viSQL ile hedef site hackleme

'Hack Dökümanları' forumunda netdevilz tarafından 26 Şubat 2018 tarihinde açılan konu

Etiketler:
  1. netdevilz Kayıtlı Üye

    Mesaj:
    11
    Beğeniler:
    7
    viSQL yazlımı, hedef site ve hedef sitenin bulunduğu sunucudaki sitelerde SQL Injection açığı arar.


    Program Python ile yazıldığı için, bilgisayarınızda Python’un kurulu olması gerekir. Linux kullanıyorsanız, kurulu gelmiş olmalıdır Python.
    Eğer Windows kullanıyorsanız, aşağıdan indirebilirsiniz.

    Python 2.7.13 (Windows) Download = Python Release Python 2.7.13

    viSQL Yazılımını Kurmak

    Linux üzerine kolayca kurabilirsiniz, hem manuel hem de otomatik kurulum scripti ile kurmayı gösterelim.

    Manuel Kurulum

    Önce programımızı Git üzerinden kendi bilgisayarımıza aktarmalıyız.

    $ git clone https://github.com/blackvkng/viSQL.git
    $ cd viSQL
    # python2 -m pip install -r requirements.txt
    $ python2 viSQL.py

    Bu şekilde programı bilgisayarımıza kurup çalıştırabiliriz, “#” işaretinin anlamı, o komutun root yetkileri ile çalıştırılması gerektiğini göstermektedir.

    Otomatik Kurulum

    Bu kurulum yolu sadece Linux ile çalışacaktır arkadaşlar.

    $ wget https://raw.githubusercontent.com/blackvkng/viSQL/master/installer.py
    # python2 installer.py
    $ viSQL

    Bu şekilde artık istediğimiz her dizinden “viSQL” yazarak programımızı çalıştırabiliriz.

    Windows Üzerine Kurulum

    Öncelikle buraya tıklayarak programı indirmelisiniz. Ardından dosyayı herhangi bir klasöre çıkarın ve komut istemi ile o dizine gidin.

    C:\\…> python2 -m pip install -r requirements.txt
    C:\\…> python2 viSQL.py

    Artık programı çalıştırabiliyor olmanız gerekiyor. Bir sorun yaşarsanız, her zaman özel mesaj atabilirsiniz.

    viSQL Yazılımını Kullanmak

    Yazılımın kullanımı çok basittir, programa argüman olarak “-h/–help” verdiğiniz zaman kullanıma ulaşabilirsiniz.



    Gördüğünüz üzere, “-t/–target” parametresi ile hedefimizi belirtiyoruz ve programı başlatıyoruz. Program geriye kalan her şeyi kendisi halledecektir.





    Programımız çalışmaya başladı. Önce sitenin bulunduğu sunucudaki siteleri buluyor. Ardından siteleri sırasıyla açmaya başlıyor. Her site açışında sayfada SQLi açığı analizi için link topluyor. Diyelim ki, sayfada project.php adında bir dosya buldu ve bu dosyanın id parametresi 50 farkli varyasyonda değer almış. Program bunlardan sadece bir tanesini alır, çünkü aynı dosyanın farklı id parametrelerinde tekrar tekrar SQLi açığı aramak saçmalıktır. Ardından bulduğu linkleri “sqliScan” modülüne gönderiyor.

    Her ne kadar çalışma mantığını anlatmış olsam da, aşağıda çalışma mantığı yer alıyor.

     
    MrTuRkIsH bunu beğendi.
  2. SoulFly Kayıtlı Üye

    Mesaj:
    12
    Beğeniler:
    9
    Eline sağlık
     
    netdevilz bunu beğendi.
  3. KocaReis Grafik & Tasarım Grafiker PH. Özel Kuvvetler

    Mesaj:
    446
    Beğeniler:
    353
    Cinsiyet:
    Erkek
    Eline Sağlık
     
    netdevilz bunu beğendi.
  4. SoulFly Kayıtlı Üye

    Mesaj:
    12
    Beğeniler:
    9
    Konunun aynısını başka formlarda da gördüm sen paylaştın sanırım :)
     
  5. netdevilz Kayıtlı Üye

    Mesaj:
    11
    Beğeniler:
    7
    Ben kendım yazdım demedim zaten, burası bir forum herkes bilgi alışverişi yapmaya veya öğrenmek için kendini geliştirmek istiyor. Eğer sorun oluyorsa bundan sonra alıntı yaptığım yeri konu altına not düşerim.
     
Yükleniyor...

Bu Sayfayı Paylaş