mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 05:03:35 +00:00
Translated ['network-services-pentesting/pentesting-mssql-microsoft-sql-
This commit is contained in:
parent
86785056e5
commit
64c7028045
1 changed files with 14 additions and 14 deletions
|
@ -9,8 +9,8 @@ Andere Möglichkeiten, HackTricks zu unterstützen:
|
||||||
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
||||||
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
|
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
|
||||||
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||||||
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) **bei oder folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||||||
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
|
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) **und** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **GitHub-Repositories senden.**
|
||||||
|
|
||||||
</details>
|
</details>
|
||||||
|
|
||||||
|
@ -32,13 +32,13 @@ Von [Wikipedia](https://en.wikipedia.org/wiki/Microsoft\_SQL\_Server):
|
||||||
```
|
```
|
||||||
1433/tcp open ms-sql-s Microsoft SQL Server 2017 14.00.1000.00; RTM
|
1433/tcp open ms-sql-s Microsoft SQL Server 2017 14.00.1000.00; RTM
|
||||||
```
|
```
|
||||||
### **Standard MS-SQL Systemtabellen**
|
### **Standard MS-SQL-Systemtabellen**
|
||||||
|
|
||||||
* **master-Datenbank**: Diese Datenbank ist entscheidend, da sie alle Details auf Systemebene für eine SQL Server-Instanz erfasst.
|
* **master-Datenbank**: Diese Datenbank ist entscheidend, da sie alle Details auf Systemebene für eine SQL Server-Instanz erfasst.
|
||||||
* **msdb-Datenbank**: Der SQL Server Agent nutzt diese Datenbank, um die Zeitplanung für Benachrichtigungen und Aufträge zu verwalten.
|
* **msdb-Datenbank**: Der SQL Server Agent nutzt diese Datenbank, um die Zeitplanung für Benachrichtigungen und Aufträge zu verwalten.
|
||||||
* **model-Datenbank**: Dient als Blaupause für jede neue Datenbank in der SQL Server-Instanz, in der alle Änderungen wie Größe, Kollation, Wiederherstellungsmodell und mehr in neu erstellten Datenbanken gespiegelt werden.
|
* **model-Datenbank**: Dient als Blaupause für jede neue Datenbank in der SQL Server-Instanz, in der alle Änderungen wie Größe, Kollation, Wiederherstellungsmodell und mehr in neu erstellten Datenbanken gespiegelt werden.
|
||||||
* **Resource-Datenbank**: Eine schreibgeschützte Datenbank, die Systemobjekte enthält, die mit SQL Server geliefert werden. Diese Objekte werden zwar physisch in der Resource-Datenbank gespeichert, sind jedoch logisch im sys-Schema jeder Datenbank dargestellt.
|
* **Resource-Datenbank**: Eine schreibgeschützte Datenbank, die Systemobjekte enthält, die mit SQL Server geliefert werden. Diese Objekte werden zwar physisch in der Resource-Datenbank gespeichert, sind jedoch logisch im sys-Schema jeder Datenbank dargestellt.
|
||||||
* **tempdb-Datenbank**: Dient als temporärer Speicherbereich für vorübergehende Objekte oder Zwischenergebnismengen.
|
* **tempdb-Datenbank**: Dient als temporärer Speicherbereich für vorübergehende Objekte oder Zwischenergebnissätze.
