Re: SQLiから始めるRCE生活 / RCE via SQLi

Transcript

1. Re: SQLiから始めるRCE生活 2023/07/21 OSCP勉強会 #3 きとう

2. 自己紹介 なまえ • きとう、てきとう、tkito • Twitter: @tkito しゅみ • ゲームしたり海に潜ったり徳を積んだり

   2 おしごと • 企業でSOCの中の人とかIRとか Re: SQLiから始めるRCE生活

3. おことわり Re: SQLiから始めるRCE生活 3 今回はたぶん小ネタです

4. あらすじ Re: SQLiから始めるRCE生活 4 リモートコード実行したい！ 楽してシェル取りたい！

5. シェルが取れるまで Re: SQLiから始めるRCE生活 5 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット！ 別の攻略ポイントを探す

   くじけずに頑張る データを使って試行錯誤

6. シェルが取れるまで Re: SQLiから始めるRCE生活 6 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット！ 別の攻略ポイントを探す

   くじけずに頑張る データを使って試行錯誤 めんどい！

7. シェルが取れるまで Re: SQLiから始めるRCE生活 7 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット！ 別の攻略ポイントを探す

   くじけずに頑張る データを使って試行錯誤 ショートカットしたい！

8. そんなんできるの？ できる。そう、Microsoft SQL Serverならね。 Re: SQLiから始めるRCE生活 8 xp_cmdshellっていう すごいやつがいるんだ

9. xp_cmdshell • Microsoft SQL Serverにある機能 • https://learn.microsoft.com/ja-jp/sql/relational-databases/system-stored-procedures/xp-cmdshell- transact-sql?view=sql-server-ver16 Re: SQLiから始めるRCE生活

   9 正気か！？

10. xp_cmdshell • こんな感じで実行できる Re: SQLiから始めるRCE生活 10

11. xp_cmdshell • PowerShellも実行できる Re: SQLiから始めるRCE生活 11

12. そんなやばいもの放置していていいの？？？？？ • 安心してください、デフォルトでは無効です • https://learn.microsoft.com/ja-jp/sql/database-engine/configure-windows/xp-cmdshell-server- configuration-option?view=sql-server-ver16 Re: SQLiから始めるRCE生活 12

13. ほっと一安心…？ …その場で設定変更して実行できちゃう Re: SQLiから始めるRCE生活 13

14. 攻撃が成功する条件 • WebアプリにSQLインジェクションの脆弱性がある • DBのユーザがSysAdmin権限である • 設定の変更にはSysAdmin権限が必要 • デフォルトではxp_cmdshellの実行にも管理者権限が必要 •

    一般ユーザでも実行できるようにする設定は可能 Re: SQLiから始めるRCE生活 14

15. まとめ＆おわりに • SQLiでもRCEしたい！（別のタイトル候補） • xp_cmdshellという最高のコマンド • デフォルトでは無効だけれどSQL文書いて有効にできる • SysAdmin権限が必要 •

    Microsoft SQL Serverを使う際にはユーザの権限に気を付けましょう Re: SQLiから始めるRCE生活 15

16. おしまい きとう @tkito 16