最新域环境MSSQL的枚举和认证技术

最新推荐文章于 2024-05-31 11:15:05 发布
最新推荐文章于 2024-05-31 11:15:05 发布
阅读量729 收藏 5
点赞数 22
文章标签: sqlserver 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/138986681
版权

点击星标,即时接收最新推文

3df741ccba06ffdd371f15d3a603d8c5.png

本文选自《内网安全攻防:红队之路》

扫描二维码五折购书

域环境MSSQL枚举

在渗透测试过程,如果我们获取了一个普通域用户权限,或者针对域环境执行假定入侵渗透测试,我们通常需要枚举域环境是否集成了MS SQL数据库,并测试是否存在漏洞或者误配置可以利用进行权限提升。

传统的方法是使用nmap之类的工具扫描开放的1433端口来定位MSSQL数据库服务器,但是一些数据库实例可能配置运行在非默认端口,比如命名的MS SQL实例,此时使用网络扫描工具就无法发现。

当MSSQL使用域用户账户上下文运行时,通常会和一个SPN(Service Principal Name)绑定。SPN存储在活动目录中,并将服务账户与SQL服务及其关联的Windows服务器联系起来。因此,我们可以通过向域控查询和MS SQL相关的SPN,来定位MS SQL实例。   

普通域用户可以使用setspn命令查询注册的SPN,-T参数指定域或者林,-Q指定SPN通配符。下面以普通域用dave进行查询:

setspn -T dev.ms08067.cn -Q MSSQLSvc/*

4b8b6723742da319cbb0b45188a16338.png

 使用setspn枚举SQL实例

从输出可以看到,dev.ms08067.cn域存在两个MS SQL实例,分别运行在dev-dc01和appsrv01主机。

除了使用setspn,我们也可以使用PowerShell脚本GetUsersSPNs.ps1进行枚举,下载地址为https://github.com/nidem/kerberoast/blob/master/GetUserSPNs.ps。该脚本默认会查询根域,我们可以使用GCName参数指定子域。运行脚本,可以看到和setspn输出类似:

. .\GetUserSPNs.ps1 -GCName  'DC=dev,DC=ms08067,DC=cn'

a952b03573d1ca792e1a27f852c2c6fe.png

使用GetUsersSPN枚举SQL实例

通过上面setspn和GetUsersSPN的输出,我们可以获得域内MS SQL服务器的主机名和TCP端口,以及运行SQL服务的账户等信息。上面例子中,两个SQL实例都是运行在域账户SQLSvc的上下文,且该域账户是服务器本地管理员组成员。

域环境MSSQL认证

在我们通过枚举获得目标SQL服务器的基本信息后,接下来我们学习下MS SQL在集成到域环境时的认证过程。

MS SQL认证分为两个步骤。第一步先执行一个传统的登录,通常为SQL服务器登录或者Windows账户基于的登录。SQL服务器登录在每个单独的数据库服务上使用本地账户登录,比如使用sa登录。Windows认证通过Kerberos进行,允许任何域用户使用TGS(Ticket Granting Service)票据进行认证。

第二步是认证成功后,将登录账户映射到数据库账户。比如,我们使用内置的SQL服务器sa账户登录,将会映射到dbo用户账户。如果我们登录的账户和SQL用户账户没有关联,则会自动映射到guest用户账户。高权限账户如sa,映射到dbo用户时,将会获得sysadmin角色,有权限对SQL服务器进行管理。而映射到guest用户的登录,将获得public角色。   

在SQL服务器和活动目录集成时,通常会启用Windows认证。此时我们可以使用Kerberos认证,而无需提供密码。

我们可以使用PowerUpSQL.ps1脚本进行测试,看当前用户对数据库是否有访问权限,以及对应的角色。脚本下载地址为:

https://github.com/NetSPI/PowerUpSQL/blob/master/PowerUpSQL.ps1,

首先导入脚本:

. .\PowerUpSQL.ps1

我们也可以使用PowerUpSQL枚举域内存在的SQL server实例:

Get-SQLInstanceDomain

测试可访问性:

Get-SQLInstanceDomain -Verbose | Get-SQLConnectionTestThreaded -Verbose -Threads 10 | Where-Object {$_.Status -like "Accessible"}

3652053166aa1fd7e05732e258bdc1e0.png

使用PowerUpSQL测试数据库可访问性

从输出可以看到当前用户对两个数据库都有访问权限。我们也可以使用Get-SQLServerInfo函数收集单个服务器信息:

