SQLmap ile SQL İnjection Saldırısı

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
SQL Injection Attack With SQLmap.png


Herhangi bir veritabanından veya sunucudan zahmetsizce veri almak için SQL enjeksiyonuna yönelik bir otomasyon aracının gücünden yararlanın.

SQL Injection saldırılarında size yardımcı olabilecek harika bir aracı tanıtmaktan heyecan duyuyorum. Çoğu insan SQL enjeksiyon saldırılarını manuel olarak gerçekleştirmek istemez çünkü çok zaman alır ve sonuç garantisi yoktur. SQLmap, SQL enjeksiyon saldırıları için en iyi komut satırı aracıdır.

Not: Birçok öğretici mevcut olduğu için sqlmap'in tamamını ele almayacağım. Bunun yerine, SQL enjeksiyonu kullanarak bir SQL enjeksiyon saldırısını nasıl gerçekleştireceğinizi öğretmeye odaklanacağım.

Kurulum:
sudo apt install sqlmap
Kali Linux kullanıyorsanız hazır gelir.

Nasıl Kullanılır

SQLmap bir komut satırı aracıdır. sqlmap'in tüm işlevlerini man sqlmap kullanarak görebiliriz. İlk olarak, SQL saldırısı gerçekleştirmek için hedefi alalım.

burada arama kısmında saldırı linkini bulmamız gerekiyor bu yöntemle de saldırı linkini bulabiliriz:


Hedef bağlantıyı bulmak için site ve php kimliğini kullanabiliriz burada bazı sonuçlar görebiliriz URL'de bir id parametresine sahip olabiliriz.

SQLmap.png



SQLmap2.png


Saldırı bağlantısını bulduktan sonra artık saldırıyı gerçekleştirmeye başlayabiliriz. Öncelikle veritabanını, ardından verilere erişmek için tablo ve sütunları bulmamız gerekir.

Veritabanı Nasıl Bulunur

bu komutu kullanabiliriz:

  • --dbs DBMS veritabanlarını numaralandırır
  • -u Hedef URL
Not: - Veritabanını bulursanız, DBMS'nin kullanım kısmını atlayabilirsiniz. ve kalan tüm testleri yapın.

SQLmap3.png


Burada 2 veritabanı buluyoruz 1. acuart ve 2. information_schema bu bizim sql' imizdeki varsayılan veritabanıdır, bu yüzden acuart veritabanını kontrol etmemiz gerekir.

Tablolar Nasıl Bulunur

bu komutu kullanabiliriz:

  • -D veritabanı
  • --tables tabloları görmek için
SQLmap4.png


Burada acuart veritabanında bulunan tüm tabloları bulabiliriz. Sütunlarını görüntülemek için bir tablo seçmeliyiz.

Sütunlar Nasıl Bulunur

bu komutu kullanabiliriz:

  • -D veritabanı
  • -T tabloları
  • --columns sütunları görmek için
SQLmap5.png


Burada verilerimizi içeren tüm sütunları görebiliriz. Bakalım uname ne içeriyor.

Sütunlardan Veri Nasıl Alınır

bu komutu kullanabiliriz:

  • -c sütunları
  • --dump verileri çıkar
SQLmap6.png


Burada kullanıcı adı testimiz var ve tablolarda sahip olduğumuz pass sütununu kullanarak şifreyi de bulabiliriz. Ayrıca şifreyi de bulalım.


sqlmappass.png


burada da test olan bir şifre alıyoruz. Şimdi web sitemize giriş yapmak için tüm detaylara sahibiz:
  • username=test
  • password=test
Web sitesine giriş yaptıktan sonra, kullanıcının ayrıntılarını görebiliriz:


SQLmap7.png
 
Geri
Üst