Desde la inyección de SQL hasta el terminal (versión PostgreSQL)

¿Os acordáis de la entrada Ejercicio práctico: desde la inyección de SQL hasta el terminal?. Pues el equipo de Pentesterlab, los creadores del origen de la misma, han vuelto a hacer los mismo pero con un pequeño cambio: la base de datos en el servidor a atacar es PostgreSQL.

Aunque la idea de una inyección de SQL es la misma, dependiendo de la base de datos con la que tengamos que lidiar, sí que hacen que los detalles del ataque sean distintos.

El ejercicio tiene el mismo formato que el anterior, así como el objetivo del mismo. Lo que necesitas son los siguientes recursos:

• from_sqli_to_shell_pg_edition.pdf (640K)
• from_sqli_to_shell_pg_edition.iso (64-bit, 164M, MD5: 0c4f0f4da9991d3b234da0d878b435a4)
• from_sqli_to_shell_pg_edition_i386.iso (32-bit, 162M, MD5: d6c1aa6f437ed2d5c0f66ccb2bc896b0)

Se recomienda un equipo con software de virtualización y conocimientos básicos sobre HTTP y PHP y también ver los otros ejercicios propuestos.

Fuente: Cyberhades