شرح عن خصائص Repeater في BurpSuite

Mstafa Mowafy

:: Lv5 ::
مدير
26 ديسمبر 2022
228
10
18
الجنس
ذكر
line.png

مساء الخير



اليوم راح اشرح عن خصائص Repeater و طريقة استخدامه في BurpSuite



راح نشرح كيف نتلاعب في بيانات قواعد البيانات اذا لقينا ثغرة في Sql injection عن طريق burpsuite



أولآ Repeater هذا اداء مفضلة لمختبرين أختراق و تجربة جميع الثغرات منها Sql injection بدل ان تجرب بالمتصفح نفسه.



تقدر تغير البيانات الي تكون متوجدة مثلآ انا بغير connection: close الى open نشوف النتيجة وش يطلع لنا







زي ماتلاحظون هنا في connection كان مكتوب close والان لما غيرناه الى open صار Respone هو keep-alive



على كل حال

خلونا نكتشف ثغرة sql injecton مع بعض تمام



أول شي خلينا نشوف ناخذ parameter و نحط رقم مع علامة '

نشوف النتيجة.







لما نبحت تحت بيطلع لنا خطأ تبع sql هذي اسمها ثغرة sql injection

خلينا نستغل شوي وتكتب كذا







زي ماتلاحظون عدلت في parameter و طلع لي كذا في respone



خلونا نكتب user() عشان يطلع اسم المستخدم مثلآ



و زي ماتلاحظون هنا طلع لنا اسم مستخدم تبع قواعد البيانات. ماقصد اسم المستخدم username

لا أنا اقصد اسم المستخدم التي يتم دخول الى قواعد البيانات من خلال السيرفر :)



الان خلونا نكتب database() نشوف النتيجة.







زي ماتلاحظون هنا طلع لنا اسم acuart هذا اسم قواعد البيانات المحفوظة بالسيرفر



وهكذا هذا طريقة عمل repeater في burpSuite



أن شاءلله وضحت الفكرة و طريقة عملها



للعلم عملت للموقع مسموح و اي احد يقدر يستخدمها لامانع لانه هذا غرض الدراسة و اختبار اختراق



أشوفكم على خير