شرح tamper بالنسبة لأداة Sqlmap
شرح التامبر لفلترة البايلودات وقت حقن ثغرة Sql injection
السلام عليكم ورحمة الله وبركاته
الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:
الشرح:
راح اشرح لكم فايدة tamper على مثال عملي بالنسبة ل اداة sqlmap الخاصه بثغرة SQL Injection
اول شي خلونا نعرف ايش فايدة ال tamper هو سكربت بايثون يفيدك في فلترة البايلودات اللي تحقنها الاداة مثال اذا عندنا لاب انا سويته فيه بارميتر اسمه username قيمته مشفره بتشفير base64
خلونا نفك التشفيرة ونشوف ايش تعني, بعد فك التشفيرة لاحظنا انه القيمه Jehad
طيب خلونا نكتب قيمه فيها ' سنقل كوتشين ونشفرها بتشفيرة base64 ونحطها محل قيمة البارميتر عشان نشوف اذا مصاب البارمتير بثغرة SQL Injection او لا
القيمة : test'
طيب بعد ماوضعنا التشفيرة عشان نتاكد اذا مصاب او لا ف ظهر لنا خطا ف هذا يعني انه مصاب
===================================================
تمام نجي ل اداة sqlmap عشان تحقن لنا وتستخرج القواعد بس في مشكلة انه البارميتر يطلب منك تشفر المدخل و sqlmap مافيها ذي الخاصيه ف راح ننشىء سكربت بايثون يساعد الاداة
طيب كتبت كود بايثون بسيط فيه فنكشن اسمه tamper هذي الفنكشن راح تاخذ كل بايلود تستخدمه الاداة وقت الحقن وتشفرة ب base64 عشان البارميتر زي ماقلنا يطلب القيمه مشفرة
كيف راح يكون الأمر طيب ؟ راح يكون زي ماهو موضح بالصورة
بس اللهم راح تعدل الرابط وتحط الرابط المصاب للموقع + انك راح تعدل وتحط مسار السكربت حقك اللي انشئته
خلونا نشوف النتيجه هل راح يستخرج القواعد او لا
زي ماتشوفون استخرج لي القواعد واللحين اتوقع وضحت لك الفايدة من استخدام التامبر مع اداة sqlmap وممكن تستخدم التامبر مع الاداة في تخطي الحمايات والجدار الناري وقت الحقن
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !