Sqlmap Nedir ?
Sqlmap, web uygulamalarında SQL Injection tespitini ve bulunan açıkların exploit edilmesini otomatik hale getiren açık kaynak kodlu bir araçtır. Bünyesinde barındırdığı özellikler sayesinde, veri tabanı sunucularının yönetimini ele geçirmekten hedef sunucunun işletim sisteminde komut çalıştırmaya kadar pek çok işlevi yerine getirebilmektedir.(Kaynak : https://www.netsparker.com.tr/)
Nasıl Windows Komut Satırı (CMD) ye SQLMAP kurulur ?
Python 'a ihtiyacınız var. Aşağıdaki linkten indirebilirsiniz.
What is Sqlmap ?
Sqlmap is an open source tool that automates the SQL injection detection and exploitation of vulnerabilities found in web applications. With its built-in features, it can perform many functions, from taking control of the database servers to running the command on the target server to the operating system.
How to install SQLMAP in Windows Command Line (CMD)?
Need Python, You can download from the link below. Python 2.7 : https://www.python.org/download/releases/2.7/
-TR- ;
Windows 32bit veya 64bit olmak üzere 2 seçenek mevcut. Bilgisayarınızın özelliğine göre indirebilirsiniz.-EN- ;
There are 2 options, Windows 32bit or 64bit. You can download it according to the features of your computer.-TR- ;
İleri , İleri , İleri , Son.-EN- ;
Next , Next , Next , Finish.-TR- ;
SQLMAP adlı zip dosyasını indirin.-EN- ;
Download the zip file named SQLMAP. SQLMAP : http://dosya.co/qjjuwhplu2z2/sqlmap.zip.html-TR- ;
İndirdiğiniz dosyayı açıp içindeki klasörü C:\ dizinine çıkartın.-EN- ;
Open the downloaded file and copy the folder to the C: \ directory.-TR- ;
Başlat menüsüne "CMD" yazarak Windows Komut Satırını açın.-EN- ;
Open the Windows Command Line by typing "CMD" in the Start Menu.-TR- ;
Yazacağımız komutlar sırasıyla ;-EN- ;
The commands you type in are ;cd..
cd..
cd sqlmap
sqlmap.py
Basit Kullanım Örnekleri
İlk olarak, bazı basit parametreleri kullanalım. En yaygın kullanılan sqlmap parametresi URL’i ifade eden
-u
ya da --url
parametresidir. Görüldüğü üzere sqlmap’e hedef sitenin URL’ini tanıtır:
Simple Usage Examples
First, let's use some simple parameters. The most commonly used sqlmap parameter is the -u
or --url
parameter, which refers to the URL. As you can see, it introduces the target site's URL to SQLMap:
-TR- ;
Görebildiğiniz gibi, siteden bilgi topladı.-EN- ;
As you can see, he collected information from the site.-TR- ;
Devamında SQL Injection’ın var olduğunu öğrendiğimiz URL vasıtasıyla saldırıya --dbs
parametresini ekleyerek veri tabanlarının listesini çağırabiliriz:
-EN- ;
We can now invoke the list of databases by adding the --dbs
parameter to the attack via the URL we have learned that SQL Injection exists:
sqlmap.py -u http://aspnet.testsparker.com/Products.aspx?pId=4 --dbs
-TR- ;
Mevcut veri tabanlarının listesini elde ettik. Bundan sonra, sırayla tabloları, kolonları ve kayıtları aşağıdaki parametreleri kullanmamız gerekiyor:-EN- ;
We've got a list of available databases. After that, we need to use the following parameters in order for tables, columns and records:sqlmap -u http://aspnet.testsparker.com/Products.aspx?pId=4 -D testsparker --tables
sqlmap -u http://aspnet.testsparker.com/Products.aspx?pId=4 -D testsparker -T tablo --columns
sqlmap -u http://aspnet.testsparker.com/Products.aspx?pId=4 -D testsparker -T tablo -C kullanici,parola --dump
-TR- ;
-D: Bu parametre ile veri tabanı adını belirtmiş olduk.
--tables: Belirttiğimiz veri tabanındaki tablo isimlerini getirmek için bu parametre kullanılır.
-T: Tablo isimleri de alındıktan sonra kolonlarına ulaşılması istenen tablo adı bu parametre ile birlikte yazılır.
--columns: Adı belirtilen tablodaki kolonlar getirilir.
-C: İstenilen kolon adı yazılır.
--dump: Kolonlarda yer alan veriler ekrana yansıtılır.
( Source : https://www.netsparker.com.tr )
-EN- ;
-D: We specified the database name with this parameter.
--tables: This parameter is used to fetch table names in the database that we specify.
-T: Once the table names have been retrieved, the name of the table in which the columns are to be accessed is written with this parameter.
--columns: Columns named in the table are collected.
-C: The desired column name is written.
--dump: The data in the columns are reflected on the screen.
Posted on Utopian.io - Rewarding Open Source Contributors
@originalworks
The @OriginalWorks bot has determined this post by @truthism to be original material and upvoted it!
To call @OriginalWorks, simply reply to any post with @originalworks or !originalworks in your message!
Your contribution cannot be approved because it does not follow the Utopian Rules.
You can contact us on Discord.
[utopian-moderator]
really :D