Get-SQLServerInfo -Instance  dev-dc01.dev.ms08067.cn

83a8c66d4a3b2165abc8d0445f2b316c.png

使用PowerUpSQL枚举单个服务器信息

可以看到我们当前以域用户DEV\dave登录数据库,但不是Sysadmin角色。

上面介绍了域环境MS SQL的枚举和认证过程后,接下来,我们将学习针对MS SQL常用的攻击手段。

—  实验室旗下直播培训课程  —

51a15f061a0175caa207111af776643a.png

49e20444072292212bb73b1b206511e5.jpeg

28dffe33d87414901aab6ee0954da976.jpeg26dae1e3f61091b27c3571eeb10b61a7.png

5d2ae7c3018121cd8e6974f875153061.png

099657ea79c55adda21ea1d859cb9964.jpeg

aff13b6d57a3bcd21242be596381fa29.jpeg

bab050f2d0a1c04ee972791ad2724f7c.jpeg

1da8e80e96914422163c3cc35e070261.png

和20000+位同学加入MS08067一起学习

297519d9928481cc2ab95a3b821e82e5.gif

Ms08067安全实验室
关注
  • 22
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言mssql和mysql数据自动同步
08-15
易语言mssql和mysql数据自动同步源码 系统结构:RefreshTask,ComputeEndTime,ComputeOneTime,ComputeTimeInte,ComputeWeekOneTime,ComputeWeekTimeInte,ComputeMonthOneTime,ComputeMonthTimeInte,execTask,logIng,...
God.org单环境攻略(三)1
08-08
God.org单环境攻略(三)1
MSSQL·特性分析·列存储技术做实时分析
02-24
使用传统RDBMS数据分析架构,遇到了前所未有的挑战,高延迟、数据处理流程复杂和成本过高。在过去很长一段时间,企业均选择传统的关系型数据库做OLAP和DataWarehouse工作。这一节讨论传统RDBMS数据分析的结构和面临...
访问和更改关系数据,使用MSSQL外联接
09-11
访问和更改关系数据,使用MSSQL外联接
书籍学习|基于SprinBoot+vue的书籍学习平台(源码+数据库+文档)
JIngJaneIL的博客
05-28 1058
首先,论文一开始便是清楚的论述了平台的研究内容。其次,剖析平台需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确平台的需求。然后在明白了平台的需求基础上需要进一步地设计平台,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式和java技术,总体功能模块运用自顶向下的分层思想。再然后就是实现平台并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过书籍学习平台将会使书籍学习各个方面的工作效率带来实质性的提升。
如何mysql数据导入到mongdb
codemami的博客
05-30 660
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
oracle中的INTERVAL函数学习总结
weixin_42821740的博客
05-30 324
简单学懂interval函数
行列视(RCV)能否在指定时间生成报表数据?
2401_83701843的博客
05-30 117
需要注意的是,要实现指定时间生成报表数据的功能,用户需要确保行列视(RCV)系统已经正确配置并连接了相应的数据源,同时还需要根据实际需求进行报表格式和计算逻辑的设置。此外,系统的稳定性和性能也是影响报表生成的重要因素,用户需要确保系统能够正常运行并处理大量的数据。其次,关于指定时间生成报表数据的需求,用户可以通过行列视(RCV)的定时任务功能来实现。综上所述,行列视(RCV)具备在指定时间生成报表数据的能力,但具体实现方式需要根据系统的配置和使用需求来确定。
mysql实战——mysql主从复制管理
zyjzyjjyzjyz的博客
05-28 581
一、常见的管理操作1、查看主库状态2、查看从库复制的状态3、在主库上查看从库ip和端口信息。
SpringBoot 的 Java 代码配置(二)
xiaotu的博客
05-29 1083
因此,如果使用 HikariCP 只用声明你要用它就行,而声明要使用 Druid,你需要自己指定所使用的版本。上面的 DruidDataSource ,我们为其属性赋值时,它的四个属性都是简单类型属性,因此十分容易处理。但是,在 Spring 的容器中,Java Bean 可能会存在引用。在上面的 Druid 的配置中,数据库连接的四大属性值是在代码中『写死』的。而在 Java 代码配置中,通过 @Bean 方法的入参来表达 Bean 之间的引用关系。,所以,我们可以直接将自定义的配置项写在。
