用户
搜索
  • TA的每日心情

    2020-4-23 07:40
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-脚本小子

    Rank: 2

    0

    主题

    19

    帖子

    100

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2019-1-20
    发表于 2021-1-26 20:39:18 62673
    本帖最后由 修仙者 于 2021-1-28 17:15 编辑

    实战-记一次postgresql数据库下的注入到提权

    0x01 前言
    之前没有遇到过postgresql数据库的注入,而且,网站还是py开发的,后台也找不到,日了几天,也在网上找了很多质料,但是也找了个寂寞,不过最终还是出货了,详情见下文
    0x02 复现
    先打开网站,找到搜索框那里,怀疑存在注入,输入一个'号试试,出现了典型的数据库报错,所以这里可能有 sql 注入,而且这网站的后端好像是 py写的。。。
    image.png

    然后扔到sqlamp里面跑一下
    image (1).png
    石锤存在sql注入了,数据库是PostgreSQL > 8.1,中间件是Nginx 1.19.4
    然后,因为是python写的网站,加上我没有找到后台目录,就不日管理员的后台账号密码,直接日数据库,而且多大的人啦,还日后台?直接日数据库啊(其实是我菜的理由)
    用sqlmap爆数据库账号密码,而且PostgreSQL的登录密码是用md5加密的哦,所以还有一丝的拿站机会。
    运行自定义的sql语句子,用sql语句查询用户名和密码,执行sql语句查询 (sqlmap -u ip --sql-shell --thread 10)因为时间盲注,所以设个线程为10
    image (2).png
    PostgreSQL数据库查询登录的账号密码的sql语句是select rolname,rolpassword from pg_authid;
    image (3).png

    现在去解密md5
    image (4).png

    解密出来是odooodoo 是账号加密码合并起来的哦!
    先去去登录一下
    在kali里面输入psql -h 数据库ip -U 数据库账号
    image (6).png

    登录成功,现在进行后渗透,利用数据库提权
    启动msf,在kali最新版里的msf3.0里面有一个PostgreSQL 数据库提权的东西模块
    选用multi/postgres/postgres_copy_from_program_cmd_exec这个模块
    image (7).png

    查看配置需要配置lhost,lport,password,rhosts,username
    image (8).png
    因为是公网,所以要设置端口转发,反弹到nc(端口转发的方法,自行百度)
    配置模块 lhost和lport是我端口转发的地址
    image(2).png

    然后运行起来
    image(3).png
    这样就运行成功了,nc那里也反弹成功
    image(1).png

    现在接下来获取交互式的shell,因为是网站是python作开发,肯定有py环境,那么我们可以用
    python -c "import pty;pty.spawn('/bin/bash')"
    获取shell
    image.png
    成功获取
    但是传统功夫,点到为止(实则我菜比)
    image (1).png



    发表于 2021-1-31 21:25:07
    谢谢分享
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复

    哎,居然有表哥来看,能不能帮忙推广一下,我这文章收视率太低了
    使用道具 举报 回复
    我那数据库的加密方式更加蛋碎,不过直接可以getshell了,不知道这样的管理员是咋玩的。
    使用道具 举报 回复
    发表于 2021-2-1 14:33:31
    白帽子是假的 发表于 2021-2-1 11:03
    我那数据库的加密方式更加蛋碎,不过直接可以getshell了,不知道这样的管理员是咋玩的。 ...

    我这里本来也想shell,但是没有物理路径
    使用道具 举报 回复
    修仙者 发表于 2021-2-1 14:33
    我这里本来也想shell,但是没有物理路径

    数据库有语法爆出吧,我的是搜索某OA部署教程,然后发现绝对路径管理员肯定没有改。
    使用道具 举报 回复
    发表于 2021-2-1 16:14:59
    白帽子是假的 发表于 2021-2-1 15:10
    数据库有语法爆出吧,我的是搜索某OA部署教程,然后发现绝对路径管理员肯定没有改。 ...

    没有的,但是我觉得直接拿下终端shell更爽
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册