فيديو يشرح استخدام اداة burp suite لفحص تطبيقات الويب و اكتشاف ثغرات Command Execution دون الحاجة الى النظر الى الكود البرمجي للتطبيق و استغلال هذه الثغرة لاختراق السيرفر من خلال رفع Meterpreter بصيغة php.

اداة Burp suit مبرمجة بلغة الجافا و مصممة لفحص تبيقات الويب بشكل كامل من عدد كبير من الثغرات , الاداة تعمل على شكل proxy , بحيث يتم تشغيل الاداة ثم تصفح التطبيق بشكل طبيعي من خلال المتصفح , و من ثم الاداة سوف تقوم بتسجيل الثغرات المكتشفة.

في الفيديو استخدمت الاداة لاكتشاف ثغرة Command Execution , و من ثم قمت باستخدام مشروع الميتاسبلويت لتكوين meterpreter payload بصيغة PHP , بعدهااستخدام Burp suite  مجددا لرفع و تشغيل البايلود و بالتالي اختراق السيرفر.

الفيديو:


ملاحظة: هذا الشرح هو حل لمسابقة Kioptrix المستوى الثانى.

 

الموقع الرسمي للأداة: Burp Suite.

 

عن الكاتب:


أحمد العنتري, طالب فى هندسه قسم حاسبات وتحكم بأكادمية السلاب. مبرمج بايثون أستخدم لينوكس كنظام أساسي وأحب الحمايه ومعرفة وسائل الاختراق المختلفة.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn