PostgreSQL 高权限命令执行漏洞（CVE-2019-9193）

睡觉 VLv.0 / 05-25 / 0 评论 / 429 阅读

05 25

PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”，管理员或具有“COPY TO/FROM PROGRAM”权限的用户，可以使用这个特性执行任意命令。

默认账号密码为postgres/postgres。
首先连接到postgres中，并执行参考链接中的POC：

PostgreSQL 高权限命令执行漏洞（CVE-2019-9193

FROM PROGRAM语句将执行命令id并将结果保存在cmd_exec表中
大概就这些……

本文经授权后发布，本文观点不代表立场，转载请联系原作者。

« 上一篇 05-22

下一篇 » 05-25

本文作者：NeGoo - 重生信息安全加载开启镜像,开整查看本机的IP地址段，然后进行扫描发现主机root@kali:~# nmap -p- -A -O...

运营/# 原创/2021-02-19 / 17 阅读

漏洞简介SolarWinds Orion API容易受到身份验证绕过的攻击，该漏洞可能允许远程攻击者执行API命令。漏洞描述该SolarWinds的猎户座...

运营/# 资讯/2020-12-29 / 162 阅读

FBI，DHS-CISA和国家情报局局长办公室（ODNI）在今天早些时候发布的联合声明中，首次正式确认了SolarWinds被黑事件后多个美国联邦网络的妥...

运营/# 资讯/2020-12-17 / 169 阅读

文章来源：酒仙桥六号部队前言CS是什么？可能是某款历史久远的第一人称射击游戏，也可能是某个电影。由于法律原因我们这里并不指出CS是什么，但网络江湖上一直流...

文章来源微信公众号：BypassSQL 注入分类方式：提交方式：GET POST COOKIE参数注入：数字型/字符型/搜索型数据库类型：ACCESS/...

# 渗透测试