SQL Injection con Kali Linux

Molto tempo fa avevamo discusso delle basi sulla SQL Injection, articolo che consiglio ai principianti, ma ad oggi entrerò più nel professionale spiegandovi come hackerare un sito mediante SQL Injection con Kali Linux; ebbene, andremo ad utilizzare proprio Kali Linux in quanto vi è incluso un famoso tool, sqlmap, uno dei migliori programmi al momento disponibili per eseguire iniezioni di codice SQL. Prima di iniziare dobbiamo ovviamente capire se il sito che vogliamo attaccare sia effettivamente affetto dalla falla informatica; potete utilizzare programmi di scansione, ma un modo alquanto semplice per individuare la vulnerabilità è la presenza della stringa “php?id=1” all’interno della URL; se il risultato è positivo allora possiamo procedere; qualora vorreste eseguire un’attacco di prova vi basterà digitare nel motore di ricerca appunto la stringa “php?id=1” e di siti affetti da SQL injection ne troverete a bizzeffe. Vi consiglio tuttavia di non cagionare danni in caso di buona riuscita dell’attacco, bensì sarebbe opportuno avvisare l’amministratore della pagina della criticità presente. Ma ora passiamo al punto.

Come hackerare un sito mediante SQL injection con Kali Linux

Per prima cosa apriamo un nuovo terminale e digitiamo il comando sqlmap -u “url del sito” –dbs

 

 

 

 

 

il quale una volta eseguito ci mostrerà tutti i database del sito.

 

 

 

 

 

Adesso abbiamo facile accesso a tutte le informazioni del sito; quindi scegliete il database che vi interessa e procediamo con il comando sqlmap -u “url del sito” -D “nome del database” –tables

 

 

 

 

 

una volta mandato in esecuzione, questo comando ci permetterà di visualizzare tutte le sezioni (denominate tables) contenute all’interno del database selezionato;

 

 

 

 

 

 

Adesso dobbiamo solamente scegliere quale tables ci interessa e una volta individuato proseguiremo con il comando sqlmap -u “url del sito” -D “nome del database” -T “nome del tables” –columns

 

 

 

 

 

e quindi otterremo informazioni riguardanti il tables sotto esame.

 

 

 

 

 

A questo punto è quasi giunta la fine dell’attacco, in quanto ci resta solo che scaricare sul nostro PC le informazioni ottenute; per fare ciò andremo ad impostare il comando sqlmap -u “url del sito” -D “nome del database” -T “nome del tables” -C “nome dell’informazione contenuta nel tables” –dump

 

 

 

 

e quindi otterremo la directory dei dati scaricati sul nostro computer.

 

 

 

 

Ricordo che l’articolo su SQL Injection con Kali Linux è stato creato solamente a scopo informativo e per lo studio delle vulnerabilità informatiche. Non è da intendersi come un’ incitazione a compiere azioni di danneggiamento verso sistemi informatici non propri. Tutto lo staff di Tecnogalaxy.it non si assume la responsabilità per eventuali usi scorretti che ne farete. Avvisiamo inoltre che viene sanzionato chi, senza essere autorizzato, intercetta, impedisce, interrompe o rivela comunicazioni informatiche, (art. 617 quater c.p.); installa apparecchiature dirette ad intercettare, interrompere o impedire comunicazioni informatiche (art. 617 quinquies c.p.); falsifica, altera, sopprime o falsifica la comunicazione informatica acquisita mediante l’intercettazione (art. 617 sexies c.p.); distrugge, deteriora, cancella dati, informazioni o programmi informatici (art. 635 bis c.p.).

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *