8oc.png

SQLMap'te Nasıl Waf Atlatılır?


Tamper, SQLMap'in gönderdiği SQL sorgularını değiştirmek için kullanılan betiklerdir. Bu betikler, SQL Injection saldırılarını hedef uygulamaya uygun hale getirerek Web Application Firewall gibi güvenlik önlemlerini atlatmayı amaçlar. Önceden tanımlanmış veya özelleştirilmiş tamperler kullanılarak SQLMap'in saldırılarını uygun şekilde düzenlemek mümkündür. Ancak, bu işlem yasa dışı ve etik olabilir, bu yüzden sadece yasal ve etik sınırlar içinde hareket etmek önemlidir.

sjh1yjm.png

Şimdi sitede waf varmı SQLMap'te görelim

8jvg1rb.png

Altını çizdiğim uyarı, Waf'ın olduğunu işaret ediyor, Şimdi ise By-Pass payloadlarına bakalım

m0ud6yw.png

Burada istediğimiz payload'ı seçebiliriz ama dikkat etmemiz gereken birşey var, Payload'ın ne yaptığına ve payload'ı nasıl gizlediğine bakmalayız

bfcq5w9.png

Level ve risk parametreleri tarama seviyesi ve riski temsil eder, Kullandığım tamper payloadları eğer işe yararsa veritabanını çekebiliriz, Kesin olarak veritabanını çekecek diye kesin birşey diyemeyiz.

Önerdiğim Site: Önerdiğim Site, Buradan da Daha detaylı payloadların ne yaptığını inceleyebilirsiniz.
--level --> Sitedeki tarama seviyesini belirtir eğer en son değere çekersek detayına kadar tarar, 1 ile 5 arasındadır, Detayına kadar arar ancak daha uzun sürebilir.

--risk --> Bu parametre, tarama risk seviyesini belirtir; en yüksek değere (3) çekildiğinde, en yüksek riskli enjeksiyon noktalarını tespit etmek için daha agresif tarama yapar. Değer aralığı 1 ile 3 arasındadır ve yüksek riskli enjeksiyon noktalarını tespit etmek için kullanıldığında daha uzun sürebilir.

ro3fzuc.png

Okuyanlara Teşekkür ederim.
Genişletmek için tıkla ...
eline sağlık
 
Butcherb3y

Butcherb3y

Uzman üye
1 Eyl 2022
1,609
1,194
Anıtkabir
LordSUCCESS' Alıntı:
oqk18ir.png


Merhabalar Ben LordSUCCESS, Bugünkü konumuz SQLMap Aracında Nasıl Waf Atlatırız

iwxqmay.png

Waf Nedir?


WAF, "Web Application Firewall" kelimelerinin kısaltmasıdır. Web uygulamalarını korumak için kullanılan bir güvenlik önlemidir. WAF, web uygulamalarına gelen istekleri denetler ve kötü niyetli trafikleri engellemek veya filtrelemek için kurallara dayalı bir yaklaşım kullanır. Bu sayede, SQL Injection, Cross-Site Scripting (XSS), ve diğer web uygulama saldırılarını önlemeye yardımcı olur.

ro3fzuc.png


SQLMap İle İlgili Konum: SQLMap Nedir? Nasıl Kullanılır?
Waf Tespit Etme İle İlgili Konum: WAF Nasıl Tespit Edilir?

93js8oc.png

SQLMap'te Nasıl Waf Atlatılır?


Tamper, SQLMap'in gönderdiği SQL sorgularını değiştirmek için kullanılan betiklerdir. Bu betikler, SQL Injection saldırılarını hedef uygulamaya uygun hale getirerek Web Application Firewall gibi güvenlik önlemlerini atlatmayı amaçlar. Önceden tanımlanmış veya özelleştirilmiş tamperler kullanılarak SQLMap'in saldırılarını uygun şekilde düzenlemek mümkündür. Ancak, bu işlem yasa dışı ve etik olabilir, bu yüzden sadece yasal ve etik sınırlar içinde hareket etmek önemlidir.

sjh1yjm.png

Şimdi sitede waf varmı SQLMap'te görelim

8jvg1rb.png

Altını çizdiğim uyarı, Waf'ın olduğunu işaret ediyor, Şimdi ise By-Pass payloadlarına bakalım

m0ud6yw.png

Burada istediğimiz payload'ı seçebiliriz ama dikkat etmemiz gereken birşey var, Payload'ın ne yaptığına ve payload'ı nasıl gizlediğine bakmalayız

bfcq5w9.png

Level ve risk parametreleri tarama seviyesi ve riski temsil eder, Kullandığım tamper payloadları eğer işe yararsa veritabanını çekebiliriz, Kesin olarak veritabanını çekecek diye kesin birşey diyemeyiz.

Önerdiğim Site: Önerdiğim Site, Buradan da Daha detaylı payloadların ne yaptığını inceleyebilirsiniz.
--level --> Sitedeki tarama seviyesini belirtir eğer en son değere çekersek detayına kadar tarar, 1 ile 5 arasındadır, Detayına kadar arar ancak daha uzun sürebilir.

--risk --> Bu parametre, tarama risk seviyesini belirtir; en yüksek değere (3) çekildiğinde, en yüksek riskli enjeksiyon noktalarını tespit etmek için daha agresif tarama yapar. Değer aralığı 1 ile 3 arasındadır ve yüksek riskli enjeksiyon noktalarını tespit etmek için kullanıldığında daha uzun sürebilir.

ro3fzuc.png

Okuyanlara Teşekkür ederim.
Genişletmek için tıkla ...
eline sağlık güzel olmuş
 
The VODKA

The VODKA

Uzman üye
8 Haz 2022
1,328
919
NGINX: 
┌──(root㉿localhost)-[~]
└─# sqlmap -u "Ellerine Sağlık" --dbs --batch tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords --random-agent --level=3 --risk=2
 
sametghack68

sametghack68

Katılımcı Üye
14 Tem 2023
275
73
Tek Başına
LordSUCCESS' Alıntı:
oqk18ir.png


Merhabalar Ben LordSUCCESS, Bugünkü konumuz SQLMap Aracında Nasıl Waf Atlatırız

iwxqmay.png

Waf Nedir?


WAF, "Web Application Firewall" kelimelerinin kısaltmasıdır. Web uygulamalarını korumak için kullanılan bir güvenlik önlemidir. WAF, web uygulamalarına gelen istekleri denetler ve kötü niyetli trafikleri engellemek veya filtrelemek için kurallara dayalı bir yaklaşım kullanır. Bu sayede, SQL Injection, Cross-Site Scripting (XSS), ve diğer web uygulama saldırılarını önlemeye yardımcı olur.

ro3fzuc.png


SQLMap İle İlgili Konum: SQLMap Nedir? Nasıl Kullanılır?
Waf Tespit Etme İle İlgili Konum: WAF Nasıl Tespit Edilir?

93js8oc.png

SQLMap'te Nasıl Waf Atlatılır?


Tamper, SQLMap'in gönderdiği SQL sorgularını değiştirmek için kullanılan betiklerdir. Bu betikler, SQL Injection saldırılarını hedef uygulamaya uygun hale getirerek Web Application Firewall gibi güvenlik önlemlerini atlatmayı amaçlar. Önceden tanımlanmış veya özelleştirilmiş tamperler kullanılarak SQLMap'in saldırılarını uygun şekilde düzenlemek mümkündür. Ancak, bu işlem yasa dışı ve etik olabilir, bu yüzden sadece yasal ve etik sınırlar içinde hareket etmek önemlidir.

sjh1yjm.png

Şimdi sitede waf varmı SQLMap'te görelim

8jvg1rb.png

Altını çizdiğim uyarı, Waf'ın olduğunu işaret ediyor, Şimdi ise By-Pass payloadlarına bakalım

m0ud6yw.png

Burada istediğimiz payload'ı seçebiliriz ama dikkat etmemiz gereken birşey var, Payload'ın ne yaptığına ve payload'ı nasıl gizlediğine bakmalayız

bfcq5w9.png

Level ve risk parametreleri tarama seviyesi ve riski temsil eder, Kullandığım tamper payloadları eğer işe yararsa veritabanını çekebiliriz, Kesin olarak veritabanını çekecek diye kesin birşey diyemeyiz.

Önerdiğim Site: Önerdiğim Site, Buradan da Daha detaylı payloadların ne yaptığını inceleyebilirsiniz.
--level --> Sitedeki tarama seviyesini belirtir eğer en son değere çekersek detayına kadar tarar, 1 ile 5 arasındadır, Detayına kadar arar ancak daha uzun sürebilir.

--risk --> Bu parametre, tarama risk seviyesini belirtir; en yüksek değere (3) çekildiğinde, en yüksek riskli enjeksiyon noktalarını tespit etmek için daha agresif tarama yapar. Değer aralığı 1 ile 3 arasındadır ve yüksek riskli enjeksiyon noktalarını tespit etmek için kullanıldığında daha uzun sürebilir.

ro3fzuc.png

Okuyanlara Teşekkür ederim.
Genişletmek için tıkla ...
Eline saglik
 
L

LordSUCCESS

Uzman üye
17 Eyl 2023
1,349
624
The VODKA' Alıntı:
NGINX: 
┌──(root㉿localhost)-[~]
└─# sqlmap -u "Ellerine Sağlık" --dbs --batch tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords --random-agent --level=3 --risk=2
Genişletmek için tıkla ...
Teşekkür ederim, Sanırım vodka hoca eline sağlık'ı hackleyecek :D
sametghack68' Alıntı:
Eline saglik
Genişletmek için tıkla ...
Teşekkür ederim :)
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.