THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

SQL Injection Anlatımı ~ 'Gandalf

'Gandalf - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
01/2017
Nereden:
Aet
Mesajlar:
1.908
Konular:
126
Teşekkür (Etti):
950
Teşekkür (Aldı):
628
Ticaret:
(0) %
04-09-2018 01:01
#1
SQL Injection Anlatımı ~ 'Gandalf

SQL Injection Anlatımı

Görseller eşliğinde detaylı anlatıma geçmeden önce veritabanını, SQL'i ardından SQL Injection'ı tanıyalım diyorum.

Veritabanı(Database) Nedir?

Veritabanı herhangi bir sistemin tüm objelerinin toplandığı alana verilen addır. İngiliz dilinde "Database" olarak adlandırılır ve internet dünyasında çoğunluğu bu ad oluşturur. Daha kısa bir tanım ile açıklamak gerekirse veritabanı, sistemdeki verilerin tümüdür.

Structured Query Language(SQL) Nedir?

Structured Query Language yani SQL bir veritabanı yönetim organıdır ve sistemin kendisidir. Açılımına baktığımızda son kelime bizim dikkatimizi çekmektedir: Language. Language, İngilizce bir sözcüktür ve Türkçe karşılı dil, lisandır. Evet, SQL bir dildir. Ancak çalışma prensipleri farklıdır. SQL, kullanıcı ile veritabanı arasındaki bir köprüdür. Kullanıcının bu köprüden geçme girişimine ise "Veritabanı Sorgusu" adı verilmektedir.

SQL Injection Nedir?

Yukarıdaki tanımlarda anlatmış olduğumuz sistemin birde açığı vardır. Bu açıktan yararlanılarak sisteme yetkisiz bir biçimde sızmaya SQL Injection adı verilir. SQL Injection dünya çapında çok fazla kullanılmaktadır ve en popüler güvenlik açığıdır. Birçok sitede mevcuttur ve yıllardır diriliğini korumaktadır. Şimdi gelelim bu açığın nasıl meydana geldiğine: "Veritabanı ile kullanıcı arasındaki köprü" diye nitelendirmiştik SQL'i hatırlarsanız. İşte SQL Injection imkanı da SQL kodlardaki yanlışlıklardan meydana gelmektedir. Bu yanlışlıklar insan kaynaklı olacağı için bakkal sitesinden tutun devlet sitelerine kadar her sistemde bulunabilir. SQL Injection ile neler yapılabileceğine gelecek olursak, sızmış olduğunuz sistemin veritabanına ulaşabileceğiniz için sistemdeki tüm verileri çalabilirsiniz. Bu saldırı yöntemini kullanmakta bize yardımcı olacak programları görseller eşliğinde sizlere açıkladığımızda daha etkili olacağını düşünüyorum.



SQLMAP


SQL Injection anlatımımızdaki ilk veri çekme yöntemi olan sqlmap, cmd altyapısını kullanarak hedef siteden veri çekmemizi sağlıyor. Madde madde anlatıma geçebiliriz:

1)- Öncelikle açıklı bir site bulmalısınız. Bu işlem için Safe 3, Türk-Altay v3.0 programlarını kullanabilirsiniz yahut kendi yöntemlerinizle herhangi bir programdan destek almadan bu işi gerçekleştirebilirsiniz. Ancak açıklı site ararken güncel siteleri hedef almanız sizin yararınıza olacaktır. Güncel siteleri bulabilmek için ise "Tümü, Görseller" şeklinde devam eden butonların en sağında yer alan "Araçlar" simgesine tıklamalısınız. Tıkladıktan sonra "Herhangi bir zaman" seçeneğine tıklayıp bir aralık belirlemelisiniz. Bu şekilde güncel sitelere erişim sağlarsınız.

