|
|
|
联系客服020-83701501

导出SqlServer凭据来方便你的内网渗透

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
导出SqlServer把柄来随便你的内网渗透

还是netspi博客中的提到的思绪,概略在DAC登录后导出sqlserver后期减少的把柄。由msdn所述,这些把柄多数环境下是windows用户名和暗码,在内网渗透时能够会有用。
原文提供的powershell剧本如故不克不及在中文(也能够是局部多字节操作体系如鬼子语)上运行,所以中止了修正,特意改为为了exe和AspxSpy插件随便挪用。

器械与源码见附件,其中Get-MSSQLCredentialPasswords.psm1为批改后的powershell剧本,挪用方法:

Default
12 import-module Get-MSSQLCredentialPasswords.psm1Get-MSSQLCredentialPasswords

当心:不克不及施展剖析中文,超长暗码只能施展剖析一部分。

lscredpwd.exe为一键获取器械,间接实验即可。lscredpwd.js为源码,编译敕令行:

Default
1 jsc /r:system.xml.dll lspwd.js

GetMSSQLCredentialsPasswordPlugin.cs为AspxSpy插件源码,编译敕令行:

Default
12 csc /t:library GetMSSQLCredentialsPasswordPlugin.csPluginDeflater GetMSSQLCredentialsPasswordPlugin.dll #收缩插件以警省避免拦挡

jsc和csc在.net调剂目录上面,为保障兼容性倡导用.net 2.0版本的编译器编译。

GetMSSQLCredentialsPasswordPlugin.GetMSSQLCredentialsPasswordPlugin.dll.Deflated分别为未收缩和收缩后的插件。插件消息以下:

Default
1234 TypeName:Zcg.Test.AspxSpyPlugins.GetMSSQLCredentialsPasswordPluginMethodName:RunHTML Result:trueParams:null

输出:之后管事器局部能战败毗邻的sqlserver实例中局部把柄消息。

测试环境搭建:

实验以下sql用于减少把柄:

Transact-SQL
12 CREATE CREDENTIAL cred1 WITH IDENTITY = '经管员1A', SECRET = '暗码asdc12xe1CVYR%#^BG(G*$FW$XSZFDXtgfgfsrtx';CREATE CREDENTIAL cred2 WITH IDENTITY = '经管员1B', SECRET = '暗码asdc12x暗码SZFDXt暗码tx';

测试一键获取器械:在非DAC毗邻的查询中用xp_cmdshell实验lscredpwd.exe
测试AspxSpy插件:为iis垄断轨范域和sqlserver的管事进程设置成匹敌账户(如network service),之后在AspxSpy中加载插件。

测试截图:
pic1

已知舛误消息:

已战败与管事器创立毗邻,但是在登录进程中产生舛误。 (provider: TCP 提供轨范, error: 0 – 指定的网络名再也不可用。)
起因:DAC只支持单用户,呈现此舛误阐明之后已经有一个活动的DAC毗邻。

不应允所求告的注册表接见权:

起因:之后用户不是sqlserver管事进程用户或administrator。

参考文献:

https://blog.netspi.com/decrypting-mssql-credential-passwords/
msdn关于sqlserver把柄的消息:https://msdn.microsoft.com/zh-cn/library/ms189522.aspx

[via@90sec]

数安新闻+更多

证书相关+更多