|
||||||
|
|
||||||
## Auflistung
|
## Auflistung
|
||||||
|
|
||||||
|
@ -184,7 +184,7 @@ EXEC sp_helprotect 'xp_cmdshell'
|
||||||
### Ausführen von Betriebssystembefehlen
|
### Ausführen von Betriebssystembefehlen
|
||||||
|
|
||||||
{% hint style="danger" %}
|
{% hint style="danger" %}
|
||||||
Beachten Sie, dass es nicht nur erforderlich ist, **`xp_cmdshell`** zu aktivieren, um Befehle ausführen zu können, sondern auch die **AUSFÜHREN-Berechtigung auf der gespeicherten Prozedur `xp_cmdshell`** zu haben. Sie können herausfinden, wer (außer Sysadmins) **`xp_cmdshell`** verwenden kann, mit:
|
Beachten Sie, dass es nicht nur erforderlich ist, **`xp_cmdshell`** zu aktivieren, um Befehle ausführen zu können, sondern auch die **AUSFÜHREN-Berechtigung auf der gespeicherten Prozedur `xp_cmdshell`** zu haben. Sie können herausfinden, wer (außer Sysadmins) **`xp_cmdshell`** verwenden kann mit:
|
||||||
```sql
|
```sql
|
||||||
Use master
|
Use master
|
||||||
EXEC sp_helprotect 'xp_cmdshell'
|
EXEC sp_helprotect 'xp_cmdshell'
|
||||||
|
@ -232,7 +232,7 @@ sudo impacket-smbserver share ./ -smb2support
|
||||||
msf> use auxiliary/admin/mssql/mssql_ntlm_stealer
|
msf> use auxiliary/admin/mssql/mssql_ntlm_stealer
|
||||||
```
|
```
|
||||||
{% hint style="warning" %}
|
{% hint style="warning" %}
|
||||||
Sie können überprüfen, ob jemand (außer Sysadmins) Berechtigungen zum Ausführen dieser MSSQL-Funktionen hat mit:
|
Sie können überprüfen, ob jemand (außer Sysadmins) Berechtigungen zum Ausführen dieser MSSQL-Funktionen hat, indem Sie Folgendes tun:
|
||||||
```sql
|
```sql
|
||||||
Use master;
|
Use master;
|
||||||
EXEC sp_helprotect 'xp_dirtree';
|
EXEC sp_helprotect 'xp_dirtree';
|
||||||
|
@ -278,7 +278,7 @@ EXECUTE sp_OADestroy @OLE
|
||||||
```
|
```
|
||||||
### **Datei mit OPENROWSET lesen**
|
### **Datei mit OPENROWSET lesen**
|
||||||
|
|
||||||
Standardmäßig erlaubt `MSSQL` das Lesen von Dateien auf jedem Dateisystem, auf das das Konto Lesezugriff hat. Wir können die folgende SQL-Abfrage verwenden:
|
Standardmäßig ermöglicht `MSSQL` das Lesen von Dateien auf jedem Dateisystem, auf das das Konto Lesezugriff hat. Wir können die folgende SQL-Abfrage verwenden:
|
||||||
```sql
|
```sql
|
||||||
SELECT * FROM OPENROWSET(BULK N'C:/Windows/System32/drivers/etc/hosts', SINGLE_CLOB) AS Contents
|
SELECT * FROM OPENROWSET(BULK N'C:/Windows/System32/drivers/etc/hosts', SINGLE_CLOB) AS Contents
|
||||||
```
|
```
|
||||||
|
@ -295,7 +295,7 @@ https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:\Windows\w
|
||||||
|
|
||||||
MSSQL könnte es Ihnen ermöglichen, **Skripte in Python und/oder R** auszuführen. Dieser Code wird von einem **anderen Benutzer** als demjenigen ausgeführt, der **xp\_cmdshell** verwendet, um Befehle auszuführen.
|
MSSQL könnte es Ihnen ermöglichen, **Skripte in Python und/oder R** auszuführen. Dieser Code wird von einem **anderen Benutzer** als demjenigen ausgeführt, der **xp\_cmdshell** verwendet, um Befehle auszuführen.
|
||||||
|
|
||||||
Beispiel zum Versuch, ein **'R'** _"Hallo Welt!"_ **auszuführen**:
|
Beispiel zum Versuch, ein **'R'** _"Hallo Welt!"_ **nicht funktioniert** auszuführen:
|
||||||
|
|
||||||
![](<../../.gitbook/assets/image (393).png>)
|
![](<../../.gitbook/assets/image (393).png>)
|
||||||
|
|
||||||
|
@ -445,9 +445,9 @@ Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuse
|
||||||
|
|
||||||
## Extrahieren von Passwörtern aus SQL Server Linked Servers
|
## Extrahieren von Passwörtern aus SQL Server Linked Servers
|
||||||
|
|
||||||
Ein Angreifer kann SQL Server Linked Server-Passwörter aus den SQL-Instanzen extrahieren und sie im Klartext erhalten, wodurch dem Angreifer Passwörter zur Verfügung stehen, die verwendet werden können, um eine größere Verankerung im Ziel zu erlangen. Das Skript zum Extrahieren und Entschlüsseln der für die Linked Server gespeicherten Passwörter finden Sie [hier](https://www.richardswinbank.net/admin/extract\_linked\_server\_passwords)
|
Ein Angreifer kann Passwörter von SQL Server Linked Servers aus den SQL-Instanzen extrahieren und sie im Klartext erhalten, wodurch dem Angreifer Passwörter zur Verfügung stehen, die verwendet werden können, um eine größere Verankerung im Ziel zu erlangen. Das Skript zum Extrahieren und Entschlüsseln der für die Linked Servers gespeicherten Passwörter finden Sie [hier](https://www.richardswinbank.net/admin/extract\_linked\_server\_passwords)
|
||||||
|
|
||||||
Um diesen Exploit auszuführen, müssen einige Anforderungen und Konfigurationen erfüllt sein. Zunächst müssen Sie Administratorrechte auf dem Computer haben oder die Möglichkeit haben, die SQL Server-Konfigurationen zu verwalten.
