如何利用PowerUpSQL攻击SQL Server实例

发布时间:2021-12-03 17:41:51 作者:小新
来源:亿速云 阅读:236

这篇文章主要为大家展示了“如何利用PowerUpSQL攻击SQL Server实例”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“如何利用PowerUpSQL攻击SQL Server实例”这篇文章吧。

测试方法总结

默认密码仍然是我们在内网渗透测试中碰到的最大的问题之一。Web应用尤其容易忽视这一问题,但是用自己的SQL Server实例布置的第三方应用还可以被浏览。Rob Fuller在PWNWiki建立一个默认SQL Server实例密码列表。我们也会追踪我们自己的列表,所以为了实现测试流程的自动化,我把他们放在一起,并用PowerShell把他们包裹起来。

这个高级进程是很简单的:

  1. 创建一个列表,这个列表内容是应用程序特定的SQLServer实例名和与这个实例关联的默认用户名/密码;

  2. 通过LDAP查询,扫描活动,或其他方式,识别SQL实例。

  3. 用发现的实例名称交叉引用默认实例名称的列表。

  4. 尝试登陆用关联的默认证书匹配的SQL Server实例。

加载PowerUpSQL

PowerUpSQL可以用很多不同的方式在PowerShell中加载。下面就是一个展示如何从GitHub中下载模块和导入模块的基本示例:

IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/NetSPI/PowerUpSQL/master/PowerUpSQL.ps1")

想要了解更多基础选项请看:https://github.com/NetSPI/PowerUpSQL/wiki/Setting-Up-PowerUpSQL.

同样,想要下载更多内容请看Matthew Green的博客:https://mgreen27.github.io/posts/2018/04/02/DownloadCradle.html.

命令例示:通过广播PING进行定位

您在加载PowerUpSQL之后,您可以通过运行下面的命令来发现在您当前广播域之内的SQL Server实例。

Get-SQLInstanceBroadcast -Verbose

如何利用PowerUpSQL攻击SQL Server实例

如您所见,这个命令在你的本地网络为你提供一列SQL Server实例。为了分辨哪一个SQL实例用默认密码设置,您可以将“Get-SQLInstanceBroadcast”传递给“Get-SQLServerLoginDefaultPw”,正如下所示。

Get-SQLInstanceBroadcast -Verbose | Get-SQLServerLoginDefaultPw –Verbose

如何利用PowerUpSQL攻击SQL Server实例

命令示例:通过LDAP查询定位

如果你有域名证书,或已经在一个域名系统上运行,你也可以通过LDAP查询现用目录,为了一系列注册的SQLServer 通过如下命令。这也可以从一个非域系统通过使用来自PowerUpSQL Discovery Cheatsheet的语法执行。

Get-SQLInstanceDomain -Verbose

如何利用PowerUpSQL攻击SQL Server实例

正如最后一个例子所示,你只需要把“Get-SQLInstanceDomain”传送至“Get-SQLServerLoginDefaultPw” 就可以识别那些注册在默认密码设置的域中的SQL Server实例。

Get-SQLInstanceDomain -Verbose |Get-SQLServerLoginDefaultPw -Verbose

如何利用PowerUpSQL攻击SQL Server实例

PowerUpSQL支持的SQLServer实例发现功能的完整列表已经被列在下面:

Function NameDescription
Get-SQLInstanceFileReturns SQL Server instances from a file. One per line.
Get-SQLInstanceLocalReturns SQL Server instances from the local system based on a registry search.
Get-SQLInstanceDomainReturns a list of SQL Server instances discovered by querying a domain controller for systems with registered MSSQL service principal names. The function will default to the current user’s domain and logon server, but an alternative domain controller can be provided. UDP scanning of management servers is optional.
Get-SQLInstanceScanUDPReturns SQL Server instances from UDP scan results.
Get-SQLInstanceScanUDPThreadedReturns SQL Server instances from UDP scan results and supports threading.
Get-SQLInstanceBroadcastReturns SQL Server instances on the local network by sending a UDP request to the broadcast address of the subnet and parsing responses.

我还想指出,一个称为“Find-DbaInstance”的DBATools函数可以用于blind SQL Server实例发现。它实际上比PowerUpSQL提供更多的发现选项。Chrissy LeMaire已经写了一个很好的概述可以在https://dbatools.io/find-sql-instances/上找到。

Get-SQLServerLoginDefaultPw寻找什么?

通常Get-SQLServerLoginDefaultPw函数包含41个应用程序特定的默认SQL Server实例,用户和密码。我故意没有包含以SQL Express或MSSQLSERVER命名的实例,因为我想避开账户锁定。唯一一次登陆尝试是在这里有一个与应用程序部署匹配的实例。对于那些好奇的人来说,下面提供了应用程序特定实例的当前列表:

ACSCODEPALMYMOVIESRTCLOCALvocollect
ACT7CODEPAL08ECCSALESLOGIXVSDOTNET
AOM2CounterPointECOPYDBSIDEXIS_SQL
ARISCSSQL05ECOPYDBSQL2K5
AutodeskVaultCADSQLEmerson2012STANDARDDEV2014
BOSCHSQLDHLEASYSHIPHDPSPCAMERICA
BPASERVER9DPMHPDSSPRISM
CDRDICOMDVTELINSERTGTTEW_SQLEXPRESS
VSQLEASYSHIPINTRAVETRMSQLDATA

以上是“如何利用PowerUpSQL攻击SQL Server实例”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!

推荐阅读:
  1. 利用Zabbix ODBC monitoring监控SQL
  2. 为什么SQL Server实例处在压力下

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

sql server

上一篇:sql server系统表有哪些

下一篇:网页里段落的html标签是哪些

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》