SpareNet Servers Advertising & Link Exchange

اطلاعیه

بستن
هیچ اطلاعیه ای هنوز ایجاد نشده است .

آشنایی با ابزار SQLmap

بستن
X
 
  • فیلتر
  • زمان
  • نمایش
پاک کردن همه
نوشته‌های جدید

  • آشنایی با ابزار SQLmap

    Sqlmap یک ابزار تست نفود متن باز است که به وسیله آن می توان تست خودکار آسیب پذیری تزریق به پایگاه داده یا sql injection انجام داد.

    این ابزار با استفاده از یک موتور قدرتمند توانسته است خود را به عنوان یکی از بهترین ابزار های تست نفوذ پایگاه داده معرفی کند و با ویژگی های خاص خود به جایگاه مخصوصی میان متخصصان تست نفوذ و هکرها دست یابد.
    Sqlmap دارای امکانات بسیار خوبی است که امور تست نفوذ را ساده تر کرده است. دسترسی به تمام اطلاعات موجود در دیتابیس، اجرای دستورات سیستمی و استخراج اطلاعات موجود در پایگاه داده در قالب فایل از این دسته امکانات می باشد.


    5 نوع مختلف از حمله sql injection توسط این ابزار پشتیبانی می شود که به شرح زیر می­باشند:
    1. Boolean-based blind SQL Injection
    2. Time-Based Blind SQL injection
    3. Error-Based SQL injection
    4. Union Query-Based SQL injection
    5. Stacked Queries
    ویزگی های عمومی
    • پشتیبانی کامل از MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access,IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB
    • اتصال مستقیم و دائمی به دیتابیس
    • قابلیت اتصال به ابزار های جانبی مانند Burp proxy و webscarab
    • پشتیبانی از google dork
    • تست تزریق از طریق پارامتر های GET، POST ، referrer و مقادیر موجود در کوکی و user agent
    • پشتیبانی از مدل های تصدیق هویت HTTP مانند basic و NTLM
    • پشتیبانی از HTTPS
    • توانایی اتصال از طریق پروکسی واسط و HTTPS
    • قابلیت تعیین referrer و user agent خاص
    • قابلیت شناسایی و کشف اتوماتیک فرم های وب
    • ذخیره سازی تمام log ها
    ویژگی های جمع آوری اطلاعات و جمع آوری داده
    • شناسایی نوع و نسخه نرم افزار مدیریت پایگاه داده موجود در هدف
    • شناسایی سیستم عامل و نسخه آن
    • جمع آوری اطلاعات کاربران پایگاه داده
    • پشتیبانی از جمع آوری اطلاعات پسورد های هش شده ، سطوح دسترسی، قوانین پایگاه داده ، جداول و ستون ها
    • کرک رمز عبور های هش شده
    • انجام brute force برای یافتن جداول و سطون ها
    • استخراج تمامی اطلاعات موجود در دیتابیس
    امکانات کنترلی
    • تزریق به function های خاص یک برنامه وب
    • امکان دانلود و آپلود فایل
    • اجرای دستور
    • برقراری یک ارتباط خصوصی میان نفوذگر و هدف
    • قابلیت اجرای شل کد های متاسپلویت در حافظه
    • پشتیبانی از پیلود های متاسپلویت
    • پشتیبانی از عملیات افزایش سطح دسترسی

    نحوه نصب
    کاربران می­توانند برنامه را از طریق سایت اصلی آن با آدرس sqlmap.org دانلود نمایند. همچنین قابلیت نصب مستقیم از طریق دستور git در سیستم عامل لینوکس فراهم گردیده است:

    کد:
    git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
    همچنین قابل ذکر است که برای راه اندازی sqlmap سیستم به یکی از نسخه های 2.6.x یا 2.7.x برنامه active python نیاز دارد.
    تعدادی از سویچ های و دستوارت sqlmap را به همراه توضیحات در جدول زیر می توانید مشاهده کنید
    سویچ / دستور توضیحات
    -u مشخص نمودن آدرس هدف برای برنامه
    --current-db استخراج دیتابیس اصلی برنامه
    --dbs استخراج تمامی دیتابیس های موحود
    --dbms= مشخص نمودن نوع دایتابیس برای برنامه
    --tables استخراج تمام جداول موجود در پایگاه داده
    --columns استخراج تمام ستون های یک جدول
    -g استفاده از دورک گوگل


















  • #2
    دست شما عضو گرامی درد نکنه. ما همیشه در انتظار پست هایی از این قبیل هستیم.
    {قضاوت از خصوصی ترین و زلالترینِ حق هاست که با کوچکترین تردید به بهتانی کثیف بدل می شود.}

    نظر


    • #3
      خیلی ممنون بابت پستتون
      لطفا قبلش جستجو کنید که تکراری نباشه
      -----------------------------SAFE MASTER---------------------------
      تاپیک هکر های تازه وارد

      نظر


      • #4
        بسیار عااالی


        خب این ابزار برای استخراج باید حتما
        php?xxx=1
        داشته باشه

        حالا اگر یه سایت باگ sqli داشت و این ادرس بود باید چیکار کرد

        مثلا

        database/

        نظر

        صبر کنید ..
        X