PL/pgSQL Password Bruteforce
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Find more information about these attack in the original paper.
PL/pgSQL ni lugha ya programu yenye vipengele kamili ambayo inapanua uwezo wa SQL kwa kutoa udhibiti wa taratibu ulioimarishwa. Hii inajumuisha matumizi ya mizunguko na muundo mbalimbali wa udhibiti. Kazi zilizoundwa katika lugha ya PL/pgSQL zinaweza kuitwa na taarifa za SQL na triggers, zikipanua wigo wa operesheni ndani ya mazingira ya hifadhidata.
Unaweza kutumia lugha hii ili kuomba PostgreSQL kujaribu nguvu akidi za watumiaji, lakini lazima iwepo kwenye hifadhidata. Unaweza kuthibitisha uwepo wake kwa kutumia:
Kwa default, kuunda kazi ni haki inayotolewa kwa PUBLIC, ambapo PUBLIC inarejelea kila mtumiaji kwenye mfumo huo wa database. Ili kuzuia hili, msimamizi angeweza kufuta haki ya USAGE kutoka kwa eneo la PUBLIC:
Katika kesi hiyo, uchunguzi wetu wa awali ungeweza kutoa matokeo tofauti:
Kumbuka kwamba ili script ifanye kazi kazi dblink
inahitaji kuwepo. Ikiwa haipo unaweza kujaribu kuunda hiyo na
Hapa kuna jinsi unavyoweza kufanya brute force ya nywila ya herufi 4:
Nakili kwamba hata kujaribu nguvu kwa herufi 4 kunaweza kuchukua dakika kadhaa.
Unaweza pia kupakua orodha ya maneno na kujaribu tu nywila hizo (shambulio la kamusi):
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)