Para emular estos vectores de ataque, necesitaremos desplegar un par de bases de datos MSSQL sobre el dominio de prueba utilizado en posts anteriores.<\/p>\n\n\n\n
Instalaci\u00f3n de MSSQL en servidores internos.<\/h2>\n\n\n\n
Para este laboratorio, es suficiente con instalar MSSQL Express, lo podemos hacer directamente desde la p\u00e1gina web oficial de Microsoft.<\/p>\n\n\n\n
https:\/\/download.microsoft.com\/download\/5\/1\/4\/5145fe04-4d30-4b85-b0d1-39533663a2f1\/SQL2022-SSEI-Expr.exe<\/a><\/p>\n\n\n\n En este caso, utilizare un laboratorio distinto, que desplegu\u00e9 hace unos d\u00edas, utilizando un NUC como server.<\/p>\n\n\n\n La nueva topolog\u00eda es la siguiente:<\/p>\n\n\n\n Para este ejercicio, desplegaremos dos instancias MSSQL en el dominio hijo internal.jsec.rt<\/strong> y el dominio padre jsec.rt<\/strong>, sin embargo, la configuraci\u00f3n de enlaces entre las dos bases de datos sera para un siguiente post.<\/p>\n\n\n\n Los pasos se repiten para ambos equipos, al tratarse de un laboratorio.<\/p>\n\n\n\n *Nota: Asegurarse que se tiene instalado .NET Framework 4.7.2<\/strong>.<\/p>\n\n\n\n Podemos escoger la opci\u00f3n Basic<\/strong> por temas de simplicidad.<\/p>\n\n\n\n Aceptamos los t\u00e9rminos y condiciones.<\/p>\n\n\n\n Escogemos la ruta donde queremos instalar el software y luego click en Install<\/strong>.<\/p>\n\n\n\n El instalador descargara los archivos necesarios y tendremos la base de datos disponible localmente.<\/p>\n\n\n\n Utilizaremos la herramienta recomendada por Microsoft para la gesti\u00f3n de la base de datos. Lo podemos descargar desde la pantalla del instalador, una ves que termine.<\/p>\n\n\n\n La instalaci\u00f3n, similar al caso anterior, se la puede hacer por defecto, al tratarse de un laboratorio.<\/p>\n\n\n\n La base de datos es accesible \u00fanicamente de manera local, para permitir el acceso a trav\u00e9s de la red, realizaremos los siguientes pasos.<\/p>\n\n\n\n Accediendo al gestor de configuraci\u00f3n de SQL Server.<\/p>\n\n\n\n Modificando las opciones para poder acceder a la base de datos de manera remota, tenemos que acceder a la opci\u00f3n TCP\/IP.<\/p>\n\n\n\n Cambiamos la opci\u00f3n Enabled<\/strong> a Yes<\/strong>.<\/p>\n\n\n\n Luego, accedemos a la pesta\u00f1a IP Addresses<\/strong> y agregamos el puerto en el que queremos que el servicio este a la escucha en el campo TCP Port<\/strong> de la secci\u00f3n IPAll.<\/strong><\/p>\n\n\n\n Luego, para reiniciar el servicio y que se apliquen los cambios, accedemos al menu SQL Server Services<\/strong>, le damos click derecho al objeto SQL Server<\/strong> y luego click en Restart.<\/strong><\/p>\n\n\n\n Ahora, para confirmar que el servicio sea accesible, podemos listar los puertos en escucha del servidor a trav\u00e9s de Powershell.<\/p>\n\n\n\n Desde el equipo Kali, podemos validar que el servicio esta a la escucha utilizando Impacket-mssqlclient para intentar conectarnos a la base de datos respectiva.<\/p>\n\n\n\n Obtenemos el hostname y la base de datos configurada como respuesta, por lo que se confirma que ya podemos proceder a generar el laboratorio vulnerable.<\/p>\n\n\n\n Recapitulando las vulnerabilidades mencionadas.<\/p>\n\n\n\n Para las primeras dos funciones, no necesitamos hacer mucho, ya que se instalo sobre un dominio de Windows, los usuarios regulares tienen privilegios de consulta, muy reducidos, pero cualquier credencial nos da acceso a funciones publicas.<\/p>\n\n\n\n Pero para replicar el comportamiento en redes corporativas, registraremos tickets SPN en los dominios respectivos para permitir la autenticaci\u00f3n por Kerberos al servicio respectivo.<\/p>\n\n\n\n Para esta tarea, en nuestro controlador de dominio utilizaremos el siguiente comando:<\/p>\n\n\n\n season -S MSSQLSvc\/coreint.internal.jsec.rt internal.jsec.rt\\serveradmin<\/p>\n\n\n\n De esta manera, la instancia podr\u00e1 ser identificada a trav\u00e9s de enumeraci\u00f3n de Active Directory.<\/p>\n\n\n\n Para el tercer punto, crearemos un usuario local de base de datos con privilegios de Sysadmin, el cual es uno de los requisitos para habilitar la funci\u00f3n “xp_cmdshell”.<\/p>\n\n\n\n En las bases de datos respectivas, accedemos al gestor de base de datos.<\/p>\n\n\n\n Accedemos con el usuario de dominio que instalo el servidor.<\/p>\n\n\n\n Una vez dentro, accedemos al submenu Security<\/strong> y luego a Logins<\/strong>, dandole click derecho y accediendo a New Login<\/strong>.<\/p>\n\n\n\n Para agregar a un usuario del dominio como un usuario valido con privilegios en la base de datos, le damos click en Search<\/strong>, luego hacemos click en el bot\u00f3n Locations<\/strong> y para poder buscar usuarios del dominio interno, expandimos el dominio padre jsec.rt<\/strong> y seleccionamos el subdominio internal.jsec.rt <\/strong>donde reside nuestro usuario de pruebas. Escribimos el nombre de usuario al que le queremos dar privilegios, en mi caso Sqluser<\/strong>, y le damos click en Check Names<\/strong>, para asegurarnos que el usuario esta siendo identificado correctamente.