شرح عن خصائص Repeater في BurpSuite
الكاتب: Mr.Aziz
تاريخ النشر: 2022-05-27 11:18:09
مساء الخير
اليوم راح اشرح عن خصائص Repeater و طريقة استخدامه في BurpSuite
راح نشرح كيف نتلاعب في بيانات قواعد البيانات اذا لقينا ثغرة في Sql injection عن طريق burpsuite
أولآ Repeater هذا اداء مفضلة لمختبرين أختراق و تجربة جميع الثغرات منها Sql injection بدل ان تجرب بالمتصفح نفسه.
تقدر تغير البيانات الي تكون متوجدة مثلآ انا بغير connection: close الى open نشوف النتيجة وش يطلع لنا
زي ماتلاحظون هنا في connection كان مكتوب close والان لما غيرناه الى open صار Respone هو keep-alive
على كل حال
خلونا نكتشف ثغرة sql injecton مع بعض تمام
أول شي خلينا نشوف ناخذ parameter و نحط رقم مع علامة '
نشوف النتيجة.
.gif)
لما نبحت تحت بيطلع لنا خطأ تبع sql هذي اسمها ثغرة sql injection
خلينا نستغل شوي وتكتب كذا
.gif)
زي ماتلاحظون عدلت في parameter و طلع لي كذا في respone
خلونا نكتب user() عشان يطلع اسم المستخدم مثلآ
و زي ماتلاحظون هنا طلع لنا اسم مستخدم تبع قواعد البيانات. ماقصد اسم المستخدم username
لا أنا اقصد اسم المستخدم التي يتم دخول الى قواعد البيانات من خلال السيرفر :)
الان خلونا نكتب database() نشوف النتيجة.
زي ماتلاحظون هنا طلع لنا اسم acuart هذا اسم قواعد البيانات المحفوظة بالسيرفر
وهكذا هذا طريقة عمل repeater في burpSuite
أن شاءلله وضحت الفكرة و طريقة عملها
للعلم عملت للموقع مسموح و اي احد يقدر يستخدمها لامانع لانه هذا غرض الدراسة و اختبار اختراق
أشوفكم على خير