KALİ ile DVWA Sitesinde Sql Injection Atağı Deneme
Sanal makinede kurulu olan KALİ bilgisayarını Bridged moda çekip, /etc/hosts dosyasında da aşağıdaki ayarları yaparsak ana makinemizde Wamp Server aracılığı ile kurulu olan DVWA sitesinde sql injection taraması yapabiliriz.
Gereksinimler
- Ana makinamıza(IP=192.168.0.14) wamp server kurup içine dvwa sitesini yüklemek.Buradan bakabilirsiniz
- Sanal makina olarak KALİ bilgisayarının kurulumu
- KALİ de browser a Cookie manager eklentisini kurma
- KALİ makinayı Bridged Moda alma ve /etc/hosts dosyasında localhost değerini ana makina IP adresine yönlendirme
Şimdi sırayla KALİ makinamızda dvwa sitesinin sql injection açığını deneyelim.
1-KALİ makinamızda dvwa sitesine ulaşma ve giriş yapma.Daha sonra sql injection bölümünden test yaparak tarayıcının url kısmını kopyalamak.
2-Sql injection olduğunu bildiğimiz url kısmını aşağıdaki komuta yazıyoruz ve Cookie manager eklentisini çağırıyoruz.
3-Önemli kısım burası.Burada DVWA nın security durumu low,medium,high seçeneklerinden hangisi ise onu ve SessionID değerini de koda dahil ediyoruz.Security durumunu soldaki menüden DVWA Security alanından yapabilirsiniz.SessionID değerinide Cookie Mananger aracılığıyla görebilirsiniz.
--cookie='security=low;SessionID=sdfsdfsösdflkmsf5d4f5sd4fsdf '
4-Şimdi yukarıdaki kodu çalıştırdık sonucu görelim.Aşağıda 3 veritabanı buldu.Bize lazım olan 'dvwa'.
5-Şimdi 'dvwa' veritabanının tablolarına bakalım..
Ve sonucunu görelim.İki tablo buldu.Bize lazım olan 'users' tablosudur.
6-Şimdi de 'users' tablosunun kolonlarına bakalım
Ve sonucunu görelim.Biz gelen kolonlardan user ve password bilgisini çekeceğiz.
7-Son olarak verileri çekelim.
Bu yazımızda Bridged modda bulunan KALİ bilgisayarımızdan ana makinamızdaki DVWA sitesinden sql injection atağını gerçekleştirdik.
Yorumlar