RCE with PostgreSQL Languages
Γλώσσες του PostgreSQL
Η βάση δεδομένων PostgreSQL στην οποία αποκτήσατε πρόσβαση μπορεί να έχει εγκατεστημένες διάφορες γλώσσες προγραμματισμού που μπορείτε να καταχραστείτε για να εκτελέσετε αυθαίρετο κώδικα.
Μπορείτε να τις εκτελέσετε:
Οι περισσότερες γλώσσες προγραμματισμού που μπορείτε να εγκαταστήσετε στο PostgreSQL έχουν 2 εκδόσεις: η αξιόπιστη και η μη αξιόπιστη. Η μη αξιόπιστη θα έχει ένα όνομα που τελειώνει σε "u" και θα είναι η έκδοση που θα σας επιτρέπει να εκτελέσετε κώδικα και να χρησιμοποιείτε άλλες ενδιαφέρουσες λειτουργίες. Αυτές είναι ορισμένες από τις γλώσσες που είναι ενδιαφέρουσες αν εγκατασταθούν:
plpythonu
plpython3u
plperlu
pljavaU
plrubyu
... (οποιαδήποτε άλλη γλώσσα προγραμματισμού χρησιμοποιεί μια μη ασφαλή έκδοση)
Αν ανακαλύψετε ότι μια ενδιαφέρουσα γλώσσα είναι εγκατεστημένη αλλά μη αξιόπιστη από το PostgreSQL (lanpltrusted
είναι false
), μπορείτε να προσπαθήσετε να την εμπιστευτείτε με την παρακάτω γραμμή, ώστε να μην εφαρμοστούν περιορισμοί από το PostgreSQL:
Αν δεν βλέπετε μια γλώσσα, μπορείτε να προσπαθήσετε να τη φορτώσετε με (πρέπει να είστε superadmin):
Σημείωση ότι είναι δυνατόν να μεταγλωττίσετε τις ασφαλείς εκδόσεις ως "ανασφαλείς". Ελέγξτε αυτό για παράδειγμα. Έτσι, αξίζει πάντα να δοκιμάσετε να εκτελέσετε κώδικα, ακόμα κι αν βρείτε μόνο την εγκατεστημένη αξιόπιστη έκδοση.
plpythonu/plpython3u
pgSQL
Ελέγξτε την παρακάτω σελίδα:
pagePL/pgSQL Password BruteforceC
Ελέγξτε την παρακάτω σελίδα:
pageRCE with PostgreSQL ExtensionsLast updated