PL/pgSQL Password Bruteforce
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Bu saldırılar hakkında daha fazla bilgi için orijinal belgeyi bulun.
PL/pgSQL, SQL'in yeteneklerini aşan tam özellikli bir programlama dilidir ve gelişmiş prosedürel kontrol sunar. Bu, döngülerin ve çeşitli kontrol yapıların kullanımını içerir. PL/pgSQL dilinde oluşturulan fonksiyonlar, SQL ifadeleri ve tetikleyiciler tarafından çağrılabilir, bu da veritabanı ortamındaki işlemlerin kapsamını genişletir.
Bu dili, PostgreSQL'den kullanıcı kimlik bilgilerini kaba kuvvetle kırmasını istemek için kötüye kullanabilirsiniz, ancak veritabanında mevcut olmalıdır. Mevcut olup olmadığını kontrol etmek için:
Varsayılan olarak, fonksiyon oluşturmak, PUBLIC'a verilen bir ayrıcalıktır, burada PUBLIC, o veritabanı sistemindeki her kullanıcıyı ifade eder. Bunu önlemek için, yönetici PUBLIC alanından USAGE ayrıcalığını geri almış olabilirdi:
Bu durumda, önceki sorgumuz farklı sonuçlar verecektir:
Not edin ki aşağıdaki scriptin çalışması için dblink
fonksiyonu mevcut olmalıdır. Eğer mevcut değilse, onu oluşturmayı deneyebilirsiniz.
İşte 4 karakterli bir şifre kaba kuvvet saldırısı nasıl gerçekleştirebileceğiniz:
Not edin ki, 4 karakteri brute-force yapmak bile birkaç dakika sürebilir.
Ayrıca bir kelime listesi indirebilir ve yalnızca bu şifreleri deneyebilirsiniz (sözlük saldırısı):
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)