فيديو: استخدام sqlmap فى حقن قاعدة البيانات عن طريق flags
تقيمك :توضيح إحدى طرق الهجوم على سيرفر قواعد البيانات باستخدام أداة sqlmap. الأداة مفتوحة المصدر كتبت بلغة بايثون وتقوم باكتشاف واستغلال ثغرات sql injection بكل اشكالها سواء inband أو blind ومن خلالها نستطيع اختراق السيرفر والتحكم به بشكل كامل في بعض الأحيان.
فى البدايه أود توضيح أن ثغرات SQL injection أصبحت من أخطر ثغرات تطبيقات الويب نظرا لسهولة وتطور استغلالها واعطائها صلحيات للمهاجم تصل احيانا الى root على السيرفر. في هذا المثال السيرفر يستخدم طريقة التصريح عن طريق الـ cookies بمعنى لو كانت الـ cookie غير صحيحه سيقوم الموقع باعداة التوجيه لصفحة الدخول مره اخرى.
الفيديو:
موقع أداة sqlmap – صفحة التحميل
عن الكاتب:
أحمد العنتري, طالب فى هندسه قسم حاسبات وتحكم بأكادمية السلاب. مبرمج بايثون أستخدم لينوكس كنظام أساسي وأحب الحمايه ومعرفة وسائل الاختراق المختلفة.
محمد عسكر
المدير التنفيذي لشركة iSecur1ty ، مختبر إختراق من الأردن أحب كل ما يتعلق بتكنولوجيا وأمن المعلومات ، أساهم في كتابة العديد من المقالات والتحديات في مُجتمع iSecur1ty ، أحب البرمجة بلغة python ولدي خبره في إدارة السيرفرات وبناء الأنظمة.
التعليقات
lio
2 أكتوبر، 2010 الساعة 7:41 مgood thx
3ala tari9at dead code
SyRiAn_34G13
3 أكتوبر، 2010 الساعة 3:53 مالسلام عليكم
وهل تسمي هذا شرحاً ؟؟
يمكن تسميته لمحة .. يا ريت تشرح بالتفصيل في المرات القادمة ..
تحياتي ..وشكرا لك .
JERKO JRDT
3 أكتوبر، 2010 الساعة 6:38 صAlsalm alikum !! mwdoo3 jedan ra2e3 o Ana 3awez mosa3da fe hacker rf3 shell 3l my page 3l f.b o 3ml hack elha !!! Can u Help Me
عبدالمهيمن الآغا
3 أكتوبر، 2010 الساعة 9:07 ممشكلة لما الواحد بسوي نفسه عالم في كل شيء, ما بيعجبه شيء ولا يفعل شيء!
يا ريت ما تنتقد بهذا الأسلوب مرة ثانية.. ما هو بسيط و “لمحة” بالنسبة لك قد يكون أمر جديد وبداية طريق لغيرك.
hackroon
3 أكتوبر، 2010 الساعة 10:36 مشكرا على الفيديو وفعلا sqlmap اداة قوية
SyRiAn_34G13 : الله يهديك بدال الكلام الي قلته كنت شكرته على الفيديو والاخ احمد شروحاته مميزة له اكثر من شرح ولو انت فاهم الي بالفيديو من قبل في غيرك مو فاهم ومع اني اعرف الsqlmap من قبل لكن استفدت من الفيديو لما شفت السكربت الي يشتغل عليه الاخ احمد سكربت تجربة الثغرات واول مرة يمر علي وانشالله ببحث عن واحد مثله للتجربة عليه ^^
k0n$0l3
3 أكتوبر، 2010 الساعة 12:56 مالسلام عليكم و رحمه الله و بركاته
ايه داه ماشاء الله عليك يا أحمد كوور مان 🙂
أحمد العنترى
4 أكتوبر، 2010 الساعة 2:09 مشكرا شباب على المرور
الجديد فى الفيديو هو فكرة ال flags لانى لاحظت ان معظم الشباب بيستخدمو -u بس
SyRiAn_34G13
8 نوفمبر، 2010 الساعة 4:17 ملقد فهمت المعنى بالعكس تماما
أنا قصدت أني لم أستفد شيئا من هذا الشرح الذي لا يعبر أبداً عن اي نية لإيصال اي معلومة .. فقط استعراض لشكل الأداة !!!!
ولست أنا من النوع المتكبر .. بل من النوع الذي أتابع المعلومة بهدوء .. ولكن يثير غضبي أحيانا عدم وصولي إليها بسبب عوائق ثانوية كما حصل في هذا الشرح .
تحياتي لك ..
عبد الرحمن
28 ديسمبر، 2010 الساعة 7:19 صشكرا لك اخي على الشرح المبسط
لكن اخي واجهتني مشكلة بالسكريبت و الرسالة اللي يقولهالي هي
Magic Quotes are on, you will not be able to inject SQL.
لذا ممكن احد يورينا طريقة تعطيل الماجيك كويتس
تحياتي لك اخي
tnamly
1 يناير، 2011 الساعة 11:40 صالسلام عليكم اخى اشكرك على المجهود هذا
ارجو من الله ان يكون عملك طريق الى النهضه فى هذا المجال
كما ارجو منك كتابه الاوامر المستخدمه فى اسفل الشرح
حفظك الله
s4lim
2 يناير، 2011 الساعة 11:22 صلك جزيل الشكر اخي العزيز
عبدالله
2 فبراير، 2011 الساعة 10:14 صشرح واضح ماشاء الله عليك اخوي احمد،
سؤالي هو اقدر استخدم الاداه sqlmap في نظام ويندوز؟
تقبل تحىاتي وودي
عبدالله
2 فبراير، 2011 الساعة 10:51 صاخوي احمد حملت الاداه بس كيف طريقت تثبيتها.
وشكرا
أحمد العنترى
2 فبراير، 2011 الساعة 11:28 صالاداه تحتاج الى مفسر بايثون فقط
افتح التيرمنال و اذهب الى المسار الموجود فيه البرنامج واكتب:
python sqlmap.py -h
Ayman Shawarib
2 مارس، 2011 الساعة 8:24 مi am a newbie in linux
i might not know what is this but i learned something
& i am learning alot from you 3antare
Ayman Shawarib