{"id":432,"date":"2024-05-02T18:35:25","date_gmt":"2024-05-02T22:35:25","guid":{"rendered":"https:\/\/jsec-rt.com\/?p=432"},"modified":"2024-07-08T22:54:01","modified_gmt":"2024-07-09T02:54:01","slug":"rt-movimiento-lateral-a-traves-de-mssql-parte-2","status":"publish","type":"post","link":"https:\/\/jsec-rt.com\/index.php\/2024\/05\/02\/rt-movimiento-lateral-a-traves-de-mssql-parte-2\/","title":{"rendered":"RT \u2013 Movimiento lateral a trav\u00e9s de MSSQL \u2013 Parte 2"},"content":{"rendered":"\n

Continuando con las entradas relacionadas a explotaci\u00f3n sobre MSSQL, ahora exploraremos como explotar bases de datos enlazadas y la posibilidad de desplegar un servidor SSH “portable” a trav\u00e9s de una base de datos MSSQL con la funci\u00f3n “xp_cmdshell” habilitada y que utilice a un usuario de servicio.<\/p>\n\n\n\n

Configuraci\u00f3n de bases de datos enlazadas<\/h2>\n\n\n\n

Utilizaremos la base de datos del anterior post y una nueva instalada en el servidor coreint<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ahora, accedemos con un usuario privilegiado a la base de datos en dbint<\/strong>, navegando en las siguientes opciones hasta identificar la carpeta Linked Servers<\/strong>, donde hacemos click derecho y accedemos a la opci\u00f3n New Linked Server<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ac\u00e1 podemos definir el hostname del servidor, por lo que es necesario que los registros DNS est\u00e9n configurados de manera correcta en el servidor DNS, en el caso de que se tenga un enlace sobre un servidor en un dominio distinto, se tendr\u00e1 que agregar el registro hacia este nuevo servidor en el DC actual o establecer el DC del dominio distinto como servidor DNS principal.<\/p>\n\n\n\n

En nuestro caso, ambos servidores est\u00e1n en el mismo dominio, as\u00ed que no es necesario alterar los registros DNS, simplemente establecemos el hostname y marcamos la opci\u00f3n SQL Server<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Luego, hacemos click en la opci\u00f3n Security<\/strong> y marcamos la ultima opci\u00f3n, definiendo una credencial de autenticacion local que creamos en la base de datos de coreint<\/strong>, en mi caso, sqluser<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Finalmente, vamos a la opci\u00f3n Server Options<\/strong> y cambiamos los valores de las dos opciones de RPC a True<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Hacemos click en OK<\/strong> y no deber\u00edamos tener errores al obtener la nueva base de datos enlazada.<\/p>\n\n\n\n

Podemos ejecutar una consulta de prueba desde el mismo gestor para validar que tenemos acceso.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

De esta manera, ya tenemos la base de datos enlazada lista para la explotaci\u00f3n.<\/p>\n\n\n\n

Explotaci\u00f3n<\/h2>\n\n\n\n

Para la explotaci\u00f3n asumiremos el caso de compromiso de la cuenta sqluser<\/strong>, tanto de dominio como local de la base de datos.<\/p>\n\n\n\n

Podemos acceder a trav\u00e9s de Impacket<\/strong> para empezar la enumeraci\u00f3n.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Podemos utilizar la query propia de MSSQL, exec sp_linkedservers<\/strong> o una funci\u00f3n de la herramienta, enum_links<\/strong>, que al final devuelven la misma informaci\u00f3n, ahi observamos que el enlace esta establecido.<\/p>\n\n\n\n

Ahora, podemos utilizar consultas propias de MSSQL para ejecutar consultas en la base de datos enlazada, en este caso, utilizaremos la opci\u00f3n Execute<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

De esta manera, podr\u00edamos ejecutar consultas para habilitar la ejecuci\u00f3n de comandos remota en este servidor y obtener acceso remoto.<\/p>\n\n\n\n

Podemos utilizar la funci\u00f3n use_link<\/strong> del cliente MSSQL de Impacket, definiendo el nombre entre comillas dobles ya que contiene puntos, los cuales el cliente interpretara como parte de una consulta SQL en lugar de un string.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ahora, podemos habilitar la ejecuci\u00f3n de comandos como en posts anteriores.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ya podr\u00edamos realizar acciones de post explotaci\u00f3n sobre este servidor y continuar con la cadena de explotaci\u00f3n.<\/p>\n\n\n\n

