استغلال ثغرة SQL Injection بأداة sqlmap على كالي لينكس - مدونة الحاسوب

مدونة الحاسوب

مدونة تهتم بالحاسوب والبرامج وبرمجة الاكواد وانشاء روابط وتعليم الاختراق والمواقع ا https://compterworld.blogspot.com/

Translate

الاثنين، 12 يونيو 2017

Home / Unlabelled / استغلال ثغرة SQL Injection بأداة sqlmap على كالي لينكس

استغلال ثغرة SQL Injection بأداة sqlmap على كالي لينكس

by on


شرح اليوم يا حبايبي في مجال الاختراق
 و هو شرح هدفه التعليم ﻻ اكثر .. بمعنى اي شيء غير قانوني تقوم به فأنا بريء منه :)
و من منا ﻻ يعرف ثغرة SQL Injection او مايعرف بثغرات الحقن التي احتلت مئات الالاف من المواقع الكبيرة  منها و الصغيرة

بداية سنعرفها ببساطة : 

ثغرة SQL Injection هي ثغرة امنية توجد في قواعد البيانات الخاصة بالمواقع
و تمكننا من رؤية كل ما بقاعدة البيانات من جداول الى اعمدة و من اعمدة الى بيانات

كيف نكتشفها ؟ : 

ساشرح لكم طريقة اكتشافها من الرابط اخواني و ليس من السكربت البرمجي
الطريقة بسيطة جدا
يجب ان يكون الرابط على الشكل
http://www.site.com/[anything].[anything]?[anything]=[integer(number)]

و anything يتم استبدالها بأي كلمة مثل
www.site.com/index.php?id=6
www.site.com/book.php?cid=7
www.site.php/member_profile.asp?mnl=20
...الخ من الروابط
الان بعدما نحصل على هذا الرابط نضيف هذه العلامة ' في نهاية الرابط فقط
مثل هكذا
www.site.com/index.php?id=6'      
اذا لم يتغير شكل الموقع وبقي مثل ماهو اذاً فهو سليم و غير مصاب
اما اذا تغير شكل الموقع بدون اخطاء فهناك احتمالية قليلة بإصابته
و اذا ظهر لكم خطأ مثل 
This error message may seem cryptic at first. That is because it is a general MySQL error pointing to asyntax error off ..... 
او 
You have an error in your SQL syntax; check the manual that  ....
....  
اذا فالموقع مصاب بهذه الثغرة
الآن ننتقل الى

طريقة استغلال الثغرة :

لاستغلال ثغرة SQL Injection اخواني هناك طريقتين 

طريقة الحقن اليدوي : و طبعا طريقة يدوية و متعبة و بدون اي برامج فقط تضيف تعديلات على الرابط مثل

 union+select+,1,2,3,4,5
order+by+6
و العديد من الاوامر مايجعله يديوي و صعب و لكن نتيجته ممتازة

طريقة الحقن الاوتوماتيكي : و طبعاً هي المشهورة نظراً لسهولتها و سرعتها

لأنه يستعمل فيها البرامج مثل Havij و اداة sqlmap فقط عليك وضع الرابط و تنتظر النتائج ^_^
 و في هذا الشرح سنشرح الحقن الاوتوماتيكي و بالتحديد اداة sqlmap الموجودة في كالي لينكس
 و يمكنكم تحميلها على الويندوز ايضا 

الاوامر المستعملة في الشرح : 

sqlmap -u [site] --dbs
sqlmap -u [site] -D [Database Name] --tables
sqlmap -u [site] -D [Database] -T [Table] --columns
sqlmap -u [site]  -D [Databas] -T [Table ] -C [Column1,Column2,...] --dump

الى هنا اصل لنهاية شرح اليوم



Author Image

About نشدة غيفوند
Soratemplates is a blogger resources site is a provider of high quality blogger template with premium looking layout and robust design. The main mission of templatesyard is to provide the best quality blogger templates.

Related Posts:
By في

ليست هناك تعليقات:

إرسال تعليق

اهلا بك ونشكرك على تعليقك ونتمنى ان تكون مستفيدا من المدونة
واقتراحاتك ستكون بالحسبان

الاشتراك في: تعليقات الرسالة (Atom)

أفضل برامج Keylogger مجانية لمراقبة ضغطات المفاتيح في Windows

  يمكن أن يكون برنامج تسجيل المفاتيح عبارة عن جزء من برنامج أو جهاز يمكنه التقاط ضغطات المفاتيح المكتوبة على لوحة مفاتيح الكمبيوتر. يمكن تشغ...