在不需要知道密码的情况下hackingmssql-ricter.pdfVIP

原原文文地地址址:/tips/12749 本文翻译自：/hacking-microsoft-sql-server-without-a-password/ 原作者：Rick Osgood 版权归原作者所有 0x01 前前言言 在最近的一次渗透测试中，我 包的时候无意中注意到一些没被加密的 MSS L 流量。因为语法摆在那里，不会弄错。最开始我以为这是一个可以 到认证凭证的方法，然而，MSS L 加密 了登录流量，这意味着我不得不去破解它的加密算法来获得凭证。如果安装 MSS L 的时候用了一个自签发证书，那么很简单的就可以破解了。 不过不幸的事，破解 MSS L 加密并不在和这个客户签订的协议的范围中。所以我只能把我的好奇心放在一边，然后继续完成这次渗透测试。然而我却情不自禁的去想这件事应该有猫腻。是 不是这是一种不用任何凭据去攻击 MSS L 的方法呢？我决定去实验室验证我的假说。 最终我仅通过很少的一部分数据包 hacking，我就可以控制 MSS L，不用去偷取任何的凭据，仅仅通过中间人攻击就可以做到。 0x02 中中间间人人 回到实验室后，我开始研究。为了我的进一步研究，我在 Windows Server 2012 R2 上运行了 MSS L Server 2014 Express。客户机是一台 Windows 10 系统，上面跑了 MSS L Management Studio 2014。我的攻击机是一台新安装的 Kali 2.0。所有的机器在同一个子网里，以模拟在内网的攻击。这个环境和我在客户那边的环境几乎一模一样。 这类攻击是 MITM，Anitian 做过很多这类攻击，正如我们在 hacking 基础设施设备上有很多专长。MITM 典型的方式是执行某种重定向，像 ARP 缓存投毒 （在某些环境下仍然可以用）一样， 强行让在两个系统之间的流量重定向到攻击者的计算机上。这可以让攻击者不仅可以看见所有受害者的数据，而且可以控制这些流量。 这就是我想要做的。 0x03 理理解解数数据据 我需要了解的第一件事就是 MSS L query 流量。为了让这次测试更有意思一点，我用 sa 账户登录 MSS L。sa 是 MSS L 的 system admin 账户，可以做任何你想要做的奇奇怪怪的事情。如果 我的实验成功了，那么我可以利用 sa 的权限做一些有趣的事情。 登陆后，我在 MSS L 服务器上打开 Wireshark 2.0，开始 包。我用 “tds.query” 的 filter 在 Wireshark 上过滤，这样就可以隐藏其他乱七八糟的流量，仅现实 TDS 查询包了。 （顺便一提啊，我 发现“tds.query” filter 在老版本的 Wireshark 上不受支持） 流量的同时，接着我切回到工作站然后在我建立的测试数据库上执行了一条 MSS L 查询语句。这个数据库叫做 testdb，只有一个叫做 Products 的表。Products 表有两个字段：ProductID 和 ProductName。虽然里面没有任何数据，但是这次测试并不需要数据。这条查询语句的意思是从指定的数据库的表里获取所有的数据。 查询成功执行了，然后返回了空的表。你可以看见字段在截图的右下方列出来了。切回到 Wireshark，我停止 包然后看了下 到的数据。我注意到一个 TDS 查询包，然后点击这个数据包， 让它里面所有的数据在我面前显示出来。MSS L Server 2014 Express 默认没有任何加密，所我我可以分分钟看到它的数据。 看在中心窗格底下被解码的数据，很容易的辨识出这个查询。它甚至包含回车和换行符。注意到的比较有意思的是，在两个字节之间会有一个空字节 （0x00）。这在下面窗格的 raw data 种是 很明显的。Wireshark 显示了这些字节的周期特征，但是真的，这都是空字节。这意味着我并不能直接寻找 “select”，我不得不在稍后的搜索中考虑这些空字节，而且在最终我要替换的数据中 也要插入这些空字节。 0x04 和和 Ettercap Filters 的的愉愉 快快的的事事情情 现在我知道了数据的样子，我试图找一种方式去操控这些数据。我决定用 Ettercap 。Ettercap 是一个专门为 MITM 攻击设计的工具，同时它也有一个内置的功能，叫做 Ettercap filters。一个 filter