SQLmap : 데이터베이스 정보 획득

SQLmap은 kali 에서 top 10 안에 속하며 해당 서버의 SQL Injection 취약점을 찾고 공격하는 과정을 자동화한 매우 강력한 도구이다. 또한 데이터베이스 정보와 데이터 추출, 쉘 침투를 통한 시스템 공격 등등 또한 가능하다.

사용할 수 있는 옵션은 너무 방대해서 취약한 상황에 따라 사용하면 될 것이다. 일단 도구 소개를 위한 포스팅이니 간단한 것만 짚겠다.

도구 사용전에 SQL Injection 취약점이 존재하는 대상을 찾아야 한다. GET / POST 방식에 따라 사용하는 옵션이 약간 다른데, GET 방식은 취약한 파라미터를 -p 옵션으로 지정하면 되고, POST 방식은 --data 옵션으로 취약한 데이터를 집어넣으면 된다.

실습은 취약한 GET 방식으로..........