ทดสอบระบบล็อคอินของเว็บโดยใช้ SQLMAP ใน Kali Linux

Microsoft Office Knowledge Word, Excel, powerpoint, line , โปรแกรมเสริมต่างๆ

Moderator: mindphp, ผู้ดูแลกระดาน

ตอบกลับโพส
ภาพประจำตัวสมาชิก
pnut
PHP Super Member
PHP Super Member
โพสต์: 488
ลงทะเบียนเมื่อ: 08/08/2016 10:48 am

ทดสอบระบบล็อคอินของเว็บโดยใช้ SQLMAP ใน Kali Linux

โพสต์ที่ยังไม่ได้อ่าน โดย pnut »

ทดสอบระบบล็อคอินของเว็บโดยใช้ SQLMAP ใน Kali Linux
SQLMap คือ open source penetration testing tool ที่ได้รับความนิยมตัวหนึ่งที่ใช้ในการ identify ช่องโหว่ SQL Injection รวมถึงสามารถโจมตีได้ถ้าเกิดเว็บที่เราทดสอบนั้นมีช่องโหว่ และยังมีฟีเจอร์มากมายให้เลือกใช้ รวมถึงสามารแก้ไข/เพิ่ม payload ในกรณีที่เราเจอเคสที่ซับซ้อนที่ SQLMap ไม่สามารถโจมตีหรือ identify ช่องโหว่ได้โดย default
1.ในขั้นตอนแรกจะการทดสอบผ่านทาง Oracle VMWARE โดยติดตั้ง Kali Linux ก่อนการทดสอบระบบล็อคอินของเว็บไซต์ซะก่อน
2.เปิด Terminal ใน Kali Linux ขึ้นมา
1.jpg
1.jpg (23.23 KiB) Viewed 2144 times
3.โดยเว็บไซต์ที่เราต้องการทดสอบจะต้องมีลงท้าย "?id=" เช่น http://www.TTTTTTTTTT/index.php?id=1 โดยใช้คำสั่ง sqlmap –u (ชื่อเว็บที่ต้องการทดสอบ) ตามด้วย --dbs แล้วกด Enter
ตัวอย่าง คือ เราจะทดสอบเว็บ http://www.TTTTTTTTTT/index.php?id=1 โดยพิมพ์คำสั่ง sqlmap –u http://www.TTTTTTTTTT/index.php?id=1 --dbs แล้วกด enter
kki.jpg
kki.jpg (12.25 KiB) Viewed 2144 times
4.จากนั้นเมื่อปล่อยให้ระบบทำการโจมตีเว็บไซต์แล้ว ก็จะได้ฐานข้อมูลของเว็บที่เราโจมตี ซึ่งกรณี http://www.TTTTTTTTTT/index.php?id=1 พบอยู่ 2 DB คือ info และ tg
4455.jpg
4455.jpg (71.01 KiB) Viewed 2144 times
5.จากนั้นเราจะเข้าไปดู Database เพื่อดูตาราง table ของเว็บไซต์ที่เราโจมตีโดยใช้คำสั่ง sqlmap -u http://www.TTTTTTTTTT/index.php?id=1 - tg --table (tg คือ Database ที่เราต้องการดู)
2233.jpg
2233.jpg (21.33 KiB) Viewed 2144 times
6.จากนั้นระบบจะทำการค้นหา Table ต่างๆที่มีอยู่ใน Database ที่เราเลือกแล้วแสดงผลออกมา กรณีนี้เราเลือก tg โดย Database นี้มีทั้งหมด 37 Tables
8899.jpg
8899.jpg (42.1 KiB) Viewed 2144 times
7.ทำการเลือกตาราง tb_username เพื่อเข้าไปดู Username และ Password การเข้าระบบของเว็บไซต์โดยพิมพ์คำสั่งดังรูปด้านล่าง
แล้วกด Enter
gg.jpg
gg.jpg (16.1 KiB) Viewed 2144 times
8.ระบบจะทำการถาม do you want to crack them via a dictionary-based attack? ให้พิมพ์ Y แล้วกด Enter จากนั้นก็จะถามต่อว่า what dictionary do you want to use? ให้พิมพ์หมายเลข 1 แล้วกด Enter จากนั้นก็จะถามต่อว่า do you want to use common password suffixes? ให้พิมพ์ y แล้วกด Enter
pp.jpg
pp.jpg (82.59 KiB) Viewed 2144 times
9.จากนั้นก็จะได้ ตาราง Table ที่เป็นข้อมูลที่เก็บเกี่ยวกับ Admin และได้เห็น Username และ รหัสผ่าน
99.jpg
99.jpg (70.53 KiB) Viewed 2144 times
rr.jpg
rr.jpg (74.78 KiB) Viewed 2144 times
ข้างบน
ตอบกลับโพส
  • Similar Topics
    ตอบกลับ
    แสดง
    โพสต์ล่าสุด

ย้อนกลับไปยัง “Microsoft Office Knowledge & line & Etc”



ผู้ใช้งานขณะนี้

สมาชิกกำลังดูบอร์ดนี้: Google Adsense [Bot] และบุคลทั่วไป 75