Yerel Yönetici Hakları ile Oturum Elde Edilen Bilgisayarda MSSQLSERVER Servisini Çalıştıran Hesabın Parolasını Elde Ederek MS SQL Veritabanına Erişim Sağlanması

Sızma testlerinde MSSQL yüklü bilgisayarda yerel yönetici hakkına sahip olduktan sonra, veritabanına direk olarak erişime sahip olunamayabilir. Bu yazıda, MSSQL sunucu bilgisayarda yerel yönetici iken, uygulamaya giriş yapabilmek için, MSSQL servisini çalıştıran kullanıcı hesabına ait parolanın açık hali elde edilecektir.

Mevcut durumda, yerel yönetici hakkı elde edilen bilgisayardaki MSSQL uygulamasında kimlik doğrulaması olarak Mixed Mod etkindir.

gaining-access-to-mssql-database-from-operating-system-privileges-by-obtaining-clear-text-password-of-mssql-service-user-01

Ele geçirilen bilgisayarda, yerel yönetici haklarına sahip olunmuştur.

whoami
net user hacked

gaining-access-to-mssql-database-from-operating-system-privileges-by-obtaining-clear-text-password-of-mssql-service-user-02

Ancak yerel yönetici hakları ile veritabanlarına erişim sağlanamamaktadır.

gaining-access-to-mssql-database-from-operating-system-privileges-by-obtaining-clear-text-password-of-mssql-service-user-03

MS SQL Server 2012 öncesinde MSSQL servisi varsayılan olarak SYSTEM haklarıyla çalışır. Ancak MSSQLSERVER servisi kullanıcı hakları ile de çalışabilir. Servisi çalıştıran kullanıcı hesabı kullanılarak – kesin olmasa da – MSSQL üzerinde oturum açılabilir. Ele geçirilen bilgisayarda da, MSSQLSERVER servisinin SQLAjani adlı bir hesap ile çalıştırılmış olsun.

gaining-access-to-mssql-database-from-operating-system-privileges-by-obtaining-clear-text-password-of-mssql-service-user-04

MSSQL uygulaması çalıştığı durumda, çalıştıran hesabın parolası, Mimikatz aracı kullanılarak RAM üzerinden açık olarak elde edilebilir.

privilege::debug
sekurlsa::wdigest

gaining-access-to-mssql-database-from-operating-system-privileges-by-obtaining-clear-text-password-of-mssql-service-user-05

MSSQLSERVER servisini çalıştıran hesabın parolası elde edildikten sonra, bu bilgiler kullanılarak, uygulama üzerinde oturum açılabilmiştir.

gaining-access-to-mssql-database-from-operating-system-privileges-by-obtaining-clear-text-password-of-mssql-service-user-06

Uyarı: Mimikatz aracının çalıştırılmasıyla iki adet kimlik bilgisi (Hacked/Hh123456 ve SqlAjani/Ss123456) elde edilmiştir. Hacked hesabı, saldırganın sahibi olduğu hesap, SqlAjani hesabı ise MSSQLSERVER servisinin çalıştığı kullanıcı hesabıdır. Eğer MSSQLSERVER servisini çalıştıran kullanıcı hesabı, Domain Admins grubu üyelerinden biri veya etki alanında yüksek yetkili (etki alanına kullanıcı ekleme, etki alanındaki kullanıcının grubuna değiştirebilme,… gibi yetkiler) ise, MSSQL sunucusunu ele geçiren saldırgan, tüm etki alanına dahil olan sistemlerde yetki sahibi olabilir. Bu sebeple, MSSQLSERVER (ve diğer) servislerin sadece gerekli yetkilere sahip hesaplar ile çalıştırılması tavsiye edilmektedir.

Uyarı: Kritik sistemlerde Mimikatz / WCE gibi araçların direk olarak çalıştırılmaması, LSASS.exe prosesinin dump dosyasının sanal bir makinede çalıştırılması tavsiye edilmektedir. Ayrıntılı bilgi için bakınız: http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-connection-using-mimikatz-tool/

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.