Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

Новая фича: MySQL LOAD DATA LOCAL injection

2288
Новая фича: MySQL LOAD DATA LOCAL injection

На прошедшем хаос констракшене была продемонстрирована багофича mysql, позволяющая
читать локальные файлы клиента.

В двух слова, при проведении mitm'а между mysql клиентом и сервером можно заинжектить команду от имени сервера, сказав клиенту отдать нужный файл.

Парни предложили реализовать эту махинацию в цептере.
Запрошенный файл будет восстановлен и отображен в соответствующем режиме.

презентация
http://t.co/WgL2leezQS

скачать билд цептера можно по ссылке:
intercepter.nerf.ru/dev.exe
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
LIVE
Думаете, ваша сеть хорошо защищена?
PT NAD 13.0 покажет, где вы ошибаетесь
4 июня · Онлайн-запуск
Зарегистрироваться →
Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+

article-title

Intercepter