Re: SQLiから始めるRCE生活 2023/07/21 OSCP勉強会 #3 きとう 

自己紹介 なまえ • きとう、てきとう、tkito • Twitter: @tkito しゅみ • ゲームしたり海に潜ったり徳を積んだり 2 おしごと • 企業でSOCの中の人とかIRとか Re: SQLiから始めるRCE生活 

おことわり Re: SQLiから始めるRCE生活 3 今回はたぶん小ネタです 

あらすじ Re: SQLiから始めるRCE生活 4 リモートコード実行したい！ 楽してシェル取りたい！ 

シェルが取れるまで Re: SQLiから始めるRCE生活 5 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット！ 別の攻略ポイントを探す くじけずに頑張る データを使って試行錯誤 

シェルが取れるまで Re: SQLiから始めるRCE生活 6 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット！ 別の攻略ポイントを探す くじけずに頑張る データを使って試行錯誤 めんどい！ 

シェルが取れるまで Re: SQLiから始めるRCE生活 7 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット！ 別の攻略ポイントを探す くじけずに頑張る データを使って試行錯誤 ショートカットしたい！ 

そんなんできるの？ できる。そう、Microsoft SQL Serverならね。 Re: SQLiから始めるRCE生活 8 xp_cmdshellっていう すごいやつがいるんだ 

xp_cmdshell • Microsoft SQL Serverにある機能 • https://learn.microsoft.com/ja-jp/sql/relational-databases/system-stored-procedures/xp-cmdshell- transact-sql?view=sql-server-ver16 Re: SQLiから始めるRCE生活 9 正気か！？ 

xp_cmdshell • こんな感じで実行できる Re: SQLiから始めるRCE生活 10 

xp_cmdshell • PowerShellも実行できる Re: SQLiから始めるRCE生活 11 

そんなやばいもの放置していていいの？？？？？ • 安心してください、デフォルトでは無効です • https://learn.microsoft.com/ja-jp/sql/database-engine/configure-windows/xp-cmdshell-server- configuration-option?view=sql-server-ver16 Re: SQLiから始めるRCE生活 12 

ほっと一安心…？ …その場で設定変更して実行できちゃう Re: SQLiから始めるRCE生活 13 

攻撃が成功する条件 • WebアプリにSQLインジェクションの脆弱性がある • DBのユーザがSysAdmin権限である • 設定の変更にはSysAdmin権限が必要 • デフォルトではxp_cmdshellの実行にも管理者権限が必要 • 一般ユーザでも実行できるようにする設定は可能 Re: SQLiから始めるRCE生活 14 

まとめ＆おわりに • SQLiでもRCEしたい！（別のタイトル候補） • xp_cmdshellという最高のコマンド • デフォルトでは無効だけれどSQL文書いて有効にできる • SysAdmin権限が必要 • Microsoft SQL Serverを使う際にはユーザの権限に気を付けましょう Re: SQLiから始めるRCE生活 15 

おしまい きとう @tkito 16