【大白分享】渗透安全之MSSQL日志分析篇

大家好，我是大白，光阴有脚当珍惜,书田无税应勤耕。依旧感谢各位小伙伴的一路支持与陪伴。

今天分享大白的渗透安全之MSSQL日志分析篇，我们本次依旧进行日志分析的MSSQL日志，同样还是对于好多小伙伴来说，这个更加偏向于安服，总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要，我们可以一同研习一下渗透攻防的“魅力”。

*本篇章将本着学习的态度进行分享，严禁用于个人非法行为以及黑产获取！！！！

MSSQL是指微软的SQLServer数据库服务器，它是一个数据库平台，提供数据库的从服务器到终端的完整的解决方案，其中数据库服务器部分，是一个数据库管理系统，用于建立、使用和维护数据库。

SQL Server一开始并不是微软自己研发的产品，而是当时为了要和IBM竞争时，与Sybase合作所产生的，其最早的发展者是Sybase，同时微软也和Sybase合作过 SQL Server 4.2版本的研发，微软亦将SQL Server 4.2移植到Windows NT（当时为3.1版），在与Sybase终止合作关系后，自力开发出SQL Server 6.0版，往后的SQL Server即均由微软自行研发。

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。

MSSQL的结构

SQL Server采用单进程、多线程多系统结构、客户端/服务器体系结构，并且支持分布式数据库结构。

单进程多线程的系统结构

SQL Server 采用单进程、多线程结构，由执行 核心即线程来分配多用户对数据库的存取，这样减少了多进程方式对数据库存取时的协调时间，提高 了执行效率。由于是单进程，它就不需要进程之间 的通信机制。线程的操作由数据库引擎来指定，在 执行时把这些指令发送给操作系统。

客户端/服务器体系结构

SQL Server 是客户端/服务器系统设计的，需要用户频繁干预的任务，如输入、显 示数据等，由客户端完成；而对于数据库的存取和控制任务，则由服务器完成。当用户需要 读取数据库中的数据时，就会通过网络向服务器提出申请，服务器对客户端的数据库请求做 出相应的处理，然后仅将结果传给客户端，这样就大大减少了网络流量。

在 SQL Server 中，有一个包含 1024 个工作线程的线程池，用以响应用户的连接请求。SQL Server 为不同的用途准备了不同的线程池，包括磁盘备份管理、用户连接等。

MSSQL日志分析

首先，MSSQL数据库应启用日志记录功能，默认配置仅限失败的登录，需修改为失败和成功的登录，这样就可以对用户登录进行审核。

登录到SQL Server Management Studio，依次点击 管理--SQL Server 日志

双击日志存档文件即可打开日志文件查看器，并可以对日志进行筛选或者导出等操作。

另外，MSSQ提供了一个工具SQL Server Profiler ，方便查找和发现SQL执行的效率和语句问题。

日志分析案例：

在日志文件查看器中，选择筛选，在筛选设置中源设置为“登录”，应用筛选器，确定。

筛选后的结果，可以很清晰的识别用户登录信息，记录内容包括用户登录时间、登录是否成功、登录使用的账号以及远程登录时用户使用的IP地址。

如下图：进行尝试弱口令登录，并发现其中有一条登录成功的记录。

SQL注入入侵痕迹

在利用SQL注入漏洞的过程中，我们会尝试利用sqlmap的--os-shell参数取得shell，如操作不慎，可能留下一些sqlmap创建的临时表和自定义函数。我们先来看一下sqlmap os-shell参数的用法以及原理：

1、构造一个SQL注入点，开启Burp监听8080端口

1. sqlmap.py -u http://IP/sql.asp?id=1 --os-shell --proxy=http://127.0.0.1:8080

复制代码

HTTP通讯过程如下：

创建了一个临时表sqlmapoutput，调用存储过程执行系统命令将数据写入临时表，然后取临时表中的数据展示到前端。

通过查看数据库中最近新建的表的结构和内容，可以判断是否发生过sql注入漏洞攻击事件。

检查方法：

1、数据库表检查

2、检查xp_cmdshell等存储过程

xp_cmdshell在mssql2005之后的版本中是默认禁止的，查看xp_cmdshell是否被启用。

`Exec master.dbo.xp_cmdshell 'whoami'

3、需要结合web日志，通过查看日志文件的大小以及审计日志文件中的内容，可以判断是否发生过sql注入漏洞攻击事件。

*本篇章将本着学习的态度进行分享，严禁用于个人非法行为以及黑产获取！！！！

以上就是本次的渗透安全之MSSQL日志分析篇，一句忠告：业务备份一时不做一时爽，问题出现两行泪，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

诚，乃信之本；无诚，何以言信？诚而有信，乃为人生。

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

楼主的文章图文并茂，清晰易懂，期待楼主更多精彩的分享

楼主分享的案例很实用，具有典型性

楼主分享的案例很实用，具有典型性

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主的文章图文并茂，清晰易懂，期待楼主更多精彩的分享

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

感谢楼主分享，努力学习中！！！！