관리 메뉴

FU11M00N

[칼리리눅스] 칼리리눅스 에서 sqlmap 간단한 명령어 알아보기 본문

Linux

[칼리리눅스] 칼리리눅스 에서 sqlmap 간단한 명령어 알아보기

호IT 2020. 3. 23. 11:32

본 내용은 교육을 위한 설명이고 실제 사용하는 망에 사용할 시 로그가 다 남기 때문에 교육용만으로 만 블로그를 보셨으면 감사하겠습니다.

 

안녕하세요 이번 시간엔 칼리 리눅스 환경에서 sqlmap의 명령어를 간단히 알아보겠습니다!

 

SQL Injection 이란 웹 해킹 기법 중하 나이고,

OWASP 10에서 A1에 속하는 Injection 공격입니다. 
웹 애플리케이션의 백앤드에 존재하는 Database에 쿼리문(질의)을 하는 과정 사이에 
공격자가 일반적인 값이 아닌 악의적인 의도를 갖는 구문을 삽입하여

 공격자가 원하는 SQL 쿼리문을 실행하는 기법입니다!!.

 

SQLMAP 이란 프로세스 자동 탐지, SQL Injection 관련 익스플 로이팅 또한 DB 서버에
질의를 수행하는 오픈 소스 침투 테스트 툴이다. 보통 취약점 점검 툴로 많이 사용하여
SQLInjection 취약점을 찾고 DB정보를 탈취할 수 있습니다!

사진1-1
사진1-2
사진1-3
사진 1-4

칼리 리눅스의 터미널 창에 sqlmap -u 명령어를 치면 관련된 명령어가 모두 뜨고 그에 대한 설명도 나옵니다!

 

가장 많이 사용되는 명령어들은

  - [-u URL] : 공격을 수행할 페이지 주소 지정합니다.

  - [--cookie=COOKIE] : 쿠키 값 지정합니다.

  - [--data DATA] : POST 방식으로 데이터가 전달될 때, 해당 데이터를 지정합니다.

  - [-p TESTPARAMETER] : 공격을 수행할 파라미터를 지정합니다.

  - [-v VERBOSE] : 명령어 수행을 얼마나 상세하게 출력할 것 인지를 지정합니다.

  - [--passwords] : 사용자들의 패스워드 해시값을 출력합니다.

  - [--tables] : 데이터베이스의 테이블들을 출력합니다.

  - [--columns] : 데이터베이스 테이블의 칼럼들을 출력합니다.

  - [--dump] : 데이터베이스 테이블 엔트리를 덤프 합니다.

  - [--dbs] : 데이터베이스 리스트 출력합니다.

  - [-D DB] : 특정 데이터베이스 지정합니다.

  - [-T TBL] : 특정 테이블 지정합니다.

  - [-C COL] : 특정 칼럼 지정합니다.

 

이 옵션들을 사용하는 것은 bee-box를 활용하여 실습해보겠습니다!

https://nevertrustbrutus.tistory.com/40(sqlmap을 시현)

Comments