Приветствую! Решил пройти курс SQL-injection Master, т.к я влюбился в SQLMAP, но не понимал, как он работает. Было интересно, как обойти WAF, как использовать различные техники и чем они отличаются , как создавать названия бд и многое другое.
Нашел этот курс в интернете на другом форуме, там влиятельный человек посоветовал Codeby видео на ютубе, но, к сожалению, канал Кодебай был забанен, а видео удалены. И я не смог посмотреть, что из себя представляет эта компания Кодебай, на тот момент мне неизвестная.
Спустя время нашел статьи на форуме от @explorer. Мне очень понравились статьи и я с удовольствием читал каждую и создавал свою боевую машину для пентеста по инструкции. Софт есть , но знаний нет... Думал, где их черпать, пробовал tryhackme, всякие статьи читал на английском через переводчик, глядел видосы на ютубе, но понимал слишком малый процент информации.
Увидел первый Codeby CTF, который проходил 24 декабря 2022г. Я даже не знал, что такое CTF, приехал посмотреть, зашел в зал, а места для зрителей все заняты. Ну я сел за столик, организаторы подкинули мне людей - опытных ребят, которые уже участвовали в CTF не один раз. Мы приступили к таскам, было 12 команд, мы заняли второе место. К сожалению, я решил ровно 0 тасков, но было интересно наблюдать, как старается моя команда, но было и стыдно, что я как груша сижу и не понимаю, что происходит. Кто-то запускает audio, играется с настройками и получает флаг - меня это удивило))) Мероприятие закончилось, раздали призы и все начали общаться... Я списался заранее с exp`ом и сказал, что я приеду. Мы пообщались в телеге, в жизни, он мне дал много классных советов и я, как только приехал домой, сразу же записался на курс SQL-injection Master.
Когда создали беседу, я нашел уже там единомышленника, с которым мы коннектились обменивались информацией, писали конспекты и учились вместе. Успешно сдали курс, узнали много нового, как использовать sqlmap на полную катушку, как ручками подбирать обрамление и многое другое. Куратор @BearSec отличный просто мужик, 24/7 был на связи , всегда давал наводки и скидывал доп.материал, стэнды (php уязвимые машины).
Мы успешно сдали экзамен с моим товарищем и создали свою команду CTF под названием "Logas" на codeby.games. Как только добавили таски по веб, связанные с sql inj, мы их все решили сразу поняли какую технику можно использовать. Курс очень сильно нас продвинул, когда я копировал запросы из методички и вставлял в гугл - я не находил подобных запросов вообще. Курс уникальный, в интернете можно найти многое, но не всё, и гораздо интереснее обучаться в команде, чем сидеть одному и портить зрение...
Конечно, не всё шло по плану, очень сильно взбесился, когда прилетели баны из-за бурпа. Так что послушайте мой совет, кто хочет записаться на курс. Когда будете сдавать экзамен в лабе - обязательно вырубайте в бурпе пассивное сканирование, т.к может прилететь бан. Старайтесь не запускать одновременно sqlmap + burp suite. Настройте --delay В sqlmap , чтобы не банило. Например delay=0.3. Был момент, когда я даже вышел на первое место на экзамене
Но , увы мораль пропала из-за банов и меня сдвинули вроде на 4 место .В целом всё равно норм)
В чате было весело, ребята хорошие, с некоторыми увиделись на офлайне.
Курс 10/10 советую! Надеюсь, будет вторая часть хотелось бы научиться писать кастомные тамперы и многое другое.