Od0dopentestera

Skutki błędów SQL Injection - wykonanie kodu

Błędy typu SQL Injection pozwalają na wykonanie dowolnego zapytania do naszej bazy danych. Ale co jeszcze można uzyskać za ich pomocą? W tym odcinku pokaże proces instalowania tak zwanych user defined functions na przykładzie bazy MariaDB, które pozwalają na wykonanie dowolnego kodu na atakowanym serwerze. Wytłumaczę co to są funkcję UDF i skąd można je wziąć. Następnie przy pomocy składni SQL zapiszemy plik na dysku serwera. Potem stworzymy nową funkcję sys_eval, która pozwala na uruchomienie dowolnego kodu.

17-12-2019 6 minut