PostgreSQL管理工具pgAdmin 4中XSS漏洞的發現和利用

本文我將給大家講述我是如何發現及利用pgAdmin4桌面客戶端中的XSS漏洞。在看完本文之後，請儘快升級到1.4版本。

前言

由於我一隻手誤觸到新MacBookPro上那大得離譜的觸摸板，pgAdmin 4頁面不斷放大縮小。這讓我開始思索pgAdmin 4是否為Web應用。

如果這是一個Web應用(當時的我並沒有那麼肯定)，我們是否可以嘗試進行攻擊呢？我第一件事做的就是進行簡單的insert以及select操作。出乎預料的是，竟然能夠完成操作！

這也意味著pgAdmin 4用戶可以查看不可信數據(主要是來自Web應用的任意數據)，也即存在注入攻擊漏洞。接下來得找一個方法在獲得的上下文中完成一些有趣的事情。我們必須要注意到2件事，一是環境對我們的限制，二是在正常環境下應用程序是如何執行各種操作的(即它是如何進行查詢操作的)。

第一次失敗

我有嘗試使用BeEF中強大的hook腳本

，但是它未能返回連接。我這個人很不耐煩，果斷放棄了這個相對來說十分快速的方法，轉而使用更簡單可靠的(但是比較慢)的alert對該App進行黑盒測試。儘管我有其源代碼，但我想真正理解代碼執行時的環境約束。對環境觀察了一段時間之後發現，如果可以找到任意一個全局變數或者屬於窗口的對象，或許對於我們想像用戶般執行操作會有幫助。然而一無所獲，大約15分鐘後我就放棄了。

構造一個查詢語句

得知該應用程序可以進行查詢操作，我僅僅只需要弄清楚它是如何實現的就可以了。我彈出window.location獲取到監聽服務的埠，之後使用tcpdump進行抓包。

將本機通信流量記錄下之後我執行了如下查詢：

tcpdump -vvnni lo0 -w pgadmin.pcap port 53108

這使得我獲得由localhost:53108發起的各種各樣的API調用。通過數據包抓取獲得的細節這裡就不在過多闡述。對於查詢操作，我將其縮小為4個步驟來執行：

第二次失敗

我認為對本地服務執行CSRF攻擊或許有的玩，但事實證明pgAdmin每次啟動埠都會改變，此外還會請求一個token令牌進行設置，就目前來看我們沒得玩啊。

Exploit

以下為可用的exploit以及進行查詢之後將結果發送到requestb.in的演示視頻。

https://youtu.be/3Dwpz5IYsCg

代碼執行

做人如果沒有夢想就跟鹹魚有什麼分別！各位看客都看到這裡了，我們就來搞搞RCE如何？如果連接到資料庫的用戶有些許可權，執行以下3個請求將會幫助你獲得一個非常不錯的shell：

1、使用Python語言

create language plpythonu

2、創建一個調用函數，你也可以將其放進上面的PoC中：

3、執行函數

select pwn()

時間線

03-16-2017 – 發現問題

03-17-2017 – 構造exploit

03-17-2017 – 向security@postgresql.org進行報告

03-20-2017 – Dave Page確認漏洞

03-31-2017 – 約一周後更新版本

04-10-2017 – 公布補丁

*參考來源：

，FB小編 鳶尾 編譯，轉載請註明來自FreeBuf（FreeBuf.COM）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！