SQLMAP là một trong những chương trình mã nguồn mở thuộc nhóm công cụ sử dụng cho mục đích pentest kiểm tra lỗi bảo mật – khai thác lỗi SQL Injection và chiếm quyền server dữ liệu. Công cụ này có một engine cực kì mạnh mẽ, rất nhiều tính năng đi kèm cho các pentester thực hiện quy trình kiểm tra.
Mặc định thì chương trình “sqlmap” được cài sẵn trên các OS Pentest như Kali Linux,.. Nhưng bây giờ nếu bạn có nhu cầu cài đặt chương trình này trên các OS khác như Debian hoặc Ubuntu thì bài viết này sẽ cung cấp cho các bạn cách cài đặt cực kì đơn giản “SQLMAP“. Bài viết này không hướng dẫn cách sử dụng nhé.
Cũng cần nhớ rằng, SQLMAP là một công cụ được xây dựng trên nền tảng ngôn ngữ Python nên hệ thống máy tính của bạn phải hỗ trợ Python để chạy được tool này.
Một số tính năng chính
+ Hỗ trợ đầy đủ các hệ thống Cơ Sở Dữ Liệu như : MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MaxDB.
+ Hỗ trợ hoàn toàn 6 kĩ thuật SQL Injection phổ biến : boolean-based blind, time-based blind, error-based, UNION query, stacked queries and out-of-band
+ Hỗ trợ thu thập thông tin user, mật khẩu được hash, quyền hạn, cơ sở dữ liệu, bảng và cột.
+ Hỗ trợ download và upload bất kì file lên hệ thống Cơ Sở Dữ Liệu server nếu chương trình dịch vụ phía server là : MySQL, PostgreSQL và Microsoft SQL Server.
+ Hỗ trợ crack mật khẩu bằng phương pháp tấn công directionary-based.
+ Hỗ trợ kết nối trực tiếp đến CSDL nếu hoạt động dịch vụ CSDL phía server cho phép và bị khai thác được thông tin đăng nhập.
Một số thông tin liên quan
Trang chủ : http://sqlmap.org
Github : https://github.com/sqlmapproject/sqlmap
Các OS hỗ trợ : Linux, MacOS, Windows
Link download :
+ Zip : https://github.com/sqlmapproject/sqlmap/zipball/master
+ Tar.gz : https://github.com/sqlmapproject/sqlmap/tarball/master
Điều kiện :
– Sqlmap sử dụng ngôn ngữ Python version 2.6.x và 2.7.x trên các nền tảng khác nhau.
1. Download bản cài đặt
Có 2 cách download cài đặt là download file nén và clone repository của Sqlmap:
– Download file zip hoặc tar.gz.
# cd /usr/local/src/ # wget --no-check-certificate https://github.com/sqlmapproject/sqlmap/zipball/master -O sqlmap.zip # unzip sqlmap.zip # cd sqlmap/
– Clone git repository Sqlmap.
# apt-get install -y git # git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev # cd sqlmap-dev
2. Chạy tool Sqlmap
– Ở đây chúng ta sẽ chạy thử bằng cách liệt kê các trợ giúp của tool.
# python sqlmap.py -h # python sqlmap.py -hh
– Lệnh chạy pentest cơ bản của Sqlmap.
# python sqlmap.py -u 'http://vidusite.com/page.php?id=5'
-> Lúc này chương trình sẽ chạy một nhóm các tập lệnh của hoạt động sql injection nhằm kiểm tra giá trị biến truyền vào “id” .
Cám ơn các bạn đã theo dõi bài viết.
