İPUCU

Linux Linux İle İlgili Bilgi Paylaşım Platformu

Seçenekler

Kali Linux Sqlmap Sql İnjention

29-05-2018 08:03
#1
Üyelik tarihi:
10/2017
Nereden:
T Ü R K
Yaş:
20
Mesajlar:
652
Teşekkür (Etti):
145
Teşekkür (Aldı):
158
Konular:
52
Ticaret:
(0) %
Kali Linux Sqlmap Kullanımı
Sqlmap python dili ile yazılmış açık kaynak kodlu,sql injection açığını tespit ve istismar eden bir araçtır. Bu araç sizin belirtmiş olduğunuz girdiler ile hedef site üzerinde, bünyesinde bulunan kombinasyonları deneyerek açık tarar. Kali Linux işletim sistemi üzerinde hazır olarak gelen bu araç, Windows işletim sistemi ve diğer Linux işletim sistemi kullanıcılarına da açıktır. İndirmek için “sqlmap: automatic SQL injection and database takeover tool adresine gidebilirsiniz. Bu tip araçları kullanmanın en güzel yanı el ile yapılan taramalardan daha hızlı sonuçlar çıkarması. Ama şunu unutmamak gerekir ki el ile yapılan taramalar her zaman daha iyi sonuçlar ortaya çıkarır.

Konuyu fazla uzatmadan “sqlmap” de var olan komutları ve bu araç ile yapılan örnek bir saldırıya yer verelim.

Komut satırına “sqlmap -h” yazdığımızda bu araç ile kullanılabilecek kod dizinleri karşımıza çıkıyor.

11

1

Yukarıda da gördüğümüz gibi bu araç ile ilgili var olan komutları ve açıklamalarına yer verilmiştir. Kullanımı ise mesela bir sitenin mevcut veritabanlarını bulmak istiyorsak kullanacağımız komut:”sqlmap -u http://www.hedefsite.com/index.php?id=2 –dbs” yazıyoruz.

Şimdi ise bu araç kullanarak hedef sitenin veritabanına erişip, sitenin admin paneli kullanıcı adı ve şifresine nasıl erişebileceğimize bakalım. Herhangi bir olumsuz durum yaşanmaması sebebiyle örnek olarak kullandığım sitenin bilgilerini sileceğim.

İlk olarak komut satırına sqlmap -u http://www.hedefsite.com/index.php?id=2 –dbs kodunu yazıyoruz.

2

Yukarı da gördüğümüz gibi ilgili sitenin veritabanını buldu. Bizim işlem yapacağımız yer information_**** diye devam eden değil. Bunun bir üstündeki veri tabanı ile işlem yapacağız. Parametreye değer girerken ismini komple kapattığım veri tabanı ismini giriniz. Şimdi ise bulunan veri tabanında hangi tablolar var bir göz atalım. Bunun için “sqlmap -u http://www.hedefsite.com/index.php?id=2 -D veritabani_adi –tables” komutunu yazıyoruz.

3

Yukarıda arama yaptığımız veri tabanında 7 adet tablo buldu ama burada adı “admin” olan veri tabanı tablosu benim gözüme takıldı bakalım burada neler varmış. Bunun için komut satırına “sqlmap -u http://www.hedefsite.com/index.php?id=2 -T admin –columns” yazıp gelen sonuçları inceleyelim.

4

Burada karşımıza 3 tane sütun çıkıyor. İlgili sitenin admin id, kullanıcı adı ve şifrelerinin kayıtlı olduğu sütunlar karşımıza çıkıyor. Buradaki sütunların hepsine bir göz atalım bunun için komut satırına “sqlmap -u http://hedefsite.com/index.php?id=2 -T admin -C id,password,username –dump” yazıp ilgili sütunlar da ne gibi bilgiler saklanıyor bakalım.


Yukarı da ilgili sitenin admin bilgilerine ulaştık. Bazı sistemlerde buradaki parolalar şifreli bir şekilde tutulmaktadır.Bi sonraki konu resimli olucak vaktim olmadığı için atamadım.
Kullanıcı İmzası
Gâfil ne bilir neş've-i pür-şevk-i vegâyı
Meydân-ı celâdetteki envar-ı sefâyı
Merdân-ı gazâ aşk ile tekbirler alınca
Titretti yine, rû-yı zemin arş-ı semâyı.
Allah yolunda cenk edelim şân alalım şan
Kur'an'da zafer vaadediyor Hazret'i Yezdan.
Konu KartalHacked tarafından (29-05-2018 08:06 Saat 08:06 ) değiştirilmiştir.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı