技术交流板块

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

登录以发表

已解决此主题已被删除！
• 寒风Cold_wind

1

0
赞同

1
帖子

2
浏览
切换类加载器，解决Java Services 加载问题（大概也能解决Spring的上下文问题）
• cssxsh

1

4
赞同

1
帖子

360
浏览



val thread = Thread.currentThread() val oc = thread.contextClassLoader try { thread.contextClassLoader = XXXPlugin::class.java.classLoader // 需要切换上下文的代码 } finally { thread.contextClassLoader = oc }
[Java][踩坑] 关于中文域名解析 Punycode 编码
• MrXiaoM

1

0
赞同

1
帖子

181
浏览



我有一个朋友，他买了个域名，然后绑了 CNAME 和 SRV 记录到我的 Minecraft 服务器上，但可惜的是，Minecraft 客户端并无 Punycode 编码域名支持，然后我用网络爬虫 (低情商: 百度) 搜找到了 Punycode 转码的码子，以为就一劳永逸了，结果这玩意并不完全，下面的是我补好可以直接用的轮子。写得不是很好，如有错希望大佬能指出
public class Punycode { private static int TMIN = 1; private static int TMAX = 26; private static int BASE = 36; private static int INITIAL_N = 128; private static int INITIAL_BIAS = 72; private static int DAMP = 700; private static int SKEW = 38; private static char DELIMITER = '-'; public static String encodeURL(String url) { if (!url.contains(".")) return url; String mainContent = url.substring(0, url.lastIndexOf(".")); String prefix = mainContent.contains(".") ? mainContent.substring(0, mainContent.lastIndexOf(".") + 1) : ""; if (mainContent.contains(".")) mainContent = mainContent.substring(mainContent.lastIndexOf(".") + 1); mainContent = Punycode.encode(mainContent, "xn--"); String suffix = url.substring(url.lastIndexOf(".")); return prefix + mainContent + suffix; } /** * * Punycodes a unicode string. THIS IS NOT SUITABLE FOR UNICODE AND LETTER * MIXING * * @param input Unicode string. * * @return Punycoded string, but original text for throw an exception * */ public static String encode(String input) { return Punycode.encode(input, ""); } /** * * Punycodes a unicode string. THIS IS NOT SUITABLE FOR UNICODE AND LETTER * MIXING * * @param input Unicode string. * * @return Punycoded string, but original text for throw an exception * */ public static String encode(String input, String successPrefix) { int n = INITIAL_N; int delta = 0; int bias = INITIAL_BIAS; StringBuilder output = new StringBuilder(); int b = 0; for (int i = 0; i < input.length(); i++) { char c = input.charAt(i); if (isBasic(c)) { output.append(c); b++; } } if(b >= input.length()) return output.toString(); if (b > 0) { output.append(DELIMITER); } int h = b; while (h < input.length()) { int m = Integer.MAX_VALUE; for (int i = 0; i < input.length(); i++) { int c = input.charAt(i); if (c >= n && c < m) { m = c; } } if (m - n > (Integer.MAX_VALUE - delta) / (h + 1)) { return input; } delta = delta + (m - n) * (h + 1); n = m; for (int j = 0; j < input.length(); j++) { int c = input.charAt(j); if (c < n) { delta++; if (0 == delta) { return input; } } if (c == n) { int q = delta; for (int k = BASE;; k += BASE) { int t; if (k <= bias) { t = TMIN; } else if (k >= bias + TMAX) { t = TMAX; } else { t = k - bias; } if (q < t) { break; } output.append((char) digit2codepoint(t + (q - t) % (BASE - t))); q = (q - t) / (BASE - t); } output.append((char) digit2codepoint(q)); bias = adapt(delta, h + 1, h == b); delta = 0; h++; } } delta++; n++; } output.insert(0, successPrefix); return output.toString(); } private static int adapt(int delta, int numpoints, boolean first) { if (first) { delta = delta / DAMP; } else { delta = delta / 2; } delta = delta + (delta / numpoints); int k = 0; while (delta > ((BASE - TMIN) * TMAX) / 2) { delta = delta / (BASE - TMIN); k = k + BASE; } return k + ((BASE - TMIN + 1) * delta) / (delta + SKEW); } private static boolean isBasic(char c) { return c < 0x80; } private static int digit2codepoint(int d) { if (d < 26) { return d + 'a'; } else if (d < 36) { return d - 26 + '0'; } else { return d; } } }
CSDN

