شرح عن خصائص Repeater في BurpSuite

الكاتب: Mr.Aziz

تاريخ النشر: 2022-05-27 11:18:09

مساء الخير

 

اليوم راح اشرح عن خصائص Repeater و طريقة استخدامه في BurpSuite

 

راح نشرح كيف نتلاعب في بيانات قواعد البيانات اذا لقينا ثغرة في Sql injection  عن طريق burpsuite

 

أولآ Repeater هذا اداء مفضلة لمختبرين أختراق و تجربة جميع الثغرات منها Sql injection بدل ان تجرب بالمتصفح نفسه.

 

تقدر تغير البيانات الي تكون متوجدة مثلآ انا بغير connection: close الى open نشوف النتيجة وش يطلع لنا

 

 

زي ماتلاحظون هنا في connection كان مكتوب close  والان لما غيرناه الى open صار Respone هو keep-alive

 

على كل حال

خلونا نكتشف ثغرة sql injecton مع بعض تمام

 

أول شي خلينا نشوف ناخذ parameter و نحط رقم مع علامة '

نشوف النتيجة.

 

 

لما نبحت تحت بيطلع لنا خطأ تبع sql هذي اسمها ثغرة sql injection

خلينا نستغل شوي وتكتب كذا

 

 

زي ماتلاحظون عدلت في parameter و طلع لي كذا في respone

 

خلونا نكتب user() عشان يطلع اسم المستخدم مثلآ

 

و زي ماتلاحظون هنا طلع لنا اسم مستخدم تبع قواعد البيانات. ماقصد اسم المستخدم username

لا أنا اقصد اسم المستخدم التي يتم دخول الى قواعد البيانات من خلال السيرفر :)

 

الان خلونا نكتب database() نشوف النتيجة.

 

 

زي ماتلاحظون هنا طلع لنا اسم acuart هذا اسم قواعد البيانات المحفوظة بالسيرفر

 

وهكذا هذا طريقة عمل repeater في burpSuite

 

أن شاءلله وضحت الفكرة و طريقة عملها

 

للعلم عملت للموقع مسموح و اي احد يقدر يستخدمها لامانع لانه هذا غرض الدراسة و اختبار اختراق

 

أشوفكم على خير