Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Re: SQLiから始めるRCE生活 / RCE via SQLi
Search
tkito
July 21, 2023
Technology
0
290
Re: SQLiから始めるRCE生活 / RCE via SQLi
2023/07/21に開催されたOSCP勉強会のLT資料(軽量版)です。
https://off-sec-lab.connpass.com/event/286439/
tkito
July 21, 2023
Tweet
Share
More Decks by tkito
See All by tkito
あの頃(2000年頃)のインターネット / The Internet in the early 2000s
tkito
1
120
Boot2Rootをやろう / Let's play Boot2Root
tkito
0
910
権限昇格がんばるぞい LinPEAS編 / Privilege escalation using LinPEAS
tkito
1
3k
Linuxでの権限昇格 / Privilege Escalation in Linux
tkito
0
840
SOC-IRとOSCP / SOC-IR and OSCP
tkito
0
120
Other Decks in Technology
See All in Technology
5年目から始める Vue3 サイト改善 #frontendo
tacck
PRO
3
230
Modern Linux
oracle4engineer
PRO
0
150
なぜスクラムはこうなったのか?歴史が教えてくれたこと/Shall we explore the roots of Scrum
sanogemaru
5
1.6k
Codeful Serverless / 一人運用でもやり抜く力
_kensh
7
450
Unlocking the Power of AI Agents with LINE Bot MCP Server
linedevth
0
110
LLMを搭載したプロダクトの品質保証の模索と学び
qa
0
1.1k
「どこから読む?」コードとカルチャーに最速で馴染むための実践ガイド
zozotech
PRO
0
540
新規プロダクトでプロトタイプから正式リリースまでNext.jsで開発したリアル
kawanoriku0
1
160
LLM時代のパフォーマンスチューニング:MongoDB運用で試したコンテキスト活用の工夫
ishikawa_pro
0
160
Firestore → Spanner 移行 を成功させた段階的移行プロセス
athug
1
490
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
10
75k
下手な強制、ダメ!絶対! 「ガードレール」を「檻」にさせない"ガバナンス"の取り方とは?
tsukaman
2
450
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
30
9.7k
Docker and Python
trallard
46
3.6k
Faster Mobile Websites
deanohume
309
31k
What's in a price? How to price your products and services
michaelherold
246
12k
Making the Leap to Tech Lead
cromwellryan
135
9.5k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.1k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
61k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
How to Ace a Technical Interview
jacobian
279
23k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.4k
Transcript
Re: SQLiから始めるRCE生活 2023/07/21 OSCP勉強会 #3 きとう
自己紹介 なまえ • きとう、てきとう、tkito • Twitter: @tkito しゅみ • ゲームしたり海に潜ったり徳を積んだり
2 おしごと • 企業でSOCの中の人とかIRとか Re: SQLiから始めるRCE生活
おことわり Re: SQLiから始めるRCE生活 3 今回はたぶん小ネタです
あらすじ Re: SQLiから始めるRCE生活 4 リモートコード実行したい! 楽してシェル取りたい!
シェルが取れるまで Re: SQLiから始めるRCE生活 5 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤
シェルが取れるまで Re: SQLiから始めるRCE生活 6 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤 めんどい!
シェルが取れるまで Re: SQLiから始めるRCE生活 7 Reconで空いてるポートを探す Webサーバが立ってる SQLインジェクションできる データを抜き出す シェルゲット! 別の攻略ポイントを探す
くじけずに頑張る データを使って試行錯誤 ショートカットしたい!
そんなんできるの? できる。そう、Microsoft SQL Serverならね。 Re: SQLiから始めるRCE生活 8 xp_cmdshellっていう すごいやつがいるんだ
xp_cmdshell • Microsoft SQL Serverにある機能 • https://learn.microsoft.com/ja-jp/sql/relational-databases/system-stored-procedures/xp-cmdshell- transact-sql?view=sql-server-ver16 Re: SQLiから始めるRCE生活
9 正気か!?
xp_cmdshell • こんな感じで実行できる Re: SQLiから始めるRCE生活 10
xp_cmdshell • PowerShellも実行できる Re: SQLiから始めるRCE生活 11
そんなやばいもの放置していていいの????? • 安心してください、デフォルトでは無効です • https://learn.microsoft.com/ja-jp/sql/database-engine/configure-windows/xp-cmdshell-server- configuration-option?view=sql-server-ver16 Re: SQLiから始めるRCE生活 12
ほっと一安心…? …その場で設定変更して実行できちゃう Re: SQLiから始めるRCE生活 13
攻撃が成功する条件 • WebアプリにSQLインジェクションの脆弱性がある • DBのユーザがSysAdmin権限である • 設定の変更にはSysAdmin権限が必要 • デフォルトではxp_cmdshellの実行にも管理者権限が必要 •
一般ユーザでも実行できるようにする設定は可能 Re: SQLiから始めるRCE生活 14
まとめ&おわりに • SQLiでもRCEしたい!(別のタイトル候補) • xp_cmdshellという最高のコマンド • デフォルトでは無効だけれどSQL文書いて有効にできる • SysAdmin権限が必要 •
Microsoft SQL Serverを使う際にはユーザの権限に気を付けましょう Re: SQLiから始めるRCE生活 15
おしまい きとう @tkito 16
tkito
tacck
oracle4engineer
sanogemaru
_kensh
linedevth
qa
zozotech
kawanoriku0
ishikawa_pro
athug
tsukaman
eileencodes
trallard
deanohume
michaelherold
cromwellryan
zakiyama
afnizarnur
lemiorhan
sugarenia
jacobian
thoeni