Por esta raz\u00f3n, vale la pena enumerar bases de datos MSSQL, que este tipo de situaciones pueden ser identificadas en entornos empresariales.<\/p>\n\n\n\n

Ahora, exploraremos la posibilidad de desplegar un servidor SSH “portable”.<\/p>\n\n\n\n

Configuraci\u00f3n del entorno<\/h2>\n\n\n\n

Lo principal es asegurarse que el servicio MSSQL esta siendo ejecutado bajo un usuario de servicio a trav\u00e9s del administrador de la base de datos.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Luego, click derecho en la opci\u00f3n SQL Server (SQLExpress), en mi caso, y acceder a las propiedades, seleccionando la opci\u00f3n Built-in account y alguna de las cuentas internas.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Junto a la posibilidad de ejecutar comandos a trav\u00e9s de xp_cmdshell, procedemos a la explotaci\u00f3n.<\/p>\n\n\n\n

Explotaci\u00f3n.<\/h2>\n\n\n\n

Para poder desplegar el servidor SSH sin la necesidad de instalarlo, podemos descargar el binario para Windows.<\/p>\n\n\n\n

https:\/\/github.com\/PowerShell\/Win32-OpenSSH\/releases\/tag\/v9.5.0.0p1-Beta<\/a><\/p>\n\n\n\n

En mi caso, descargamos el fichero OpenSSH-Win64.zip, que tiene el siguiente contenido.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dejaremos este fichero comprimido en una ruta accesible en el servidor de base de datos, esto se podr\u00eda realizar a trav\u00e9s de descargas ejecutando comandos a trav\u00e9s de xp_cmdshell o similares, en mi caso, por temas de simplicidad, lo descargue de manera directa en el equipo.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Adicionalmente, copie el fichero ssh_config_default<\/strong> con un nuevo nombre, que sera el que modificaremos para que use nuestros propios parametros.<\/p>\n\n\n\n

Revisamos el fichero de configuraci\u00f3n por defecto, donde la primera secci\u00f3n que debemos modificar son las host keys<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Cuando el servicio se instala de manera regular, las host keys<\/strong> se almacenan en rutas predefinidas y el binario obtiene los parametros por defecto si no se especifica un fichero de configuraci\u00f3n distinto, sin embargo, como queremos desplegar un servidor SSH sin realizar la instalaci\u00f3n, necesitamos crear nuestras propias host keys<\/strong>.<\/p>\n\n\n\n

Para hacer esto, podemos utilizar el binario ssh-keygen.exe<\/strong>, utilizando los siguientes comandos:<\/p>\n\n\n\n

ssh-keygen -q -N “” -t dsa -f C:\\Users\\Public\\Music\\openssh\\keys\\ssh_host_dsa_key<\/p>\n\n\n\n

ssh-keygen -q -N “” -t rsa -f C:\\Users\\Public\\Music\\openssh\\keys\\ssh_host_rsa_key<\/p>\n\n\n\n

ssh-keygen -q -N “” -t ecdsa -f C:\\Users\\Public\\Music\\openssh\\keys\\ssh_host_ecdsa_key<\/p>\n\n\n\n

ssh-keygen -q -N “” -t ed25519 -f C:\\Users\\Public\\Music\\openssh\\keys\\ssh_host_ed25519_key<\/p>\n\n\n\n

Ahora, por temas de permisos, es importante considerar que tenemos que utilizar la cuenta que levantara el servicio para crear estos ficheros, caso contrario, la cuenta de servicio no tendra privilegios para leer estos ficheros y el servidor no funcionara.<\/p>\n\n\n\n

Esto lo podemos hacer a trav\u00e9s de la ejecuci\u00f3n de comandos por MSSQL y xp_cmdshell.<\/p>\n\n\n\n

Primeramente confirmamos que se esta utilizando una cuenta de servicio para la base de datos, al ejecutar xp_cmdshell, se utilizara el contexto del usuario configurado, en este caso, un usuario de servicio.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ahora, generamos las host keys una por una en la ruta especificada a trav\u00e9s de esta ejecuci\u00f3n de comandos, garantizando que el usuario de servicio tenga acceso a estos ficheros.<\/p>\n\n\n\n

Ejecutando el comando, listamos los contenidos del directorio confirmando que las llaves se crearon.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Creamos el resto de host keys.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Listamos el directorio, confirmando la creaci\u00f3n de todos los ficheros.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Una vez creadas las host keys, modificamos el fichero de configuraci\u00f3n que utilizaremos para levantar el servidor, especificando las rutas absolutas.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Otras opciones que podemos modificar en el fichero de configuraci\u00f3n son las siguientes.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Otra opci\u00f3n importante que debemos modificar es la ruta del fichero .pid, en este caso, especificaremos una ruta de acceso libre para cualquier usuario.<\/p>\n\n\n\n

Adicionalmente, es importante comentar las ultimas dos lineas del fichero de configuraci\u00f3n, para que la autenticaci\u00f3n funcione.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ahora, podemos ejecutar el servidor ssh desde la sesi\u00f3n de comandos de la base de datos.<\/p>\n\n\n\n

Primeramente, listamos los puertos en escucha, observando que no se tiene alg\u00fan servicio en el puerto 2222, que es el que usaremos.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Adicionalmente, buscamos las aplicaciones instaladas, confirmando que OpenSSH no se encuentra instalado.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ahora, ejecutamos el servidor desde la terminal de comandos, utilizando el par\u00e1metro -f<\/strong> que nos permite definir el fichero de configuraci\u00f3n y el par\u00e1metro -p<\/strong> para definir el puerto, en mi caso, 2222.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

No recibimos una respuesta, porque el binario esta en ejecuci\u00f3n, esto lo podemos confirmar desde el mismo servidor.<\/p>\n\n\n\n

Observamos que tenemos un nuevo puerto a la escucha.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ademas, con el PID, obtenemos los detalles del proceso, confirmando que es un servidor SSH.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Si probamos el acceso, confirmamos que el servidor se encuentra funcional utilizando una cuenta de administrador local.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

De la misma manera, podemos desplegar un t\u00fanel SSH din\u00e1mico, para temas de pivoting.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ahora, podr\u00edamos utilizar este t\u00fanel para llegar a segmentos previamente inaccesibles, por ejemplo, el servidor dbjsec<\/strong> del dominio principal, con la direcci\u00f3n IP 192.168.30.150.<\/p>\n\n\n\n

Validamos que desde nuestra Kali no tenemos acceso directo.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Pero si tenemos llegada desde el servidor dbint<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

As\u00ed que utilizaremos proxychains para utilizar el t\u00fanel SSH creado anteriormente.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

De esta manera, tenemos la posibilidad de desplegar un servidor SSH para acceso remoto, persistencia, pivoting u otras tareas de movimiento lateral.<\/p>\n\n\n\n

Por el momento, el acceso remoto funciona \u00fanicamente utilizando una cuenta de administrador local, una cuenta de bajos privilegios no tiene la posibilidad de desplegar un t\u00fanel o levantar una shell interactiva, ando investigando como podr\u00eda realizar esas acciones.<\/p>\n\n\n\n

Utilizando una cuenta de dominio de bajos privilegios, no se establece la sesi\u00f3n de manera correcta.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Si bien es una t\u00e9cnica poco convencional y requiere de varias condiciones para funcionar, existen escenarios donde podr\u00eda ser utilizada para pivoting sin mucha preocupaci\u00f3n de que un antivirus o EDR bloquee la ejecuci\u00f3n de binarios conocidos para esta tarea (chisel, ligolo-ng, Invoke-SocksProxy).<\/p>\n","protected":false},"excerpt":{"rendered":"

Continuando con las entradas relacionadas a explotaci\u00f3n sobre MSSQL, ahora exploraremos como explotar bases de datos enlazadas y la posibilidad de desplegar un servidor SSH “portable” a trav\u00e9s de una base de datos MSSQL con la funci\u00f3n “xp_cmdshell” habilitada y que utilice a un usuario de servicio. Configuraci\u00f3n de bases Continue Reading<\/i><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[34],"class_list":["post-432","post","type-post","status-publish","format-standard","hentry","category-p-rt","tag-rt-es"],"_links":{"self":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/432","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/comments?post=432"}],"version-history":[{"count":5,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/432\/revisions"}],"predecessor-version":[{"id":481,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/432\/revisions\/481"}],"wp:attachment":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/media?parent=432"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/categories?post=432"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/tags?post=432"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}