BASTA! Tag 3: Advanced Hacking
In dieser sehr interessanten Session geht Michael Thumann (Enno Rey Netzwerke GmbH) auf die Problemantik von SQL Injection. Er startet mit einer Einführung in die SQL Injection für diejenigen die noch nie was damit zu tun haben. Laut Handzeichen leider überrachend viele :-(
Michael beschreibt wie man mit Hilfe von SQL Injection Betriebssystemfunktionen aufruft um das System zu manipulieren. Wichtig ist hier auf jeden Fall einen Benutzer für den Zugriff auf den SQL zu verwenden der nur die mindestberechtigungen hat. Der SQL Server darf nicht mit Administratorrechten starten.
Im zweiten Teil seiner Session beschreibt Michael wie man mit Hilfe von Treibern Hintertürchen im System öffnen kann. Über die Treiber deshalb, da man damit so nah am System ist um genügend Berechtigung im System zu haben. Dabei beschreibt er wie man an der Treibersignierung vom Microsoft vorbei kommen kann.
Im dritten und letzten Teil der Session möchte Michael die vorangegangenen Techniken gemeinsam anwenden. Also mit SQL Injection einen Treiber als Hintertürchen installieren.