SQLI-labs-第二十五关和第二十五a关
weixin_54055099的博客
05-27 739
SQLI-labs-第二十五关和第二十五a关,绕过and 、or过滤
【MySQL】索引
最新发布
cefler的博客
05-31 549
【MySQL】索引
KeyExpirationEventMessageListener监听器的使用
qq_47910339的博客
05-31 378
KeyExpirationEventMessageListener监听器的使用
mysql如何查询锁表
m0_72642319的博客
05-27 278
今天在做数据更新的时候,发现表中数据量不大,但是更新语句执行很久都没成功,经过查询后发现是表锁死导致的,本文记录一下锁表解决步骤。如有错误或未考虑完全的地方,望不吝赐教
【Java面试】四、MySQL篇(上)
llg___的博客
05-27 947
如果去维护一个类似二叉树的结构,再查age=45的数据,则直接从根节点开始⇒ 45 > 36,去右侧 ⇒ 45 < 48 ⇒去左侧 ⇒ 查找完毕,如此,查找效率提升,这即索引的思想。是覆盖索引,虽然select * ,但其where是根据id过滤的,即用的是主键索引、聚簇索引,索引的叶子节点存了整行数据,需要返回的字段,在索引中能够全部找到。给name字段加了非聚簇索引,因此,执行如上SQL,先根据name的非聚簇索引的B+树 ⇒ A小于L,走左边,到G和J,再走左边,找到Arm ⇒ 因为是。
爬虫面试手册
u010926168的博客
05-24 1672
爬虫岗位要求和常见面试题
开发者的福音:免去搭建服务,让你的应用开发变得像吃蛋糕一样简单!
weixin_44957042的博客
05-27 637
现在创建应用就可以获得自动生成数据表的增删改查的api、对象存储、实时数据库、云数据库、各个平台的第三方认证(例如微信扫码或者手机验证码登录等二十几种认证方式)和静态托管等,适用于web\app\H5\小程序开发,更适合中国宝宝的一站式应用开发平台。这款一站式应用开发平台彻底颠覆了传统的开发模式,让你可以专注于制作美味的菜肴(也就是你的核心业务逻辑),而不是担心厨房的设施和维护。会自动生成数据表的增删改查API,就像你的私人助理,帮你处理所有的后厨工作,让你可以专心制作美食。灵活的认证方案:你的宾客管家。
ModuleNotFoundError: No module named '_sqlite3' when Python3
牛奔的博客
05-28 249
前言 运行 python 报错:ModuleNotFoundError: No module named '_sqlite3' 解决 重新编译安装 python ./configure --enable-loadable-sqlite-extensions make make install
OceanBase v4.2 特性解析:新增三种临时表功能,更多的Oracle语句兼容
OceanBase分布式数据库的博客
05-31 175
在OceanBase 4.2.2 版本中,OceanBase对merge into、insert all临时表的功能进行了支持,同时还支持了insert、update、delete包含临时表的视图。本文详细介绍这三种使用场景。
mssql和mysql的区别
07-09
MSSQL和MySQL是两种常见的关系型数据库管理系统(RDBMS),它们有以下几个主要区别: 1. 开发公司:MSSQL是由Microsoft开发和维护的,而MySQL由Oracle Corporation维护。 2. 开源性质:MySQL是开源的,意味着它的源代码可公开查看、修改和分发。而MSSQL是闭源的,只能通过商业许可获得。 3. 支持平台:MSSQL主要运行在Windows操作系统上,而MySQL则可以运行在多个操作系统上,包括Windows、Linux、macOS等。 4. 数据类型:MSSQL和MySQL在数据类型方面有一些差异。例如,MSSQL支持日期时间类型如datetime2和smalldatetime,而MySQL使用datetime和timestamp。此外,MySQL还具有更灵活的数据类型定义功能。 5. 存储引擎:MSSQL使用自己的存储引擎(如InnoDB),而MySQL则支持多个存储引擎,包括InnoDB、MyISAM、Memory等。这些存储引擎在性能、事务支持和特性方面有所不同。 6. 可扩展性:MySQL在大规模数据处理方面表现较好,具备良好的可扩展性和高性能。MSSQL在处理较小规模的数据库时表现出色,并且对于复杂查询和数据分析有一些高级功能。 总体来说,选择MSSQL还是MySQL取决于具体需求、预算和技术栈。两者都有自己的优势和适用场景,在不同的应用环境中可能会有不同的选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值