Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Re: SQLiから始めるRCE生活 / RCE via SQLi
Search
tkito
July 21, 2023
Technology
0
320
Re: SQLiから始めるRCE生活 / RCE via SQLi
2023/07/21に開催されたOSCP勉強会のLT資料(軽量版)です。
https://off-sec-lab.connpass.com/event/286439/
tkito
July 21, 2023
Tweet
Share
More Decks by tkito
See All by tkito
あの頃(2000年頃)のインターネット / The Internet in the early 2000s
tkito
1
130
Boot2Rootをやろう / Let's play Boot2Root
tkito
0
1k
権限昇格がんばるぞい LinPEAS編 / Privilege escalation using LinPEAS
tkito
2
3.4k
Linuxでの権限昇格 / Privilege Escalation in Linux
tkito
0
980
SOC-IRとOSCP / SOC-IR and OSCP
tkito
0
130
Other Decks in Technology
See All in Technology
Databricks向けJupyter Kernelでデータサイエンティストの開発環境をAI-Readyにする / Data+AI World Tour Tokyo After Party
genda
1
610
フィッシュボウルのやり方 / How to do a fishbowl
pauli
2
270
Connection-based OAuthから学ぶOAuth for AI Agents
flatt_security
0
150
マイクロサービスへの5年間 ぶっちゃけ何をしてどうなったか
joker1007
17
7.1k
AgentCoreとStrandsで社内d払いナレッジボットを作った話
motojimayu
1
230
20251219 OpenIDファウンデーション・ジャパン紹介 / OpenID Foundation Japan Intro
oidfj
0
310
Amazon Bedrock Knowledge Bases × メタデータ活用で実現する検証可能な RAG 設計
tomoaki25
6
1.5k
Sansanが実践する Platform EngineeringとSREの協創
sansantech
PRO
2
960
Jakarta Agentic AI Specification - Status and Future
reza_rahman
0
120
Bedrock AgentCore Memoryの新機能 (Episode) を試してみた / try Bedrock AgentCore Memory Episodic functionarity
hoshi7_n
2
990
AWS re:Invent 2025~初参加の成果と学び~
kubomasataka
0
150
re:Invent 2025 ~何をする者であり、どこへいくのか~
tetutetu214
0
230
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
73
11k
Designing for Performance
lara
610
69k
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
How Software Deployment tools have changed in the past 20 years
geshan
0
29k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
115
91k
Accessibility Awareness
sabderemane
0
16
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
87
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
0
67
Navigating Weather and Climate Data
rabernat
0
44
The Art of Programming - Codeland 2020
erikaheidi
56
14k
A designer walks into a library…
pauljervisheath
210
24k
Are puppies a ranking factor?
jonoalderson
0
2.3k
Transcript
Re: SQLiから始めるRCE生活 2023/07/21 OSCP勉強会 #3 きとう
自己紹介 なまえ • きとう、てきとう、tkito • Twitter: @tkito しゅみ • ゲームしたり海に潜ったり徳を積んだり
2 おしごと • 企業でSOCの中の人とかIRとか Re: SQLiから始めるRCE生活
おことわり Re: SQLiから始めるRCE生活 3 今回はたぶん小ネタです
あらすじ Re: SQLiから始めるRCE生活 4 リモートコード実行したい! 楽してシェル取りたい!
シェルが取れるまで Re: SQLiから始めるRCE生活 5 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤
シェルが取れるまで Re: SQLiから始めるRCE生活 6 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤 めんどい!
シェルが取れるまで Re: SQLiから始めるRCE生活 7 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤 ショートカットしたい!
そんなんできるの? できる。そう、Microsoft SQL Serverならね。 Re: SQLiから始めるRCE生活 8 xp_cmdshellっていう すごいやつがいるんだ
xp_cmdshell • Microsoft SQL Serverにある機能 • https://learn.microsoft.com/ja-jp/sql/relational-databases/system-stored-procedures/xp-cmdshell- transact-sql?view=sql-server-ver16 Re: SQLiから始めるRCE生活
9 正気か!?
xp_cmdshell • こんな感じで実行できる Re: SQLiから始めるRCE生活 10
xp_cmdshell • PowerShellも実行できる Re: SQLiから始めるRCE生活 11
そんなやばいもの放置していていいの????? • 安心してください、デフォルトでは無効です • https://learn.microsoft.com/ja-jp/sql/database-engine/configure-windows/xp-cmdshell-server- configuration-option?view=sql-server-ver16 Re: SQLiから始めるRCE生活 12
ほっと一安心…? …その場で設定変更して実行できちゃう Re: SQLiから始めるRCE生活 13
攻撃が成功する条件 • WebアプリにSQLインジェクションの脆弱性がある • DBのユーザがSysAdmin権限である • 設定の変更にはSysAdmin権限が必要 • デフォルトではxp_cmdshellの実行にも管理者権限が必要 •
一般ユーザでも実行できるようにする設定は可能 Re: SQLiから始めるRCE生活 14
まとめ&おわりに • SQLiでもRCEしたい!(別のタイトル候補) • xp_cmdshellという最高のコマンド • デフォルトでは無効だけれどSQL文書いて有効にできる • SysAdmin権限が必要 •
Microsoft SQL Serverを使う際にはユーザの権限に気を付けましょう Re: SQLiから始めるRCE生活 15
おしまい きとう @tkito 16
tkito
genda
pauli
flatt_security
joker1007
motojimayu
oidfj
tomoaki25
sansantech
reza_rahman
hoshi7_n
kubomasataka
tetutetu214
sonatard
lara
keithpitt
geshan
twada
sabderemane
katarinadahlin
rabernat
erikaheidi
pauljervisheath
jonoalderson