<\/p>\n\n\n\n Le damos click a OK<\/strong> y pasamos a la pesta\u00f1a Server Roles<\/strong>, donde marcaremos a este usuario como Sysadmin<\/strong><\/p>\n\n\n\n Le podemos dar click a OK<\/strong> y ya tendremos nuestro nuevo usuario de pruebas con posibilidad de acceder a la base de datos respectiva.<\/p>\n\n\n\n Desde nuestro equipo Kali, podemos validar el acceso utilizando impacket-mssqlclient.<\/p>\n\n\n\n Cabe destacar que es necesario utilizar la flag -windows-auth<\/strong> para poder autenticarnos con usuarios del sistema operativo o de dominio.<\/p>\n\n\n\n Para finalizar la configuraci\u00f3n, agregaremos al usuario del equipo Coreint<\/strong> como administrador del equipo DBInt<\/strong> para el ataque de Relay.<\/p>\n\n\n\n Ahora podemos proceder a los escenarios de explotaci\u00f3n.<\/p>\n\n\n\n Para estos escenarios de explotaci\u00f3n, utilizaremos la herramienta PowerUpSQL<\/strong> y un equipo Windows en la red interna, con acceso de bajos privilegios (usuario jsec<\/strong>).<\/p>\n\n\n\n Existen muchos casos donde es posible identificar instancias de MSSQL configuradas en el dominio, para aplicaciones internas y otros, para el caso de aplicaciones Web alojadas en un servidor con MSSQL, es posible descubrir los directorios expuestos y en algunos casos, identificar ficheros sensibles que podr\u00edan ser descargados.<\/p>\n\n\n\n Simulando un escenario real, en un servidor con MSSQL instale XAMPP para tener un servidor web, creando una carpeta de backups con un nombre que seria un poco complicado de encontrar sin realizar acciones de bruteforcing sobre directorios.<\/p>\n\n\n\n Ahora utilizaremos PowerUpSQL<\/strong> para realizar el descubrimiento de instancias MSSQL y utilizar la funci\u00f3n publica “xp_dirtree” para listar contenidos internos.<\/p>\n\n\n\n Desde un equipo fuera de dominio pero con visibilidad hacia los equipos respectivos, validamos la visibilidad hacia el controlador de dominio.<\/p>\n\n\n\n Luego, importamos el script en una sesi\u00f3n de Powershell estableciendo el estado de la pol\u00edtica de ejecuci\u00f3n como Bypass<\/strong>.<\/p>\n\n\n\n Ahora, para poder consultar la informaci\u00f3n al dominio, necesitamos que las funciones importadas se ejecuten desde el contexto de un usuario de dominio, para realizar esto, algunas de las opciones mas sencillas son:<\/p>\n\n\n\n Las primeras dos opciones son posibles de validar de manera r\u00e1pida, as\u00ed que en este caso, utilizaremos runas para levantar una shell en el contexto de un usuario de dominio.<\/p>\n\n\n\n Una vez obtenida la shell respectiva y validado el acceso al dominio interno, procedemos a enumerar las instancias MSSQL registradas en el dominio.<\/p>\n\n\n\n Observamos dos instancias registradas, por lo que podemos utilizar otra funci\u00f3n para probar la conectividad a estas.<\/p>\n\n\n\n Confirmando la accesibilidad a estos utilizando un usuario de dominio cualquiera, procedemos a listar los directorios internos utilizando la funci\u00f3n publica “xp_dirtree”.<\/p>\n\n\n\n Podemos leer mas de esta funci\u00f3n en el siguiente enlace:<\/p>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/jsec.drawio-2-1024x734.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-1024x804.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-1-1024x790.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-2-1024x795.png\")
<\/figure>\n\n\n\nInstalando el gestor de base de datos.<\/h2>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-5-1024x778.png\")
<\/figure>\n\n\n\nConfiguraci\u00f3n para acceder remotamente.<\/h2>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-6-824x1024.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-7-1024x500.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-8-1024x683.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-10-1024x688.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-11-1024x327.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-12-1024x308.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-13-1024x423.png\")
<\/figure>\n\n\n\nPreparando el entorno vulnerable.<\/h2>\n\n\n\n
\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-36-1024x321.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-15-980x1024.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-18-1024x787.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-22-1024x1004.png\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-20-1024x841.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-21-1024x806.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-23-1024x317.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-24-1024x617.png\")
<\/figure>\n\n\n\nEscenario de explotaci\u00f3n 1: Listado de directorios internos a trav\u00e9s de MSSQL.<\/h2>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-26-1024x345.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-27-1024x525.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-28-1024x264.png\")
<\/figure>\n\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-30-1024x305.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-37-1024x824.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-38-1024x714.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2023\/11\/image-39-1024x724.png\")
<\/figure>\n\n\n\nWhat is XP_DIRTREE?\u00a0 What are the alternatives to XP_Dirtree<\/a><\/blockquote>