Mevcut durumda, yerel yönetici hakkı elde edilen bilgisayardaki MSSQL uygulamasında kimlik doğrulaması olarak Mixed Mod etkindir.
Ele geçirilen bilgisayarda, yerel yönetici haklarına sahip olunmuştur.
whoami
net user hacked
Ancak yerel yönetici hakları ile veritabanlarına erişim sağlanamamaktadır.
MS SQL Server 2012 öncesinde MSSQL servisi varsayılan olarak SYSTEM haklarıyla çalışır. Ancak MSSQLSERVER servisi kullanıcı hakları ile de çalışabilir. Servisi çalıştıran kullanıcı hesabı kullanılarak – kesin olmasa da – MSSQL üzerinde oturum açılabilir. Ele geçirilen bilgisayarda da, MSSQLSERVER servisinin SQLAjani adlı bir hesap ile çalıştırılmış olsun.
MSSQL uygulaması çalıştığı durumda, çalıştıran hesabın parolası, Mimikatz aracı kullanılarak RAM üzerinden açık olarak elde edilebilir.
privilege::debug
sekurlsa::wdigest
MSSQLSERVER servisini çalıştıran hesabın parolası elde edildikten sonra, bu bilgiler kullanılarak, uygulama üzerinde oturum açılabilmiştir.
Uyarı: Mimikatz aracının çalıştırılmasıyla iki adet kimlik bilgisi (Hacked/Hh123456 ve SqlAjani/Ss123456) elde edilmiştir. Hacked hesabı, saldırganın sahibi olduğu hesap, SqlAjani hesabı ise MSSQLSERVER servisinin çalıştığı kullanıcı hesabıdır. Eğer MSSQLSERVER servisini çalıştıran kullanıcı hesabı, Domain Admins grubu üyelerinden biri veya etki alanında yüksek yetkili (etki alanına kullanıcı ekleme, etki alanındaki kullanıcının grubuna değiştirebilme,… gibi yetkiler) ise, MSSQL sunucusunu ele geçiren saldırgan, tüm etki alanına dahil olan sistemlerde yetki sahibi olabilir. Bu sebeple, MSSQLSERVER (ve diğer) servislerin sadece gerekli yetkilere sahip hesaplar ile çalıştırılması tavsiye edilmektedir.
Uyarı: Kritik sistemlerde Mimikatz / WCE gibi araçların direk olarak çalıştırılmaması, LSASS.exe prosesinin dump dosyasının sanal bir makinede çalıştırılması tavsiye edilmektedir. Ayrıntılı bilgi için bakınız: https://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-connection-using-mimikatz-tool/