利用PowerUpSQL攻击SQL Server实例

本文涉及的产品
RDS SQL Server Serverless,2-4RCU 50GB 3个月
推荐场景:
云数据库 RDS SQL Server,基础系列 2核4GB
简介:  这篇博客简述如何快速识别被第三方应用使用的SQL Server实例,该第三方软件用PowerUpSQL配置默认用户/密码配置。虽然我曾经多次提到过这一话题,但是我认为值得为这一主题写一篇简短的博客,帮助大家解决常见的问题。

 

 

这篇博客简述如何快速识别被第三方应用使用的SQL Server实例,该第三方软件用PowerUpSQL配置默认用户/密码配置。虽然我曾经多次提到过这一话题,但是我认为值得为这一主题写一篇简短的博客,帮助大家解决常见的问题。希望会帮助到那些尝试清理环境的渗透测试人员和网络安全团队。

 

测试方法总结

默认密码仍然是我们在内网渗透测试中碰到的最大的问题之一。Web应用尤其容易忽视这一问题,但是用自己的SQL Server实例布置的第三方应用还可以被浏览。Rob Fuller在PWNWiki建立一个默认SQL Server实例密码列表。我们也会追踪我们自己的列表,所以为了实现测试流程的自动化,我把他们放在一起,并用PowerShell把他们包裹起来。

这个高级进程是很简单的:

  1. 创建一个列表,这个列表内容是应用程序特定的SQLServer实例名和与这个实例关联的默认用户名/密码;

  2. 通过LDAP查询,扫描活动,或其他方式,识别SQL实例。

  3. 用发现的实例名称交叉引用默认实例名称的列表。

  4. 尝试登陆用关联的默认证书匹配的SQL Server实例。

加载PowerUpSQL

PowerUpSQL可以用很多不同的方式在PowerShell中加载。下面就是一个展示如何从GitHub中下载模块和导入模块的基本示例:

IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/NetSPI/PowerUpSQL/master/PowerUpSQL.ps1")

想要了解更多基础选项请看:https://github.com/NetSPI/PowerUpSQL/wiki/Setting-Up-PowerUpSQL.

同样,想要下载更多内容请看Matthew Green的博客:https://mgreen27.github.io/posts/2018/04/02/DownloadCradle.html.

命令例示:通过广播PING进行定位

您在加载PowerUpSQL之后,您可以通过运行下面的命令来发现在您当前广播域之内的SQL Server实例。

Get-SQLInstanceBroadcast -Verbose

如您所见,这个命令在你的本地网络为你提供一列SQL Server实例。为了分辨哪一个SQL实例用默认密码设置,您可以将“Get-SQLInstanceBroadcast”传递给“Get-SQLServerLoginDefaultPw”,正如下所示。

Get-SQLInstanceBroadcast -Verbose | Get-SQLServerLoginDefaultPw –Verbose

命令示例:通过LDAP查询定位

如果你有域名证书,或已经在一个域名系统上运行,你也可以通过LDAP查询现用目录,为了一系列注册的SQLServer 通过如下命令。这也可以从一个非域系统通过使用来自PowerUpSQL Discovery Cheatsheet的语法执行。

Get-SQLInstanceDomain -Verbose

 

 正如最后一个例子所示,你只需要把“Get-SQLInstanceDomain”传送至“Get-SQLServerLoginDefaultPw” 就可以识别那些注册在默认密码设置的域中的SQL Server实例。

Get-SQLInstanceDomain -Verbose |Get-SQLServerLoginDefaultPw -Verbose

PowerUpSQL支持的SQLServer实例发现功能的完整列表已经被列在下面:

 

Function Name Description
Get-SQLInstanceFile Returns SQL Server instances from a file. One per line.
Get-SQLInstanceLocal Returns SQL Server instances from the local system based on a registry search.
Get-SQLInstanceDomain Returns a list of SQL Server instances discovered by querying a domain controller for systems with registered MSSQL service principal names. The function will default to the current user’s domain and logon server, but an alternative domain controller can be provided. UDP scanning of management servers is optional.
Get-SQLInstanceScanUDP Returns SQL Server instances from UDP scan results.
Get-SQLInstanceScanUDPThreaded Returns SQL Server instances from UDP scan results and supports threading.
Get-SQLInstanceBroadcast Returns SQL Server instances on the local network by sending a UDP request to the broadcast address of the subnet and parsing responses.

我还想指出,一个称为“Find-DbaInstance”的DBATools函数可以用于blind SQL Server实例发现。它实际上比PowerUpSQL提供更多的发现选项。Chrissy LeMaire已经写了一个很好的概述可以在https://dbatools.io/find-sql-instances/上找到。

Get-SQLServerLoginDefaultPw寻找什么?

