Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Re: SQLiから始めるRCE生活 / RCE via SQLi
Search
tkito
July 21, 2023
Technology
0
320
Re: SQLiから始めるRCE生活 / RCE via SQLi
2023/07/21に開催されたOSCP勉強会のLT資料(軽量版)です。
https://off-sec-lab.connpass.com/event/286439/
tkito
July 21, 2023
Tweet
Share
More Decks by tkito
See All by tkito
あの頃(2000年頃)のインターネット / The Internet in the early 2000s
tkito
1
140
Boot2Rootをやろう / Let's play Boot2Root
tkito
0
1k
権限昇格がんばるぞい LinPEAS編 / Privilege escalation using LinPEAS
tkito
2
3.5k
Linuxでの権限昇格 / Privilege Escalation in Linux
tkito
0
1k
SOC-IRとOSCP / SOC-IR and OSCP
tkito
0
130
Other Decks in Technology
See All in Technology
Azure Durable Functions で作った NL2SQL Agent の精度向上に取り組んだ話/jat08
thara0402
0
180
GSIが複数キー対応したことで、俺達はいったい何が嬉しいのか?
smt7174
3
150
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
tatsukoni
0
210
~Everything as Codeを諦めない~ 後からCDK
mu7889yoon
3
340
小さく始めるBCP ― 多プロダクト環境で始める最初の一歩
kekke_n
1
410
IaaS/SaaS管理における SREの実践 - SRE Kaigi 2026
bbqallstars
4
2.2k
ZOZOにおけるAI活用の現在 ~開発組織全体での取り組みと試行錯誤~
zozotech
PRO
5
5.4k
AI駆動PjMの理想像 と現在地 -実践例を添えて-
masahiro_okamura
1
110
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3.8k
15 years with Rails and DDD (AI Edition)
andrzejkrzywda
0
190
20260208_第66回 コンピュータビジョン勉強会
keiichiito1978
0
130
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
68k
Featured
See All Featured
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
430
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
1
120
Design in an AI World
tapps
0
140
Paper Plane (Part 1)
katiecoart
PRO
0
4.2k
Documentation Writing (for coders)
carmenintech
77
5.3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
196
71k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
54
Faster Mobile Websites
deanohume
310
31k
WENDY [Excerpt]
tessaabrams
9
36k
Done Done
chrislema
186
16k
AI Search: Where Are We & What Can We Do About It?
aleyda
0
6.9k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
320
Transcript
Re: SQLiから始めるRCE生活 2023/07/21 OSCP勉強会 #3 きとう
自己紹介 なまえ • きとう、てきとう、tkito • Twitter: @tkito しゅみ • ゲームしたり海に潜ったり徳を積んだり
2 おしごと • 企業でSOCの中の人とかIRとか Re: SQLiから始めるRCE生活
おことわり Re: SQLiから始めるRCE生活 3 今回はたぶん小ネタです
あらすじ Re: SQLiから始めるRCE生活 4 リモートコード実行したい! 楽してシェル取りたい!
シェルが取れるまで Re: SQLiから始めるRCE生活 5 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤
シェルが取れるまで Re: SQLiから始めるRCE生活 6 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤 めんどい!
シェルが取れるまで Re: SQLiから始めるRCE生活 7 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤 ショートカットしたい!
そんなんできるの? できる。そう、Microsoft SQL Serverならね。 Re: SQLiから始めるRCE生活 8 xp_cmdshellっていう すごいやつがいるんだ
xp_cmdshell • Microsoft SQL Serverにある機能 • https://learn.microsoft.com/ja-jp/sql/relational-databases/system-stored-procedures/xp-cmdshell- transact-sql?view=sql-server-ver16 Re: SQLiから始めるRCE生活
9 正気か!?
xp_cmdshell • こんな感じで実行できる Re: SQLiから始めるRCE生活 10
xp_cmdshell • PowerShellも実行できる Re: SQLiから始めるRCE生活 11
そんなやばいもの放置していていいの????? • 安心してください、デフォルトでは無効です • https://learn.microsoft.com/ja-jp/sql/database-engine/configure-windows/xp-cmdshell-server- configuration-option?view=sql-server-ver16 Re: SQLiから始めるRCE生活 12
ほっと一安心…? …その場で設定変更して実行できちゃう Re: SQLiから始めるRCE生活 13
攻撃が成功する条件 • WebアプリにSQLインジェクションの脆弱性がある • DBのユーザがSysAdmin権限である • 設定の変更にはSysAdmin権限が必要 • デフォルトではxp_cmdshellの実行にも管理者権限が必要 •
一般ユーザでも実行できるようにする設定は可能 Re: SQLiから始めるRCE生活 14
まとめ&おわりに • SQLiでもRCEしたい!(別のタイトル候補) • xp_cmdshellという最高のコマンド • デフォルトでは無効だけれどSQL文書いて有効にできる • SysAdmin権限が必要 •
Microsoft SQL Serverを使う際にはユーザの権限に気を付けましょう Re: SQLiから始めるRCE生活 15
おしまい きとう @tkito 16
tkito
thara0402
smt7174
tatsukoni
mu7889yoon
kekke_n
bbqallstars
zozotech
masahiro_okamura
sansan33
andrzejkrzywda
keiichiito1978
inesmontani
stephenakadiri
tapps
katiecoart
carmenintech
soudai
akademiya2063
deanohume
tessaabrams
chrislema
aleyda
chikuwait
