THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Normal Seviye Sqlmap Kullanımı

Privles - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Nereden:
Azerbaycan
Mesajlar:
226
Konular:
52
Teşekkür (Etti):
36
Teşekkür (Aldı):
22
Ticaret:
(0) %
05-01-2016 23:07
#1
Normal Seviye Sqlmap Kullanımı
Sqlmap Nedir?

Sqlmap sql injection açıklarını tesbit ve istismar etme aracıdır.
Belirtilen hedefte sql injection açığı tarar ve bulduğu zaman kendisine belirtilen çeşitli

parametreler ile veritabanından bilgi sağlamaya çalışır.

Hedef Tipleri

-HTTP taleplerini okuma : “--r”
-URL : “--url, -r”
-Burp Suite ve WebScarp ProxyLogu : “--log , -l”
-Google ile url toplayabilmek : “-g

Sqlmap ile sql tesbit ettiğimiz url’yi istismar etmek

Database çekmek:



Bu komut bize database İsim veya isimlerini verir.

Tabloları çekmek:



Bu işlem ile tablo isimlerini çekebiliriz.

Kolonları Görmek:



Bu komut ise bize kolonları yansıtır.


Kullanıcı bilgilerini çekmek:



Son olarak bu komut ile kullanıcı verilerini çekebiliriz.

Google üzerinde sql açıklı url’leri tesbit ve istismar etmek



Sqlmap’a bu komut ile google üzerinde sql açıklı url’leri tesbit edip atack

yapmasını sağlarız.

Bulunan sql açıklı siteleri bildirir ve attack yapılması için sorgu sorulur

:”(y/n/q)”



Sorgu “y” ile cevaplandığı takdirde sql inj. işlemi başlar ve verileri çekmeye

başlar.



Eğer “n” ile cevaplanırsa bi sonraki hedefe geçer.



“q” ise işlemi sonlandırır.

Hedef sistem işletim sistemi ve versiyonu ile kullanılan web teknolojisi adı

ve versiyonunu öğrenme




İşlemini sql açığı bulunan satırla gerçekleştirir ve bilgilerini

yansıtır.




Blind sql açığı barındıran url’yi istismar etmek

Url deki açıktan user,db,pass bilgileri çekmek



Urldeki açıktan user,pass ve db bilgilerini bu komut ile elde

edebiliriz.

Database çekmek:




Blind sql açıklı url’den database bilgilerini bu komut ile çekebiliriz.

Tabloları çekmek:




devamında tablo isimlerini bu komut ile öğrenebiliriz

Kolonları görmek:



Kolonları ise bu komut ile görebiliriz.


Kullanıcı bilgilerini çekmek:




Son olarak kullanıcı bilgilerini bu komut ile çekebilriz.


Alıntıdır
--------------------- Siz Geceleri Uykunuzdayken Biz Klavyelerimizin Basinda sizinle uğraşıyoruz.
Konu Privles tarafından (05-01-2016 23:24 Saat 23:24 ) değiştirilmiştir.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler