Blind SQLi Nedir ?:
Blind türkçe karşılığı kör SQL Injection oluyor.
Nasıl yani kör ?:
Normal SQL Injection yapmamız için tırnak vb. şekillerle site de hata alarak işe başlarız bunda da site de hata almayız bunu yerine resim görüntü kayıpları ile işe başlarız.
Peki Dios Nedir ?:
Dios waf(web application firewall) atlatmak olsun gerek de kullanım kolaylığı bakımından olsun derlenmiş ve toplanmış kod bütünüdür.
Kavramları da gördüğümüze göre şimdi sırada işe koyulalım.
Sitemiz:
Kod:
http://www.legalgeneral.ie/product.php?id=1
Şimdi tırnak( ' ) koyalım ve sayfadaki değişimi gözden geçirelim.
Gördüğünüz üzere sayfadaki görüntümüz gitti şimdi de url balencer ile geri getirmeye çalışalım.
Evet geri getirmeyi başardık. Şimdi kolon tespitini yapalım.
Görüldüğü üzere dostlar 12.kolonda görüntü yokken 11.kolonda var demek ki kolon sayımız 11.
Şimdi Select sorgusu çalıştırarak veri çekmeye çalışalım.
Zafiyetli sayılarımız aldık şimdi ise database ismini öğrenmeye çalışalım.
Database ismini elde etmeye çalıştık.
Şimdi dios kullanarak sitedeki tablo ve kolon adlarına kolayca erişelim.
Evet tablo şeklinde tablo adları ve kolon adları geldi şimdi ise bunları kullanarak admin bilgilerini çekelim.
Evet başardık. Admin bilgilerini çektik.
Konum buraya kadardı dostlarım. Dios bize hız açısından ciddi anlamda kolaylık sağlıyor.
Bu konumda da hem Blind SQLi hem de Dios'u elimden geldiğince anlatmaya çalıştım umarım yardımcı olmuştur. Hayırlı Günler.