postgresSQL弱口令
漏洞简介
postgresSQL弱口令漏洞指postgresSQL数据库账号对应的密码长度太短或者复杂度不够,如仅包含数字,或仅包含字母等
危害
-
连接数据库后对数据库进行任意操作(增、删、改、查高危动作),存在严重的数据泄露风险。
-
攻击者可执行恶意代码,进一步拿下服务器权限;
在2022年1月6日即报告过此漏洞,本次跟进发现还未修复,建议负责人修复
漏洞复现
由于已报告漏洞多日后尚未修复,近期国外黑客由于国际纷争正将黑手伸入国内,并且已知攻陷了几十家政企网站,所以为了公司安全防止负责人不清楚相关漏洞的危害,经领导批准做漏洞验证,现将漏洞复现结果记录如下:
shell:
命令执行(查看主机系统信息、当前shell位置、列出根目录文件):
本次漏洞复现未读取敏感文件,未留后门,只进行验证,工作职责所在,请负责人见谅
漏洞修复:
-
绑定IP,仅允许可信的ip访问你的postgresSQL服务
-
设置复杂密码,以提供远程登陆
-
尽量以低权限运行postgresSQL服务