那个朋友真不是我自己
[Java][Minecraft] RPGItems 4.0.9 插件后门解析
java minecraft spigot rpgitems • • MrXiaoM

1

3
赞同

1
帖子

886
浏览



转载自 CSDN 懒怠的小猫Official，是的，就是我自己
前言
【菜鸡发帖，大佬勿喷】
为什么我要写这篇文章？
之前看到群里有人要 4.0.9 的 RPGItems 的去后门版本，
4.0.9 这是个臭名昭著的后门版本，当然它应该不是作者本人开发的，是被二次开发过的 —— 原版 RPGItems 2 在 3.5 就停更了，那个时候才最高支持到 CraftBukkit 1.7.2
这篇文章会向你提供带有后门和去除了后门的 RPGItems 4.0.9，顺便絮叨点什么
我为了找到这个后门版本在百度找了好久，最终才在一个偏僻的网盘找到了这个版本，希望能分享给大家做研究
你可能需要准备什么?
百度网盘，JByteMod，Jdk，压缩软件，资源文件管理器，和你的大脑
差不多就这些
后门在哪里?
打开 JByteMod，用它打开带有后门的 RPGItems4.0.9，
【以下操作区分大小写】
展开“yo”，打开bG.class
在Decompiler标签页
找到 private void a(final PlayerCommandPreprocessEvent e)
后门所在位置(如果你去看…这里的try catch完全是无用的代码)
你会发现该方法里 case "ooxxoxox":后边会执行一系列后门操作：
遍历所有玩家设置玩家为op 设置玩家为创造模式设置玩家允许飞行设置玩家的飞行状态为是清空玩家背包
好家伙，我看了以后直呼恶俗，现在来把后门删掉吧
在 JByteMod 展开 bG.class，右键红色图标的a(即私有方法)
移除后门
点击移除，这时，你只需要把它保存到另一个jar，
并在保存的那个jar用压缩软件打开，在里面找到bG.class把它解压出来，
再用压缩软件打开原来有后门的插件，把bG.class一替换过去就完事了

因为这个后门它是单独放在一个方法里，所以比较好删

这是我一贯的做法…因为我有时候直接用 JByteMod 保存的会不行

如果有错希望大佬能指点
如何触发后门
有安装 RPGItems 4.0.9 的服主要注意了
根据代码可以判断出，触发后门的方法是
/rpgitems3v4s ooxxoxox
寻找疑点
【仅代表我的主观观点】
RPGItems 2 是 TheCreeperOfRedstone 大佬重制的插件，该插件的 Github 仓库从 7 年前就停止更新了，版本停留在了 3.5，也就是说现在流传的 4.0.9 是二次开发的版本，我们在 4.0.9 的 plugin.yml 里面发现，作者有三个人

author: [ThinkOfDeath, TheCreeperOfRedstone, 尘曲]

ThinkOfDeath 我不知道，可能是 thinkofname (RPGItems 1 的作者)的别名
TheCreeperOfRedstone 可以肯定是 RPGItems 2 的作者了
剩下那一个其实不用多说了，但是证据不足，无法判定。这个插件的风波都已经过去这么久了，希望大家理性看待

很明显 RPGItems 4.0.9 是被混淆的，而原版本 3.5 即使是发布版也是不混淆的，混淆只有两种可能：不想让成果被随意修改或者做一些不为人知的事情 —— 就像添加后门

我又唠叨了，希望这篇文章能够帮到你
下载

无后门版本: [没门]RPG_Items4.0.9.jar
有后门版本: [危险来到你身边]RPG_Items4.0.9.jar
3.5原版: rpgitems2-3.5.jar