2)- Hedef bir site belirledikten sonra Python 2.7'ye ve sqlmap dosyasına ihtiyacımız var. Bunları bir şekilde temin ettikten sonra sqlmap'i açıp kodlarımızı yazıyoruz:

"sqlmap.py -u site adresi--dbs"

bu kodu yazdığınız zaman tarama işlemi gerçekleşecektir. Saldırı başarılı olursa kolonlar önünüze düşmeye başlar, bundan sonra yazacağımız kod ise şudur:

"sqlmap.py -u site adresi-D databaseismi --tables"
(Kolon adını yazarken "schame" olmamasına dikkat edin.)


seçtiğiniz kolon açılıp, istediğiniz seçeneği belirledikten sonra bu kodu yazıyoruz:

"sqlmap.py -u site adresi-D databaseismi -T tablolar --columns"

bu işlemi de gerçekleştirdikten sonra dilediğiniz veriyi çekebilirsiniz:

"sqlmap.py -u site adresi-D databaseismi -T admin -C tablolar --dump"



Havij


Havij, sqlmap'e göre daha çok tercih edilir. Bundaki etken Havij ile SQL Injection'un daha kolay gerçekleşmesidir. Arayüzü görseldeki gibi olan Havij, sqlmap'te kodlarını yazarak gerçekleştirdiğimiz işlemleri butonlara ekleyip yapacağımız işlemin daha kolay olmasını sağlıyor. Şimdi madde madde anlatıma geçelim:
- Yine bir hedef site bulmanız gerekiyor bunun için "SQLMAP" başlığındaki birinci maddeyi okuyabilirsiniz. Hedef siteyi belirledikten sonra "Target" yazan yere sql açık linkini yapıştırıyoruz. Yine sqlmap'teki gibi bir analiz yapacaktır ve başarılı olursa size kolonlara erişme imkanı sağlayacaktır.
- İşlem başarılı olduktan sonra "Tables" ardından "Get Tables" seçeneklerine tıklıyoruz. Sol da yer alan sayfaya birçok kolon düşecektir. Dilediğinizi seçip "Get Collumns" ardından yine belirlediğiniz kolonu seçip "Get Data" diyoruz. Seçtiğiniz şey admin şifresi, telefon numarası yahut farklı kişisel bilgiler olabilir. Ne seçerseniz seçin "Get Data" butonuna tıkladığınız zaman sağ taraftaki sayfada bilgiler sıralı bir şekilde gelecektir.



Türk Altay v3.0


Türk-Altay v3.0 programı sadece SQL Injection için değil, SQL Scanner, SQL Login Bypass, Admin Panel Bulucu, Denial of Service gibi birçok hack aracı içinde kullanılmaktadır. Bunlara ek olarak program Türk yapımıdır ve bu programı makalenin en güzel içeriği yapan şey de budur. Program Havij ile benzer çalışmaktadır ve farklardından bir tanesi Türk-Altay v3.0 programının Türkçe olmasıdır. Yine madde madde anlatıma geçelim:
- Hedef site belirlemeyi artık ezberlemişsinizdir diye umut ediyorum. Aynı işlem, hedef site belirlenir ve açıklı url "Hedef Site" yazan yere yapıştırılır. Analiz gerçekleşir ve başarı elde edilirse veritabanına giriş sağlanır.
- Veritabanına giriş yaptıktan sonra sırasıyla "Tablo Çek", "Kolon Çek" ve "Veri Çek" butonlarına basılır.
Konu 'Gandalf tarafından (04-09-2018 11:45 Saat 11:45 ) değiştirilmiştir.
theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Konular:
31
Teşekkür (Etti):
68
Teşekkür (Aldı):
354
Ticaret:
(0) %
04-09-2018 01:03
#2
Elinize sağlık
Bykurabiye - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
Tanrı Dağı
Yaş:
16
Mesajlar:
2.506
Konular:
153
Teşekkür (Etti):
343
Teşekkür (Aldı):
259
Ticaret:
(0) %
04-09-2018 01:05
#3
Hocam yanlış anlamayın ama bunun ile ilgili zaten sabitlenmiş ve çok güzel bir konu var.Neden bir daha açma gereği duydunuz ?
--------------------- Birazcık Yukarıya Bak.

