tag:blogger.com,1999:blog-925370819781376022.post3406985369842193895..comments2023-11-29T14:35:34.073+03:00Comments on İsmail Saygılı: SQLmap'i WAF Bypass (Tamper) Scriptleri ile Kullanmaİsmail Saygılıhttp://www.blogger.com/profile/09930086809196220105noreply@blogger.comBlogger36125tag:blogger.com,1999:blog-925370819781376022.post-42301900057011716042017-11-10T11:33:58.946+03:002017-11-10T11:33:58.946+03:00Hocam merhaba. Emiğinize saygı duyyorum ve teşekkü...Hocam merhaba. Emiğinize saygı duyyorum ve teşekkür ediyorum.<br />Benim sorum şu: kullanıcı adı ve şifre giriş ekranına injection yapmak istiyorum fakat sistem captcha kullanıyor. Bu durumda nasıl bir parametre kullanmalıyız? Sanırım tüm captcha ları kendisi girmiyordur?Anonymoushttps://www.blogger.com/profile/01496291116998590564noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-64009203029910962902017-08-07T12:33:14.670+03:002017-08-07T12:33:14.670+03:00cookie belirme dediğiniz noluyor onu anlamdım sade...cookie belirme dediğiniz noluyor onu anlamdım sadece ? belirtlicek şeyi nerden buluyoıruz ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-66118623744262780232017-05-27T22:29:15.582+03:002017-05-27T22:29:15.582+03:00hocam merhaba ('videoID=-1 OR 17-7%3d10')...hocam merhaba ('videoID=-1 OR 17-7%3d10') böyle bir outputum var. verdiğim parametreler; level=5, risk=3, tamper=between,randomcase yaptım ama sonuç alamadım ne önerirsiniz ? teşekkürlerAnonymoushttps://www.blogger.com/profile/13429788024485292402noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-73541876561338926812017-05-27T18:45:07.837+03:002017-05-27T18:45:07.837+03:00('videoID=-1 OR 17-7%3d10') bu şekilde bir... ('videoID=-1 OR 17-7%3d10') bu şekilde bir outputum var --level=5 --risk=3 --tamper=between,randomcase yaptım ama giremedim başka ne önerirsiniz ? teşekkürlerAnonymoushttps://www.blogger.com/profile/13429788024485292402noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-44073377603697279072017-02-26T00:19:31.520+03:002017-02-26T00:19:31.520+03:00açık nerede burada txtpassword datasındamı anlamsı...açık nerede burada txtpassword datasındamı anlamsız olmuş biraz sqlmap önermen?Androiderhttps://www.blogger.com/profile/11501464473949669024noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-37192545305352000122017-02-24T14:23:45.654+03:002017-02-24T14:23:45.654+03:00Hocam son bir sorum daha olacak ilgilendiginiz içi...Hocam son bir sorum daha olacak ilgilendiginiz için teşekkür ederim veritabanını çektigimde tek bir veritabanı o da şu sekılde geldi ????????????????????????????????????? bu nedir ne yapmalıyımAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-86795247377540419942017-02-24T13:15:22.966+03:002017-02-24T13:15:22.966+03:00Hocam iyi günler gerçekten başarılı bir çalışma. i...Hocam iyi günler gerçekten başarılı bir çalışma. işimize çok yarıyor fakat takıldığımız bazı noktalar var. Backtrack kullanıyoruz <br /><br />senaryolarımız şu şekilde<br /><br />sqlmap -u http://siteadi.com/hakkımızda/* -p hakkımızda/ --level=5 --risk=3 --tamper unmagicquotes,space2randomblank,space2plus,space2mssqlhash,space2hash,space2comment,randomcase waf 360,airlock,aws,uspses --dbs<br /><br /><br />[14:11:19] [WARNING] information_schema not available, back-end DBMS is MySQL < 5. database names will be fetched from 'mysql' database<br />[14:11:19] [INFO] fetching number of databases<br />[14:11:19] [WARNING] running in a single-thread mode. Please consider usage of option '--threads' for faster data retrieval<br />[14:11:19] [INFO] retrieved:<br />[14:11:19] [WARNING] unexpected HTTP code '404' detected. Will use (extra) validation step in similar cases<br /><br />[14:11:21] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex'<br />[14:11:21] [ERROR] unable to retrieve the number of databases<br />[14:11:21] [INFO] falling back to current database<br />[14:11:21] [INFO] fetching current database<br />[14:11:21] [INFO] retrieved: <br /><br /><br />başka sistemler de "retrieved:" burda a,b,c gibi sırası ile deneyip bulurdu fakat <br /><br />[14:02:05] [CRITICAL] unable to retrieve the database names <br /><br />bu hatayı alıyoruz. Hangi parametreleri önerirsiniz? Şimdiden teşekkür ederim. İyi günler Anonymoushttps://www.blogger.com/profile/02870330652924109190noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-13652339436992559542017-02-23T18:38:51.879+03:002017-02-23T18:38:51.879+03:00Berk Bey,
