Захоплення сервера через SQL Injection

21:23 28.01.2010

Продовжуючи розпочату традицію, після попереднього відео про атаку на акаунт Yahoo!, пропоную новий відео секюріті мануал. Цього разу відео про захоплення сервера через SQL Injection. Рекомендую подивитися всім хто цікавиться цією темою.

Rooting a box via MySQL Injection

В даному відео ролику демонструється використання SQL Injection уразливості на сайті, що використовує MySQL, для захоплення сервера (на Windows XP). Раніше я вже наводив відео про захоплення сервера через SQL ін’єкцію де використовувався Microsoft SQL Server.

Для цього на сервер через SQL ін’єкцію заливається шел (простий шел, подібний до мого MustLive Remote Shell). Після чого додається новий акаунт адміністратора в систему та через Remote Desktop Connection під’єднується до сервера. Рекомендую подивитися дане відео для розуміння SQL Injection атак.


Leave a Reply

You must be logged in to post a comment.