Injection SQL à l'aide du répéteur Burp Suite | Testeur de pénétration TryHackMe JR

Introduction

Nous avons couvert les bases du Répéteur dans Burp Suite et nous avons présenté un exemple utilisant un scénario d'injection SQL. Cela faisait partie du parcours TryHackMe JR Penetration Tester.

Nous expliquerons comment utiliser Repeater pour manipuler et renvoyer arbitrairement les requêtes capturées, ainsi que certaines des options les plus astucieuses disponibles dans cet outil génial. Enfin, nous rencontrerons une série d'exemples, dont un exercice extra-mile du monde réel que nous utiliserons pour consolider les aspects plus théoriques de la salle.

Si vous n'avez jamais utilisé Burp Suite auparavant et n'avez pas terminé le Les bases du rot salle, vous souhaiterez peut-être le faire maintenant avant de continuer, car cette salle s'appuie sur les fondations qui y sont couvertes.

En bref : Burp Suite Repeater nous permet de créer et/ou de relayer à volonté les requêtes interceptées vers une cible. En termes simples, cela signifie que nous pouvons prendre une requête capturée dans le proxy, la modifier et envoyer la même requête autant de fois que nous le souhaitons. Alternativement, nous pourrions rédiger des requêtes à la main, un peu comme nous le ferions depuis la CLI (Ccommandement Liné jenterface), à l’aide d’un outil tel que boucle pour créer et envoyer des requêtes.

Cette possibilité de modifier et de renvoyer la même demande plusieurs fois rend Repeater idéal pour tout type de recherche manuelle sur un point final, nous offrant ainsi une solution intéressante. graphique User jeInterface graphique (GUI) pour écrire la charge utile de la requête et de nombreuses vues (y compris un moteur de rendu pour une vue graphique) de la réponse afin que nous puissions voir les résultats de notre travail en action.

Obtenir les notes du certificat OSCP

Notes pratiques de Burp Suite

Réponses de la salle