- 21 Haz 2023
- 253
- 92
Öncelikle selamlar Bugün Temel Seviye Sqlmap Kullanımını Göstereceğim.Web- pentesting konusuna giriş yapanlar için Temelden uzmana doğru bir seri yapmayı planlıyorum neyse fazla uzatmadan konuya geçelim
SqlMap Nedir ?
Bir tür atak/saldırı tekniği diyebiliriz. Bu zafiyete bazen meta-karakterler neden olabilir. Web uygulamalarındaki ciddi açıklardan biridir
Sık Kullanılan Komutlar
–dbs: veritabanlarını görüntüler.
–tables: veri-tabanındaki tablolar görüntüler.
–column: Veri-tabanındaki sütunlar görüntülenir.
-dump: DBMS veritabanı girişlerini dökecektir.
Sık kullanılan senaryo
Veritabanı>Tablo>Kolon>Veri
~Şimdi bir test sitesi üzerinden konuyu iyice anlamaya çalışalım
Hedef site:artists
İlk önce terminalimizi açıyoruz
-Daha sonra Sqlmap -u (hedef site belirtiyoruz) --random-agent (Sqlmap içersinde bulunan .txt dosyalarindan bizim için fake bı kimlik oluşturacaktır) --dbs ( sitedeki açıktan yararlanarak bizim için Datalari çekecek)
Tarama bitiginde sizin için çektiği Datalari verecek tüm sitelerde information_schema diye bı data gelir burada kullanıcı bilgileri aranmaz işimiz diğer datalar ile sitenin asıl verileri oradadır bu sitemizde de bize *acuart diye sitenin kendi datasini verecektir peki bu datadaki verileri nasıl göruntuleriz
Sqlmap -u (hedef site) -D (Büyük (D) olarak yazdım burda girmek istedigimiz datayi belirleyeceğiz) --tables (bize data içindeki tabloları goruntuleyecektir)
Ve evet karşımıza 8 tane tablo geldi peki kullanıcı bilgileri hangisinde users (kalanicilar ) evet bilgilerimiz bunun içinde peki bunlara nasıl ulasicaz
Sqlmap -u (hedef site) -D data ismi -T tablo ismi -columns (bize burda hangi bilgilerin olduğunu ne içerdiğini gösterecek)
Evet artık içeriğinde ne olduğunu da biliyoruz geriye kalan şey bunları ele geçirmek
Sqlmap -u ( hedef site) -D (data ismi) -T (tablo ismi ) --dump diyerek bilgileri ele geçirebiliriz
Fakat bir sorun var bu admin şifresi veya kullanıcı şifreleri md5 şifreleme yöntemi ile karşımıza gelicek Sqlmap içerisinde bu şifreleme yontemini kirabilcek tool mevcut zaten size soru olarak kendisinin kirabileceğini söylüyor bunu tercih etmek veya etmemek size kalmış
Sonrasında bilgileri size vericektir buraya kadar okuduğunuz için teşekkürler bu konunun da sonuna geldik Umarım yararlı ve açıklayıcı olmuştur iyi forumlar dilerim
GÖRSELER
1)hcuhvn1.jpg
2)r4lxiwp.jpg
3)emt2v24.jpg
4)n97zlek.jpg
5)hsp2zfg.jpg
6)fmnpicj.jpg
7)qv9pemc.jpg
8)cdrancb.jpg
9)fvwpig4.jpg
10)https://hizliresim.com/vp04b
b8 (enter yapın)
11)45rsloe.jpg
12)2i923ir.jpg
13)Bilgilerle siteye giriş Yapıyorum
14)https://hizliresim.com/c
yyjmde
(Sitedeki bilgilerle ele geçirdiğimiz bilgilerin aynı olduğunu teyit ettik)
Okuduğunuz için teşekkürler umarım açıklayıcı olmuştur iyi forumlar
Bir tür atak/saldırı tekniği diyebiliriz. Bu zafiyete bazen meta-karakterler neden olabilir. Web uygulamalarındaki ciddi açıklardan biridir
Sık Kullanılan Komutlar
–dbs: veritabanlarını görüntüler.
–tables: veri-tabanındaki tablolar görüntüler.
–column: Veri-tabanındaki sütunlar görüntülenir.
-dump: DBMS veritabanı girişlerini dökecektir.
Sık kullanılan senaryo
Veritabanı>Tablo>Kolon>Veri
~Şimdi bir test sitesi üzerinden konuyu iyice anlamaya çalışalım
Hedef site:artists
İlk önce terminalimizi açıyoruz
-Daha sonra Sqlmap -u (hedef site belirtiyoruz) --random-agent (Sqlmap içersinde bulunan .txt dosyalarindan bizim için fake bı kimlik oluşturacaktır) --dbs ( sitedeki açıktan yararlanarak bizim için Datalari çekecek)
Tarama bitiginde sizin için çektiği Datalari verecek tüm sitelerde information_schema diye bı data gelir burada kullanıcı bilgileri aranmaz işimiz diğer datalar ile sitenin asıl verileri oradadır bu sitemizde de bize *acuart diye sitenin kendi datasini verecektir peki bu datadaki verileri nasıl göruntuleriz
Sqlmap -u (hedef site) -D (Büyük (D) olarak yazdım burda girmek istedigimiz datayi belirleyeceğiz) --tables (bize data içindeki tabloları goruntuleyecektir)
Ve evet karşımıza 8 tane tablo geldi peki kullanıcı bilgileri hangisinde users (kalanicilar ) evet bilgilerimiz bunun içinde peki bunlara nasıl ulasicaz
Sqlmap -u (hedef site) -D data ismi -T tablo ismi -columns (bize burda hangi bilgilerin olduğunu ne içerdiğini gösterecek)
Evet artık içeriğinde ne olduğunu da biliyoruz geriye kalan şey bunları ele geçirmek
Sqlmap -u ( hedef site) -D (data ismi) -T (tablo ismi ) --dump diyerek bilgileri ele geçirebiliriz
Fakat bir sorun var bu admin şifresi veya kullanıcı şifreleri md5 şifreleme yöntemi ile karşımıza gelicek Sqlmap içerisinde bu şifreleme yontemini kirabilcek tool mevcut zaten size soru olarak kendisinin kirabileceğini söylüyor bunu tercih etmek veya etmemek size kalmış
Sonrasında bilgileri size vericektir buraya kadar okuduğunuz için teşekkürler bu konunun da sonuna geldik Umarım yararlı ve açıklayıcı olmuştur iyi forumlar dilerim
GÖRSELER
1)hcuhvn1.jpg
2)r4lxiwp.jpg
3)emt2v24.jpg
4)n97zlek.jpg
5)hsp2zfg.jpg
6)fmnpicj.jpg
7)qv9pemc.jpg
8)cdrancb.jpg
9)fvwpig4.jpg
10)https://hizliresim.com/vp04b
b8 (enter yapın)
11)45rsloe.jpg
12)2i923ir.jpg
13)Bilgilerle siteye giriş Yapıyorum
14)https://hizliresim.com/c
yyjmde
(Sitedeki bilgilerle ele geçirdiğimiz bilgilerin aynı olduğunu teyit ettik)
Okuduğunuz için teşekkürler umarım açıklayıcı olmuştur iyi forumlar