安全,  新闻

从DASCTF 2025上半年赛-泽西岛开始的H2 JDBC RCE漏洞分析

这段代码主要实现了数据库的连接测试操作,并且其中有一些过滤以及限制,首先其接收jdbcUrl参数,并且要求其以jdbc:h2开头,然后会在结尾加上;FORBID_CREATION=TRUE这一字符串,这段字符主要作用是禁止创建数据库,这里是需要绕过的,看p神的文章中是因为只要将分号使用反斜线转义,分号就会变成一个普通字符串。
然后会进行一个黑名单的过滤操作,要求不能使用黑名单中的字符,这里主要就是

留言

您的邮箱地址不会被公开。 必填项已用 * 标注