Después de un buen rato de no publicar noticias en el blog decidí aprovechar el feriado y el fin de semana largo para dedicarle algo de tiempo a mi querido y fiel acompañante, mi blog.
La semana pasada algunos chicos me preguntaron porque sólo se suele explotar Apache, MySQL y demás software libres, que les daba la impresión de que el software es más vulnerable comparando las mismas con herramientas o aplicaciones de pago; lo cierto es que tenían razón, ya que es más fácil utilizar software libre para las pruebas pero definitivamente el software libre y el software propietario son igual de vulnerables y hasta me atrevería a decir (con cierto corazoncito Open Source) que el software propietario es más vulnerable que el libre y baso mi teoría en la cantidad de boletines de seguridad que envía Microsoft de manera periódica.
Dediqué gran parte de mi domingo (Wuju!!! que divertido) haciendo un video tutorial que muestre los diferentes métodos y técnicas para vulnerar un Microsoft SQL Server 2005 corriendo sobre un Windows 2003 Server y lo hice porque hay poca información en internet sobre este tema y porque aun veo muchas empresas en las cuales he podido vulnerar este motor de base de datos pero sobre todo porque me resultó divertido hacerlo a través de SQL Injection.
El video tiene el siguiente contenido:
Módulos auxiliares MSSQL en Metasploit
XP_CMDSHELL para apoderarse del sistema operativo
Exploits y meterpreter para acceder al sistema operativo
Explotación de vulnerabilidad MS09-004 a través SQL Injection
Vulnerando SQL Server: XP_CMDSHELL – Metasploit
No hay comentarios:
Publicar un comentario