通常Get-SQLServerLoginDefaultPw函数包含41个应用程序特定的默认SQL Server实例,用户和密码。我故意没有包含以SQL Express或MSSQLSERVER命名的实例,因为我想避开账户锁定。唯一一次登陆尝试是在这里有一个与应用程序部署匹配的实例。对于那些好奇的人来说,下面提供了应用程序特定实例的当前列表

ACS CODEPAL MYMOVIES RTCLOCAL vocollect
ACT7 CODEPAL08 ECC SALESLOGIX VSDOTNET
AOM2 CounterPoint ECOPYDB SIDEXIS_SQL
ARIS CSSQL05 ECOPYDB SQL2K5
AutodeskVault CADSQL Emerson2012 STANDARDDEV2014
BOSCHSQL DHLEASYSHIP HDPS PCAMERICA
BPASERVER9 DPM HPDSS PRISM
CDRDICOM DVTEL INSERTGT TEW_SQLEXPRESS
VSQL EASYSHIP INTRAVET RMSQLDATA
 

总结

作为总结,确保你有仔细检查部署在你的环境中的第三方软件。希望这个文章/工具能够帮助安全团队清理那些与默认SQL Server实例关联的默认密码。

相关实践学习
使用SQL语句管理索引
本次实验主要介绍如何在RDS-SQLServer数据库中,使用SQL语句管理索引。
SQL Server on Linux入门教程
SQL Server数据库一直只提供Windows下的版本。2016年微软宣布推出可运行在Linux系统下的SQL Server数据库,该版本目前还是早期预览版本。本课程主要介绍SQLServer On Linux的基本知识。 相关的阿里云产品:云数据库RDS SQL Server版 RDS SQL Server不仅拥有高可用架构和任意时间点的数据恢复功能,强力支撑各种企业应用,同时也包含了微软的License费用,减少额外支出。 了解产品详情: https://www.aliyun.com/product/rds/sqlserver
目录
相关文章
|
2月前
|
SQL 监控 小程序
在微信小程序中使用 Vant 时如何防止 SQL 注入攻击?
在微信小程序中使用 Vant 时如何防止 SQL 注入攻击?
140 58
|
1月前
|
SQL 数据管理 数据库
SQL语句实例教程:掌握数据查询、更新与管理的关键技巧
SQL(Structured Query Language,结构化查询语言)是数据库管理和操作的核心工具
|
19天前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
27 0
|
1月前
|
SQL 安全 数据库
Python防止SQL注入攻击的方法
Python防止SQL注入攻击的方法
65 0
|
2月前
|
关系型数据库 MySQL 网络安全
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
|
4月前
|
SQL 安全 数据库
Python Web开发者必学:SQL注入、XSS、CSRF攻击与防御实战演练!
【7月更文挑战第26天】在 Python Web 开发中, 安全性至关重要。本文聚焦 SQL 注入、XSS 和 CSRF 这三大安全威胁,提供实战防御策略。SQL 注入可通过参数化查询和 ORM 框架来防范;XSS 则需 HTML 转义用户输入与实施 CSP;CSRF 防御依赖 CSRF 令牌和双重提交 Cookie。掌握这些技巧,能有效加固 Web 应用的安全防线。安全是持续的过程,需贯穿开发始终。
95 1
Python Web开发者必学:SQL注入、XSS、CSRF攻击与防御实战演练!
|
3月前
|
SQL Java 关系型数据库
应用DriverManager类创建sqlserver数据库连接实例 JSP中使用数据库
该博客文章介绍了在JSP中使用JDBC连接SQL Server数据库的方法,包括加载数据库驱动、建立数据库连接的过程,并提供了一个使用DriverManager类创建数据库连接的Java示例代码。
|
3月前
|
Java 开发者 前端开发
Struts 2:如何在大型项目中力挽狂澜,成就企业级应用开发的巅峰之作!
【8月更文挑战第31天】在本案例研究中,我们探讨了Struts 2框架在国际贸易管理系统(ITMS)中的应用,展示了其在大型项目中的优势与实践经验。Struts 2凭借其强大的表单处理、灵活的Action配置、拦截器机制及国际化支持,成为构建可扩展、高性能Web应用的理想选择。文章详细介绍了RESTful URL设计、Ajax集成、文件上传与下载等功能实现,并分享了性能优化、安全措施及遇到的问题与解决方案,为开发者提供了宝贵的参考。通过持续集成与新技术的应用,我们不断优化系统,提升开发效率与竞争力。
39 0
|
3月前
|
SQL 安全 Java
SQL注入攻防:保护你的数据库免受黑客攻击
【8月更文挑战第31天】面对日益复杂的网络攻击,数据库安全至关重要。SQL注入作为黑客常用手法,通过植入恶意代码非法访问数据库,严重威胁信息安全。本文详解SQL注入原理及其防御策略,涵盖不当输入处理导致的漏洞利用,以及通过预编译查询和权限限制等手段加强防护。使用如Java的PreparedStatement可有效避免SQL注入,保障数据安全。共同构建安全网络,抵御SQL注入风险。
88 0
|
4月前
|
SQL
解锁 SQL Server 2022的时间序列数据功能
【7月更文挑战第14天】要解锁SQL Server 2022的时间序列数据功能,可使用`generate_series`函数生成整数序列,例如:`SELECT value FROM generate_series(1, 10)。此外,`date_bucket`函数能按指定间隔(如周)对日期时间值分组,这些工具结合窗口函数和其他时间日期函数,能高效处理和分析时间序列数据。更多信息请参考官方文档和技术资料。

热门文章

最新文章

下一篇
无影云桌面