Bir şey her şey için, her şey bir şey için vardır.
J. W. Von GOETHE
'Gandalf - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
01/2017
Nereden:
Aet
Mesajlar:
1.908
Konular:
126
Teşekkür (Etti):
950
Teşekkür (Aldı):
628
Ticaret:
(0) %
04-09-2018 01:10
#4
Alıntı:
Bykurabiye´isimli üyeden Alıntı Mesajı göster
Hocam yanlış anlamayın ama bunun ile ilgili zaten sabitlenmiş ve çok güzel bir konu var.Neden bir daha açma gereği duydunuz ?
Böyle bir soru yöneltilmesini bekliyordum. Doğrudur haklısınız. Ancak farklı üsluplardan okumak kimseye zarar vermez. Ek olarak bu konuda 2017 yılında çıkmış bir yardımcı programında anlatımı mevcuttur.
M3m0ry, Teodoro Teşekkür etti.
Bykurabiye - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
Tanrı Dağı
Yaş:
16
Mesajlar:
2.506
Konular:
153
Teşekkür (Etti):
343
Teşekkür (Aldı):
259
Ticaret:
(0) %
04-09-2018 01:12
#5
Alıntı:
'Gandalf´isimli üyeden Alıntı Mesajı göster
Böyle bir soru yöneltilmesini bekliyordum. Doğrudur haklısınız. Ancak farklı üsluplardan okumak kimseye zarar vermez. Ek olarak bu konuda 2017 yılında çıkmış bir yardımcı programında anlatımı mevcuttur.
Beklediğinizi biliyordum,cevabı merak etmiştim. cevabıda güzelmiş
--------------------- Birazcık Yukarıya Bak.

Bir şey her şey için, her şey bir şey için vardır.
J. W. Von GOETHE
'Gandalf, M3m0ry Teşekkür etti.
M3m0ry - ait Kullanıcı Resmi (Avatar)
Junior Çevirmen
Üyelik tarihi:
06/2017
Mesajlar:
4.020
Konular:
298
Ticaret:
(0) %
04-09-2018 01:13
#6
Alıntı:
'Gandalf´isimli üyeden Alıntı Mesajı göster
Böyle bir soru yöneltilmesini bekliyordum. Doğrudur haklısınız. Ancak farklı üsluplardan okumak kimseye zarar vermez. Ek olarak bu konuda 2017 yılında çıkmış bir yardımcı programında anlatımı mevcuttur.
Hocam forumda gördüğüm en mantıklı cevaplardan birisiydi. Bu arada konu görünüş olarak çok güzelmiş. şimdi okumaya geçiyorum. ellerinize sağlık
'Gandalf Teşekkür etti.
Dudu Peri - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2017
Nereden:
Sin.
Mesajlar:
1.220
Konular:
133
Teşekkür (Etti):
183
Teşekkür (Aldı):
186
Ticaret:
(0) %
04-09-2018 01:16
#7
Elinize sağlık
---------------------
Renkli kişiliği böylece kitaba kaldırıldı
Slyfer - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2016
Nereden:
Unknown
Mesajlar:
1.615
Konular:
38
Teşekkür (Etti):
19
Teşekkür (Aldı):
170
Ticaret:
(0) %
04-09-2018 01:17
#8
Elinize sağlık
---------------------

i want to sleep f o r e v e r
'Gandalf - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
01/2017
Nereden:
Aet
Mesajlar:
1.908
Konular:
126
Teşekkür (Etti):
950
Teşekkür (Aldı):
628
Ticaret:
(0) %
04-09-2018 01:20
#9
Alıntı:
M3m0ry´isimli üyeden Alıntı Mesajı göster
Hocam forumda gördüğüm en mantıklı cevaplardan birisiydi. Bu arada konu görünüş olarak çok güzelmiş. şimdi okumaya geçiyorum. ellerinize sağlık
Kendimce bu renkler konuya antik bir hava ve ağırlık katıyor. Forumda teknik bazlı konular çoğunlukla göz alan renklerle donatılmış durumda. Teşekkür ederim keyifli okumalar.
M3m0ry Teşekkür etti.
Machina - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2014
Nereden:
Sydney
Yaş:
27
Mesajlar:
487
Konular:
28
Teşekkür (Etti):
43
Teşekkür (Aldı):
83
Ticaret:
(0) %
04-09-2018 02:31
#10
İştahımı açtın ellerine sağlık
--------------------- _____
Dönme Yolundan .

_____
Defacer
Kızıl Ölüm Meleği
SADECE İZLE!

~~~~~~~
Emekli UG'ci
###############

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler