Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Re: SQLiから始めるRCE生活 / RCE via SQLi
Search
tkito
July 21, 2023
Technology
0
250
Re: SQLiから始めるRCE生活 / RCE via SQLi
2023/07/21に開催されたOSCP勉強会のLT資料(軽量版)です。
https://off-sec-lab.connpass.com/event/286439/
tkito
July 21, 2023
Tweet
Share
More Decks by tkito
See All by tkito
Boot2Rootをやろう / Let's play Boot2Root
tkito
0
750
権限昇格がんばるぞい LinPEAS編 / Privilege escalation using LinPEAS
tkito
1
2.4k
Linuxでの権限昇格 / Privilege Escalation in Linux
tkito
0
680
SOC-IRとOSCP / SOC-IR and OSCP
tkito
0
100
Other Decks in Technology
See All in Technology
カップ麺の待ち時間(3分)でわかるPartyRockアップデート
ryutakondo
0
140
Reactフレームワークプロダクトを モバイルアプリにして、もっと便利に。 ユーザに価値を届けよう。/React Framework with Capacitor
rdlabo
0
130
AWS Community Builderのススメ - みんなもCommunity Builderに応募しよう! -
smt7174
0
180
駆け出しリーダーとしての第一歩〜開発チームとの新しい関わり方〜 / Beginning Journey as Team Leader
kaonavi
0
120
[IBM TechXchange Dojo]Watson Discoveryとwatsonx.aiでRAGを実現!事例のご紹介+座学②
siyuanzh09
0
110
CDKのコードレビューを楽にするパッケージcdk-mentorを作ってみた/cdk-mentor
tomoki10
0
210
実践! ソフトウェアエンジニアリングの価値の計測 ── Effort、Output、Outcome、Impact
nomuson
0
2.1k
自社 200 記事を元に整理した読みやすいテックブログを書くための Tips 集
masakihirose
2
330
東京Ruby会議12 Ruby と Rust と私 / Tokyo RubyKaigi 12 Ruby, Rust and me
eagletmt
3
870
JuliaTokaiとJuliaLangJaの紹介 for NGK2025S
antimon2
1
120
Visual StudioとかIDE関連小ネタ話
kosmosebi
1
370
あなたの人生も変わるかも?AWS認定2つで始まったウソみたいな話
iwamot
3
850
Featured
See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Making the Leap to Tech Lead
cromwellryan
133
9k
Gamification - CAS2011
davidbonilla
80
5.1k
Music & Morning Musume
bryan
46
6.3k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.3k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
570
YesSQL, Process and Tooling at Scale
rocio
170
14k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Testing 201, or: Great Expectations
jmmastey
41
7.2k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
How to train your dragon (web standard)
notwaldorf
89
5.8k
How STYLIGHT went responsive
nonsquared
96
5.3k
Transcript
Re: SQLiから始めるRCE生活 2023/07/21 OSCP勉強会 #3 きとう
自己紹介 なまえ • きとう、てきとう、tkito • Twitter: @tkito しゅみ • ゲームしたり海に潜ったり徳を積んだり
2 おしごと • 企業でSOCの中の人とかIRとか Re: SQLiから始めるRCE生活
おことわり Re: SQLiから始めるRCE生活 3 今回はたぶん小ネタです
あらすじ Re: SQLiから始めるRCE生活 4 リモートコード実行したい! 楽してシェル取りたい!
シェルが取れるまで Re: SQLiから始めるRCE生活 5 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤
シェルが取れるまで Re: SQLiから始めるRCE生活 6 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤 めんどい!
シェルが取れるまで Re: SQLiから始めるRCE生活 7 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤 ショートカットしたい!
そんなんできるの? できる。そう、Microsoft SQL Serverならね。 Re: SQLiから始めるRCE生活 8 xp_cmdshellっていう すごいやつがいるんだ
xp_cmdshell • Microsoft SQL Serverにある機能 • https://learn.microsoft.com/ja-jp/sql/relational-databases/system-stored-procedures/xp-cmdshell- transact-sql?view=sql-server-ver16 Re: SQLiから始めるRCE生活
9 正気か!?
xp_cmdshell • こんな感じで実行できる Re: SQLiから始めるRCE生活 10
xp_cmdshell • PowerShellも実行できる Re: SQLiから始めるRCE生活 11
そんなやばいもの放置していていいの????? • 安心してください、デフォルトでは無効です • https://learn.microsoft.com/ja-jp/sql/database-engine/configure-windows/xp-cmdshell-server- configuration-option?view=sql-server-ver16 Re: SQLiから始めるRCE生活 12
ほっと一安心…? …その場で設定変更して実行できちゃう Re: SQLiから始めるRCE生活 13
攻撃が成功する条件 • WebアプリにSQLインジェクションの脆弱性がある • DBのユーザがSysAdmin権限である • 設定の変更にはSysAdmin権限が必要 • デフォルトではxp_cmdshellの実行にも管理者権限が必要 •
一般ユーザでも実行できるようにする設定は可能 Re: SQLiから始めるRCE生活 14
まとめ&おわりに • SQLiでもRCEしたい!(別のタイトル候補) • xp_cmdshellという最高のコマンド • デフォルトでは無効だけれどSQL文書いて有効にできる • SysAdmin権限が必要 •
Microsoft SQL Serverを使う際にはユーザの権限に気を付けましょう Re: SQLiから始めるRCE生活 15
おしまい きとう @tkito 16
tkito
ryutakondo
rdlabo
smt7174
kaonavi
siyuanzh09
tomoki10
nomuson
masakihirose
eagletmt
antimon2
kosmosebi
iwamot
productmarketing
cromwellryan
davidbonilla
bryan
tammyeverts
rocio
scottboms
jmmastey
jnunemaker
notwaldorf
nonsquared
