SQLMAP Aracı İle Nasıl SQL İnjection Tespit Edilir

TurkXecutioner

TurkXecutioner

Yeni üye
31 Eki 2022
5
9
Merhabalar Bu konumda Sqlmap aracı ile nasıl SQL İnjection Zafiyeti Tespit edebilirsiniz onu anlatacağım anlatıma geçelim


web sitenin adresini -u parametresinden sonra belirtiyoruz --forms ile formlarıda test etmesini belirtiyoruz
Kod: 
sqlmap -u http://website.com --forms --batch --crawl=10 --level=5 --risk=3

e1fwveb.jpg


başlattığımız gibi belirttiğimiz web sitesi içersinde gezinmeye başlıyor


24pdy15.jpg


admin panelini bulmuş ve post isteğine sql injection denemesi yapıyor

1xmy7cd.jpg


bulduğu tüm inputlara deneme yaptıktan sonra arama kısmında sql injection zafiyeti buluyor
11chw2n.jpg


examination parametresinde sql injection olduğunu söylüyor ve sqlmap'e atıyorum databaseyi çekmek için

1thw4e4.jpg

database çekiliyor

9jdyhiu.jpg
 
Hayrabay

Hayrabay

Üye
16 Şub 2021
144
76
Kato Dağı
Merhaba,
Öncelikle elinize sağlık.
Otomatik tool kullanmak yerine manuel ile sqll zafiyetini tespit etmek ve bulmak seni daha ileri taşıyacaktır.
Bende otomatik tool'u kullandım,havij kullandım tabi havij artık eskidi ama şimdi manuel olarak hem zafiyet tespiti hemde siteden manuel olarak veri çekip okuyabiliyorum.
 
TurkXecutioner

TurkXecutioner

Yeni üye
31 Eki 2022
5
9
Hayrabay' Alıntı:
Merhaba,
Öncelikle elinize sağlık.
Otomatik tool kullanmak yerine manuel ile sqll zafiyetini tespit etmek ve bulmak seni daha ileri taşıyacaktır.
Bende otomatik tool'u kullandım,havij kullandım tabi havij artık eskidi ama şimdi manuel olarak hem zafiyet tespiti hemde siteden manuel olarak veri çekip okuyabiliyorum.
Genişletmek için tıkla ...
önerin için teşekkürler fakat ben zaten aktif olarak çalışan birisiyim penetration tester olarak sqlmap'i daha yararlı kullanım için attım konuyu :)
 
Muslukcu

Muslukcu

Katılımcı Üye
17 Kas 2021
699
262
Tesisat dükkanı
TurkXecutioner' Alıntı:
Merhabalar Bu konumda Sqlmap aracı ile nasıl SQL İnjection Zafiyeti Tespit edebilirsiniz onu anlatacağım anlatıma geçelim


web sitenin adresini -u parametresinden sonra belirtiyoruz --forms ile formlarıda test etmesini belirtiyoruz
Kod: 
sqlmap -u http://website.com --forms --batch --crawl=10 --level=5 --risk=3

e1fwveb.jpg


başlattığımız gibi belirttiğimiz web sitesi içersinde gezinmeye başlıyor


24pdy15.jpg


admin panelini bulmuş ve post isteğine sql injection denemesi yapıyor

1xmy7cd.jpg


bulduğu tüm inputlara deneme yaptıktan sonra arama kısmında sql injection zafiyeti buluyor
11chw2n.jpg


examination parametresinde sql injection olduğunu söylüyor ve sqlmap'e atıyorum databaseyi çekmek için

1thw4e4.jpg

database çekiliyor

9jdyhiu.jpg
Genişletmek için tıkla ...
Elinize saglik
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.