sqlmap Etiketli Yazılar

BGA Blog yazıları

dvwa_sqli_1
2013

SQL Injection Testlerinde IPS Atlatmak için Tamper Script Kullanımı

Sızma testlerinde bazı durumlarda bir SQLi zafiyeti tespit edilse dahi istismar(exploitation) işlemi düşünüldüğü kadar kolay olmayabiliyor. Hedef sistemde kurulu olan IPS'i,  WAF’ı atlatmak, hedef uygulamanın yapısından dolayı bazı karakterlerden kaçınmak veya logların analizini zorlaştırmak gibi amaçlarla sqli payloadınının bazı kısıtlara uyması ya da encode edilmesi istenilebilir.  SQLMap’in oluşturduğu payloadı hedef sisteme göndermeden hemen önce üzerinde istenilen değişiklikler tamper betikleri kullanılarak yapılabilir. Betik Yapısı SQLMap’in tamper betiği yapısı üç parçaya bölünebilir. Kütüphanelerin belirlendiği…
Devamı
Sızma Testlerinde İleri Seviye Sqlmap Kullanımı – I
2013

Sızma Testlerinde İleri Seviye Sqlmap Kullanımı – I

Sqlmap açık kaynak kodlu sql injection açıklığı tespit ve istismar etme aracıdır. Kendisine sağlanan hedef web uygulamasının kullandığı veritabanı  sistemine gönderdiği çeşitli sorgular/komutlar ile sistem üzerindeki sql injection tipini tespit eder yine kendisine sağlanan parametrelere göre çeşitli  bilgileri  hedef veritabanından alır. Sqlmap ile hedef hakkında elde edilebilen bazı veriler; Veritabanı türü ve versiyonu (--banner,--all) Mevcut kullanılan veritabanı ve erişilebilen tüm veritabanı isimleri (--current-db, --dbs) Veritabanı tabloları(tables) ve bu tablolara ait kolonları(columns) (--tables,…
Devamı
SQL Injection Saldırılarında SqlMap Kullanımı
2012

SQL Injection Saldırılarında SqlMap Kullanımı

Sqlmap yazılımı veri tabanlarına yapılan Sql Injection saldırılarını gerçekleştirmek için python ile gelişitirilmiş bir araçtır.  Sql Injection saldırılarının “and 1=1” den ibaret olmadığının en güzel kanıtlarından birisi olan sqlmap yazılımına biraz yakından bakıldığında, gerçekten çok geniş ve gelişmiş özellikleri olduğu fark edilmektedir.Sqlmap Kurulumuhttp://downloads.sourceforge.net/sqlmap/sqlmap-0.9.tar.gz link üzerinden download edebilir yahut Ubuntu repolarından "apt-get install sqlmap” komutu ile yazılımı kurulabilir.Ardından sqlmap'e ait upgradeleri kurmak için[mince@BGA sqlmap]$ svn upgrade[mince@BGA sqlmap]$ python2 sqlmap.py –updatekomutlarını sqlmap klasörü içerisinde…
Devamı