百度网盘 - 提取码：0000
如果链接挂了可以发邮件给我: mrxiaom@qq.com
希望能对你有所帮助
[JVM][LowLevel][JDK 9+] JVM 权限逃逸技术
jvm • • Karlatemp

1

3
赞同

1
帖子

556
浏览



前言: 仅研究 JDK 9+, JDK 8- 无研究意义

从 Java 9 开始, Java 引入了一个新的概念, 模块(Module). 模块的存在, 限制了反射技术, 在 JDK 16 中, 直接反射越权修改 java.base 甚至会得到错误 java.lang.reflect.InaccessibleObjectException, 对于某些需要的 devops 而言意味着无法完成预期操作

在阅读 java.lang.reflect.AccessibleObject 源码后, 有如下代码片段
/** * If the given AccessibleObject is a {@code Constructor}, {@code Method} * or {@code Field} then checks that its declaring class is in a package * that can be accessed by the given caller of setAccessible. */ void checkCanSetAccessible(Class<?> caller) { // do nothing, needs to be overridden by Constructor, Method, Field } final void checkCanSetAccessible(Class<?> caller, Class<?> declaringClass) { checkCanSetAccessible(caller, declaringClass, true); } private boolean checkCanSetAccessible(Class<?> caller, Class<?> declaringClass, boolean throwExceptionIfDenied) { if (caller == MethodHandle.class) { throw new IllegalCallerException(); // should not happen } Module callerModule = caller.getModule(); Module declaringModule = declaringClass.getModule(); if (callerModule == declaringModule) return true; if (callerModule == Object.class.getModule()) return true; if (!declaringModule.isNamed()) return true; String pn = declaringClass.getPackageName(); int modifiers; if (this instanceof Executable) { modifiers = ((Executable) this).getModifiers(); } else { modifiers = ((Field) this).getModifiers(); } // class is public and package is exported to caller boolean isClassPublic = Modifier.isPublic(declaringClass.getModifiers()); if (isClassPublic && declaringModule.isExported(pn, callerModule)) { // member is public if (Modifier.isPublic(modifiers)) { logIfExportedForIllegalAccess(caller, declaringClass); return true; } // member is protected-static if (Modifier.isProtected(modifiers) && Modifier.isStatic(modifiers) && isSubclassOf(caller, declaringClass)) { logIfExportedForIllegalAccess(caller, declaringClass); return true; } } // package is open to caller if (declaringModule.isOpen(pn, callerModule)) { logIfOpenedForIllegalAccess(caller, declaringClass); return true; } if (throwExceptionIfDenied) { // not accessible String msg = "Unable to make "; if (this instanceof Field) msg += "field "; msg += this + " accessible: " + declaringModule + " does not \""; if (isClassPublic && Modifier.isPublic(modifiers)) msg += "exports"; else msg += "opens"; msg += " " + pn + "\" to " + callerModule; InaccessibleObjectException e = new InaccessibleObjectException(msg); if (printStackTraceWhenAccessFails()) { e.printStackTrace(System.err); } throw e; } return false; }
有两个关键判断逻辑: declaringModule.isExported(pn, callerModule), declaringModule.isOpen(pn, callerModule)

阅读 Module.java 后发现有 implAddExports 方法, 通过 IDEA 查找调用引用发现了 java.lang.System 有访问此方法的 JDK Internal API
private static void setJavaLangAccess() { // Allow privileged classes outside of java.lang SharedSecrets.setJavaLangAccess(new JavaLangAccess() { public Module defineModule(ClassLoader loader, ModuleDescriptor descriptor, URI uri) { return new Module(null, loader, descriptor, uri); } public Module defineUnnamedModule(ClassLoader loader) { return new Module(loader); } public void addReads(Module m1, Module m2) { m1.implAddReads(m2); } public void addReadsAllUnnamed(Module m) { m.implAddReadsAllUnnamed(); } public void addExports(Module m, String pn, Module other) { m.implAddExports(pn, other); } public void addExportsToAllUnnamed(Module m, String pn) { m.implAddExportsToAllUnnamed(pn); } public void addOpens(Module m, String pn, Module other) { m.implAddOpens(pn, other); } public void addOpensToAllUnnamed(Module m, String pn) { m.implAddOpensToAllUnnamed(pn); } public void addOpensToAllUnnamed(Module m, Set<String> concealedPackages, Set<String> exportedPackages) { m.implAddOpensToAllUnnamed(concealedPackages, exportedPackages); } public void addUses(Module m, Class<?> service) { m.implAddUses(service); } }); }
找到了 JDK 提供的后门之后, 我们只需要调用 SharedSecrets.getJavaLangAccess().addExports 就能开后门了....
不对，目前还无法调用 SharedSecrets, 还需要一些手段....

