sqlmap GUI Kullanımı

SQLMAP, veritabanı hatalarından etkilenen sitelerde SQL enjeksiyon saldırıları gerçekleştirmek için kullanılan popüler bir açık kaynak bir araçtır. Bir çok sayıda güvenlik araştırmacısı tarafından kullanılan SQLmap aracının web arayüzünü kullanan insan sayısıda bir o kadar düşük sayıdadır. Bu yazımızda github üzerinden yayınlanan, PHP programlama dili ile yazılmış olan bu aracın WEB-GUI’si hakkında bilgi vereceğiz.

İlk olarak github reposunu klonlamamız gerekmektedir. Bunun için

git clone https://github.com/Hood3dRob1n/SQLMAP-Web-GUI

Komutunu kullanmaktayız. Sonrasında dizine girip sqlmap dizinini bir üst dizine taşımaktayız.

cd SQLMAP-Web-GUI
mv sqlmap ..
cd ..

En son olarak da sqlmap dizininin haklarını düzeltmekteyiz.

chmod 777 * sqlmap

SQLMAP GUI KULLANIMI

Sonraki aşamamızda eğer makinemizde apache gibi bir web servisi yoksa arayüzü kullanmak için bir web servis kurulmaktadır. Eğer var ise aktif hale getirmek yeterlidir.

apt-get install apache2
service apache2 restart

Ardından sqlmap aracı ile WEB-GUI’nin iletişime geçmesini sağlayan api dosyası(sqlmapapi.py) aratılmaktadır. Bu api dosyası Kali linux dağıtımında usr/share/sqlmapapi.py yolunda bulunmaktadır.

locate sqlmapapi.py

Api dosyası bulunduktan sonra REST-JSON API server olarak çalıştırmak için -s parametresi kullanılmaktadır.

python usr/share/sqlmapapi.py -s

SQLMAP GUI KULLANIMI

Api dosyası çalıştıktan sonra web browser üzerinden GUI’nin durumu kontrol edilmektedir. Gelen GUI şekildeki gibidir.
Web arayüzünde 6 adet başlık bulunmaktadır. Başlıklar ve özellikleri şu şekildedir:

  • BASIC: Basic sekmesinde, hedef URL’i, HTTP metodu belirtilmektedir.
SQLMAP GUI KULLANIMI
  • REQUEST: Request sekmesi hedef URL’e yapılan isteğin, user-agent, time delay gibi parametrelerinin değiştirilmesini sağlamaktadır.
SQLMAP GUI KULLANIMI
  • INJECTIN & TECHNIQUE: Hangi tür enjeksiyon yönteminin hangi teknikler ile yapılacağının seçildiği sekmedir.
SQLMAP GUI KULLANIMI
  • DETECTION: Özel bir string ile eşleşme isteniliyorsa kullanılmaktadır.
SQLMAP GUI KULLANIMI
  • ENUMERATION: Enjeksiyon yapılan sistemden hangi tür bilgiler isteniyorsa enumeration sekmesinde belirtilmektedir. Örneğin olarak veritabanında bulunan bütün tablolar, kullanıcı adı ve parola bilgileri verilebilir.
SQLMAP GUI KULLANIMI
  • ACCESS: Erişim parametreleri seçilmektedir. Eğer hedef sistemdeki yolunuzu tam olarak bilmiyorsanız varsayılan ayarlarda bırakmanız tavsiye edilmektedir.
SQLMAP GUI KULLANIMI
SQLMAP GUI KULLANIMI

Sqlmap’i arayüzü ile birlikte kurduktan sonra bir örnek bir web sitesi üzerinde aracımızı test ederek yazımızı tamamlayalım. Basic sekmesine hedef makinenin adresini yazılmaktadır. Adres sqlmap aracında host parametresi ile verilen şekilde yazılmalıdır. Ardından enumeration sekmesine geçerek karşı sistemde hangi bilgilere erişilmek isteniyorsa seçilmelidir. Sonrasında varsayılan ayarlar değiştirilmek istenirse değiştirilebilir ve saldırı başlatılır.

SQLMAP GUI KULLANIMI

Saldırı sonucumuz ScanID ve enumeration sekmesinde istediğimiz bilgiler ile birlikte gelmektedir.

Sonuç olarak web tabanlı GUI’yi kullanarak sqlmap aracını kullanmak, komut satırındaki sqlmap aracını kullanmaktan çok daha kolay ve kullanışlı olmaktadır. Uzun Sqlmap komutlarının yerine sadece sürükleyin ve bırakın!

Blog postu ile ilgili bir sorunuz varsa bizimle iletişime geçebilirsiniz.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


Sızma testi hizmetlerimizi incelediniz mi?