|
Um diesen Exploit zum Laufen zu bringen, müssen einige Anforderungen und Konfigurationen erfüllt sein. Zunächst müssen Sie Administratorrechte auf dem Rechner haben oder die Möglichkeit haben, die SQL Server-Konfigurationen zu verwalten.
|
||||||
|
|
||||||
Nachdem Sie Ihre Berechtigungen validiert haben, müssen Sie drei Dinge konfigurieren, und zwar:
|
Nachdem Sie Ihre Berechtigungen validiert haben, müssen Sie drei Dinge konfigurieren, und zwar:
|
||||||
|
|
||||||
|
@ -455,15 +455,15 @@ Nachdem Sie Ihre Berechtigungen validiert haben, müssen Sie drei Dinge konfigur
|
||||||
2. Fügen Sie einen Startparameter hinzu, in diesem Fall wird ein Trace-Flag hinzugefügt, nämlich -T7806.
|
2. Fügen Sie einen Startparameter hinzu, in diesem Fall wird ein Trace-Flag hinzugefügt, nämlich -T7806.
|
||||||
3. Aktivieren Sie die Remote-Admin-Verbindung.
|
3. Aktivieren Sie die Remote-Admin-Verbindung.
|
||||||
|
|
||||||
Um diese Konfigurationen zu automatisieren, verfügt [dieses Repository](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/) über die benötigten Skripte. Neben einem PowerShell-Skript für jeden Schritt der Konfiguration enthält das Repository auch ein vollständiges Skript, das die Konfigurationsskripte sowie die Extraktion und Entschlüsselung der Passwörter kombiniert.
|
Um diese Konfigurationen zu automatisieren, enthält [dieses Repository](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/) die benötigten Skripte. Neben einem Powershell-Skript für jeden Schritt der Konfiguration enthält das Repository auch ein vollständiges Skript, das die Konfigurationsskripte sowie die Extraktion und Entschlüsselung der Passwörter kombiniert.
|
||||||
|
|
||||||
Für weitere Informationen verweisen Sie auf die folgenden Links zu diesem Angriff: [Entschlüsselung von MSSQL Database Link Server-Passwörtern](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
|
Für weitere Informationen verweisen Sie auf die folgenden Links zu diesem Angriff: [Entschlüsselung von MSSQL Database Link Server-Passwörtern](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
|
||||||
|
|
||||||
[Beheben der SQL Server Dedicated Administrator Connection-Probleme](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
|
[Beheben der SQL Server Dedicated Administrator Connection](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
|
||||||
|
|
||||||
## Lokale Privilege Escalation
|
## Lokale Privilege Escalation
|
||||||
|
|
||||||
Der Benutzer, der den MSSQL-Server ausführt, hat das Berechtigungstoken **SeImpersonatePrivilege** aktiviert.\
|
Der Benutzer, der den MSSQL-Server ausführt, wird das Berechtigungstoken **SeImpersonatePrivilege** aktiviert haben.\
|
||||||
Sie können wahrscheinlich zu **Administrator eskalieren**, indem Sie einer dieser 2 Seiten folgen:
|
Sie können wahrscheinlich zu **Administrator eskalieren**, indem Sie einer dieser 2 Seiten folgen:
|
||||||
|
|
||||||
{% content-ref url="../../windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md" %}
|
{% content-ref url="../../windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md" %}
|
||||||
|
@ -556,7 +556,7 @@ Command: msfconsole -q -x 'use auxiliary/scanner/mssql/mssql_ping; set RHOSTS {I
|
||||||
|
|
||||||
Andere Möglichkeiten, HackTricks zu unterstützen:
|
Andere Möglichkeiten, HackTricks zu unterstützen:
|
||||||
|
|
||||||
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
||||||
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
|
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
|
||||||
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||||||
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||||||
|
|
Loading…
Reference in a new issue