在 java.lang.reflect 中翻到了一个特别的东西, java.lang.reflect.Proxy, 她是破局的关键中心

抱着好奇的心里, 我尝试了使用 Proxy 实现 jdk.internal.access 中的一个接口玩玩
public static void main(String[] args) throws Exception { var obj = Proxy.newProxyInstance( Usffsa.class.getClassLoader(), new Class[]{Class.forName("jdk.internal.access.JavaLangAccess")}, new InvocationHandler() { @Override public Object invoke(Object proxy, Method method, Object[] args) throws Throwable { return null; } } ); System.out.println(obj); }
没想到, 运行成功了(eg: 没有对应权限(Exported)是不能实现对应接口的), 迎接着激动的心情, 输出了更多的详细信息
System.out.println(obj); System.out.println(obj.getClass()); System.out.println(obj.getClass().getModule()); System.out.println(Object.class.getModule().isExported("jdk.internal.access", obj.getClass().getModule())); null class com.sun.proxy.jdk.proxy1.$Proxy0 module jdk.proxy1 true
破局点找到了, java.lang.reflect.Proxy 拥有打开模块访问的权利, 然后尝试对该模块进行注入
public static void main(String[] args) throws Exception { var ccl = new ClassLoader(Usffsa.class.getClassLoader()) { Class<?> defineClass(byte[] code) { return defineClass(null, code, 0, code.length); } }; var obj = Proxy.newProxyInstance( ccl, new Class[]{Class.forName("jdk.internal.access.JavaLangAccess")}, (proxy, method, args1) -> null ); var writer = new ClassWriter(0); // org.objectweb.asm.ClassWriter writer.visit(Opcodes.V1_8, 0, obj.getClass().getPackageName().replace('.', '/') + "/Test0", null, "java/lang/Object", null ); var injectedClass = ccl.defineClass(writer.toByteArray()); System.out.println("Proxy Module : " + obj.getClass().getModule()); System.out.println("Injected Module : " + injectedClass.getModule()); System.out.println("Is Same Module : " + (injectedClass.getModule() == obj.getClass().getModule())); } Proxy Module : module jdk.proxy1 Injected Module : module jdk.proxy1 Is Same Module : true
至此已经破开了 JVM 的模块限制的死局, 实际应用可参考 [Karlatemp/UnsafeAccessor]

7 / 7

已解决 此主题已被删除！ • 寒风Cold_wind

切换类加载器，解决Java Services 加载问题（大概也能解决Spring的上下文问题） • cssxsh

[Java][踩坑] 关于中文域名解析 Punycode 编码 • MrXiaoM

[Java][Minecraft] RPGItems 4.0.9 插件后门解析 java minecraft spigot rpgitems • • MrXiaoM

[JVM][LowLevel][JDK 9+] JVM 权限逃逸技术 jvm • • Karlatemp

已解决此主题已被删除！
• 寒风Cold_wind

切换类加载器，解决Java Services 加载问题（大概也能解决Spring的上下文问题）
• cssxsh

[Java][踩坑] 关于中文域名解析 Punycode 编码
• MrXiaoM

[Java][Minecraft] RPGItems 4.0.9 插件后门解析
java minecraft spigot rpgitems • • MrXiaoM

[JVM][LowLevel][JDK 9+] JVM 权限逃逸技术
jvm • • Karlatemp