【大白分享】渗透安全之MSSQL日志分析篇
  

山东_朱文鑫 40502人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2023-6-18 22:25 编辑

大家好,我是大白,光阴有脚当珍惜,书田无税应勤耕。依旧感谢各位小伙伴的一路支持与陪伴。



今天分享大白的渗透安全之MSSQL日志分析篇,我们本次依旧进行日志分析的MSSQL日志,同样还是对于好多小伙伴来说,这个更加偏向于安服,总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要,我们可以一同研习一下渗透攻防的“魅力”。

*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!




MSSQL是指微软的SQLServer数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个数据库管理系统,用于建立、使用和维护数据库。



SQL Server一开始并不是微软自己研发的产品,而是当时为了要和IBM竞争时,与Sybase合作所产生的,其最早的发展者是Sybase,同时微软也和Sybase合作过 SQL Server 4.2版本的研发,微软亦将SQL Server 4.2移植到Windows NT(当时为3.1版),在与Sybase终止合作关系后,自力开发出SQL Server 6.0版,往后的SQL Server即均由微软自行研发。



常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。

MSSQL的结构
SQL Server采用单进程、多线程多系统结构、客户端/服务器体系结构,并且支持分布式数据库结构。



单进程多线程的系统结构
SQL Server 采用单进程、多线程结构,由执行 核心即线程来分配多用户对数据库的存取,这样减少了多进程方式对数据库存取时的协调时间,提高 了执行效率。由于是单进程,它就不需要进程之间 的通信机制。线程的操作由数据库引擎来指定,在 执行时把这些指令发送给操作系统。

客户端/服务器体系结构

SQL Server 是客户端/服务器系统设计的,需要用户频繁干预的任务,如输入、显 示数据等,由客户端完成;而对于数据库的存取和控制任务,则由服务器完成。当用户需要 读取数据库中的数据时,就会通过网络向服务器提出申请,服务器对客户端的数据库请求做 出相应的处理,然后仅将结果传给客户端,这样就大大减少了网络流量。

在 SQL Server 中,有一个包含 1024 个工作线程的线程池,用以响应用户的连接请求。SQL Server 为不同的用途准备了不同的线程池,包括磁盘备份管理、用户连接等。

MSSQL日志分析

首先,MSSQL数据库应启用日志记录功能,默认配置仅限失败的登录,需修改为失败和成功的登录,这样就可以对用户登录进行审核。



登录到SQL Server Management Studio,依次点击 管理--SQL Server 日志




双击日志存档文件即可打开日志文件查看器,并可以对日志进行筛选或者导出等操作。




另外,MSSQ提供了一个工具SQL Server Profiler ,方便查找和发现SQL执行的效率和语句问题。




日志分析案例:

在日志文件查看器中,选择筛选,在筛选设置中源设置为“登录”,应用筛选器,确定。



筛选后的结果,可以很清晰的识别用户登录信息,记录内容包括用户登录时间、登录是否成功、登录使用的账号以及远程登录时用户使用的IP地址。

如下图:进行尝试弱口令登录,并发现其中有一条登录成功的记录。



SQL注入入侵痕迹
在利用SQL注入漏洞的过程中,我们会尝试利用sqlmap的--os-shell参数取得shell,如操作不慎,可能留下一些sqlmap创建的临时表和自定义函数。我们先来看一下sqlmap os-shell参数的用法以及原理:

1、构造一个SQL注入点,开启Burp监听8080端口

  1. sqlmap.py -u http://IP/sql.asp?id=1 --os-shell --proxy=http://127.0.0.1:8080
复制代码

HTTP通讯过程如下:

创建了一个临时表sqlmapoutput,调用存储过程执行系统命令将数据写入临时表,然后取临时表中的数据展示到前端。

通过查看数据库中最近新建的表的结构和内容,可以判断是否发生过sql注入漏洞攻击事件。

检查方法:

1、数据库表检查

2、检查xp_cmdshell等存储过程

xp_cmdshell在mssql2005之后的版本中是默认禁止的,查看xp_cmdshell是否被启用。

`Exec master.dbo.xp_cmdshell 'whoami'

3、需要结合web日志,通过查看日志文件的大小以及审计日志文件中的内容,可以判断是否发生过sql注入漏洞攻击事件。

*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!


以上就是本次的渗透安全之MSSQL日志分析篇,一句忠告:业务备份一时不做一时爽,问题出现两行泪,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!

励志分享超清壁纸语句~~:



诚,乃信之本;无诚,何以言信?诚而有信,乃为人生。


好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
10人已打赏

新手719320 发表于 2023-6-19 14:44
  
楼主的文章图文并茂,清晰易懂,期待楼主更多精彩的分享
新手741261 发表于 2023-6-20 15:05
  
楼主分享的案例很实用,具有典型性
新手612152 发表于 2023-6-20 15:12
  
楼主分享的案例很实用,具有典型性
一个无趣的人 发表于 2023-6-24 16:00
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
平凡的小网工 发表于 2023-6-24 16:03
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
zjwshenxian 发表于 2023-6-25 11:11
  
楼主的文章图文并茂,清晰易懂,期待楼主更多精彩的分享
慈行普度 发表于 2023-6-25 16:27
  
感谢分享有助于工资和学习!
新手378833 发表于 2023-7-24 12:31
  
感谢分享有助于工资和学习!
飞翔的苹果 发表于 2023-9-7 08:15
  
感谢楼主分享,努力学习中!!!!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人