Hedef sistem mysql ise makalede bahsetti...Berk Bey,<br />Hedef sistem mysql ise makalede bahsettiğim mysql tamper scriptlerini, mssql ise onun için olan tamper scriptlerini aynı anda kullanabilirsiniz. Yani birden fazla tamper script kullanabilirsiniz.İsmail Saygılıhttps://www.blogger.com/profile/09930086809196220105noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-26711571190458516392017-02-23T17:53:11.593+03:002017-02-23T17:53:11.593+03:00hocam yardımlarınız için minnetarım SQLMAP'in ...hocam yardımlarınız için minnetarım SQLMAP'in boşluk karakterini bypass etmek için hangi tamperı kullanmalıyım ve level risk degerlerini neye göre vermeliyim <br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-72962807434301333042017-02-23T17:04:37.448+03:002017-02-23T17:04:37.448+03:00Bu yorum yazar tarafından silindi.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-77630670601462341992017-02-23T13:41:02.857+03:002017-02-23T13:41:02.857+03:00Merhaba Berk Bey,
Rica ederim. -u parametresiyle ...Merhaba Berk Bey,<br /><br />Rica ederim. -u parametresiyle hedef linki verirken bu şekilde kullanmalısınız: sqlmap -u "http//siteadı.com/iletisim/*" şeklinde.İsmail Saygılıhttps://www.blogger.com/profile/09930086809196220105noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-4546613501575691182017-02-23T01:40:16.680+03:002017-02-23T01:40:16.680+03:00hocam merhabalar öncelikle makaleniz için sonsuz t...hocam merhabalar öncelikle makaleniz için sonsuz teşekkür ederim benim sorum su sekılde sql açıgı id degerınde degil şu sekılde http//siteadı.com/iletisim/ <br />http//siteadı.com/iletisim/'a yapınca sql hatası veriyor hangi parametreleri kullanmalıyım teşekkür ederimAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-89578421746442959242017-02-02T15:29:04.675+03:002017-02-02T15:29:04.675+03:00Merhaba, tabi kullanabilirsiniz.
Eğer script, Sqlm...Merhaba, tabi kullanabilirsiniz.<br />Eğer script, Sqlmap'in tanıyıp kullanabileceği bir şekilde kodlanmışsa /usr/share/sqlmap/tamper/ dizininin altına kopyalayıp makalede bahsettiğim şekilde kullanabilirsiniz.İsmail Saygılıhttps://www.blogger.com/profile/09930086809196220105noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-31424914724811735762017-02-02T15:24:52.125+03:002017-02-02T15:24:52.125+03:00Hocam benim sorum daha farklı olacak, githubtaki t...Hocam benim sorum daha farklı olacak, githubtaki tamper scriptleri nasıl kullanabiliriz, ya da nasıl sqlmape yükleyebiliriz ?Onur Yukselhttps://www.blogger.com/profile/17000138354831639243noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-27660771117889880912017-01-15T11:19:24.966+03:002017-01-15T11:19:24.966+03:00Pekiya Tamper'ı neye göre seçeceğiz ? :)Pekiya Tamper'ı neye göre seçeceğiz ? :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-35161813132389029482016-08-29T20:45:44.699+03:002016-08-29T20:45:44.699+03:00Hocam merhaba öncelikle çok teşekkürler çok işime ...Hocam merhaba öncelikle çok teşekkürler çok işime yaradı fakat şöyle bir sorum olucak bazı sitelerde admin,pass çekerken null veya blank yazıyor ve şifre felan gözükmüyor onu nasıl bypass edebilirim çok teşekkürlerAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-25840366708762090922016-08-10T19:25:11.828+03:002016-08-10T19:25:11.828+03:00öncelikle merhaba hocam siz olmasaydınız en ufak z...öncelikle merhaba hocam siz olmasaydınız en ufak zorladığımı yerde pes ederdim şuan kalilinux kullanıyorum öğrenmek için herşeyi de yapıyorum sizin gibi hocalarım olduğuiçin çok mutluyum sizin ile iletişime nasıl geçebilirimAnonymoushttps://www.blogger.com/profile/05082263728955426972noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-2404191562294927082016-06-04T12:51:27.054+03:002016-06-04T12:51:27.054+03:00Teşekkür ederim abi çok güzel yöntemler paylaşmışs...Teşekkür ederim abi çok güzel yöntemler paylaşmışsın eline sağlık abi.<br />Windows sqlmap'ta şu hatayı nasıl geçebilirim abi?<br /><br />[12:48:56] [CRITICAL] all tested parameters appear to be not injectable. Try to increase '--level'/'--risk' values to perform more tests. Also, you can try to rerun by providing either a valid value for option '--string' (or '--regexp') If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could retry with an option '--tamper' (e.g. '--tamper=space2comment')Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-87133962158952083052016-05-22T21:08:49.468+03:002016-05-22T21:08:49.468+03:00Eğer Kali Linux kullanıyorsanız örnek kullanımı şu...Eğer Kali Linux kullanıyorsanız örnek kullanımı şu şekilde değişmektedir:<br /># sqlmap -u "http//site.com/index.php?id=123" --tamper "unmagicquotes" --dbsİsmail Saygılıhttps://www.blogger.com/profile/09930086809196220105noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-168156056938337002016-05-22T15:54:15.922+03:002016-05-22T15:54:15.922+03:00Hocam bu tamperlar bende yok kodu yazdıktan sonra ...Hocam bu tamperlar bende yok kodu yazdıktan sonra ''tamper script 'tamper/unmagicquotes.py' does not exist'' bu hatayı veriyor nasıl indiririz ?Anonymoushttps://www.blogger.com/profile/15923307632606506767noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-16525673677246461242016-05-05T19:59:11.682+03:002016-05-05T19:59:11.682+03:00Hocam benim sorum yok. Sadece size teşekkür etmek ...Hocam benim sorum yok. Sadece size teşekkür etmek istiyorum. Sizin makalelerden çok yorumlara verdiğiniz cevaplar bile altın değerinde. Milletin ceh diye verdiği eğitimi sizin yorumlarda bulamazlar. Allah razı olsun. Başarılarınızın devamını dilerim.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-22793565771493808562016-05-05T14:07:25.000+03:002016-05-05T14:07:25.000+03:00Öncelikle, hedef web uygulamasındaki arama fonksiy...Öncelikle, hedef web uygulamasındaki arama fonksiyonunun GET mi yoksa POST ile mi kontrol edildiğini çözmek gerek.<br /><br />Eğer GET ile kontrol yapılıyorsa:<br />sqlmap -u "-u http://hedef.com/index.php?search=KELIME" şeklinde komut verilmelidir.<br /><br />Eğer POST ile kontrol yapılıyorsa:<br />sqlmap -u "-u http://hedef.com/arama.php" --data="search=KELIME&value=submit" şeklinde komut verilebilir.İsmail Saygılıhttps://www.blogger.com/profile/09930086809196220105noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-15300381465198176262016-04-23T13:56:39.127+03:002016-04-23T13:56:39.127+03:00Peki hocam arama kısımlarında sql injection varsa ...Peki hocam arama kısımlarında sql injection varsa napmalıyız ?Ankara Nakliyathttps://www.blogger.com/profile/14706413512607746978noreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-29004721730030285672016-01-30T23:38:02.219+02:002016-01-30T23:38:02.219+02:00 sqlmap -u http://www.site.co.uk/index.php?id=1 --... sqlmap -u http://www.site.co.uk/index.php?id=1 --tamper --dbs bu şekil mi ? yoksa farklımı kullanılmalı ? cunkü hata almaktayım<br /><br />CRITICAL] unable to connect to the target URL or proxy. sqlmap is going to retry the request<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-925370819781376022.post-28965351935199804952015-12-06T14:36:06.542+02:002015-12-06T14:36:06.542+02:00Güzel bir makale olmuş ellerinize sağlık yalnız di...Güzel bir makale olmuş ellerinize sağlık yalnız diyelim tabloları ve kolonları çekiyoruz(ms-sql)fakat tabloların içindeki veriler gelmiyor bunu nasıl aşılabilir. sizce :DAnonymousnoreply@blogger.com