前言: 仅研究 JDK 9+, JDK 8- 无研究意义

从 Java 9 开始, Java 引入了一个新的概念, 模块(Module). 模块的存在, 限制了反射技术, 在 JDK 16 中, 直接反射越权修改 java.base 甚至会得到错误 java.lang.reflect.InaccessibleObjectException, 对于某些需要的 devops 而言意味着无法完成预期操作

在阅读 java.lang.reflect.AccessibleObject 源码后, 有如下代码片段

   /**
    * If the given AccessibleObject is a {@code Constructor}, {@code Method}
    * or {@code Field} then checks that its declaring class is in a package
    * that can be accessed by the given caller of setAccessible.
    */
    void checkCanSetAccessible(Class<?> caller) {
        // do nothing, needs to be overridden by Constructor, Method, Field
    }

    final void checkCanSetAccessible(Class<?> caller, Class<?> declaringClass) {
        checkCanSetAccessible(caller, declaringClass, true);
    }

    private boolean checkCanSetAccessible(Class<?> caller,
                                          Class<?> declaringClass,
                                          boolean throwExceptionIfDenied) {
        if (caller == MethodHandle.class) {
            throw new IllegalCallerException();   // should not happen
        }

        Module callerModule = caller.getModule();
        Module declaringModule = declaringClass.getModule();

        if (callerModule == declaringModule) return true;
        if (callerModule == Object.class.getModule()) return true;
        if (!declaringModule.isNamed()) return true;

        String pn = declaringClass.getPackageName();
        int modifiers;
        if (this instanceof Executable) {
            modifiers = ((Executable) this).getModifiers();
        } else {
            modifiers = ((Field) this).getModifiers();
        }

        // class is public and package is exported to caller
        boolean isClassPublic = Modifier.isPublic(declaringClass.getModifiers());
        if (isClassPublic && declaringModule.isExported(pn, callerModule)) {
            // member is public
            if (Modifier.isPublic(modifiers)) {
                logIfExportedForIllegalAccess(caller, declaringClass);
                return true;
            }

            // member is protected-static
            if (Modifier.isProtected(modifiers)
                && Modifier.isStatic(modifiers)
                && isSubclassOf(caller, declaringClass)) {
                logIfExportedForIllegalAccess(caller, declaringClass);
                return true;
            }
        }

        // package is open to caller
        if (declaringModule.isOpen(pn, callerModule)) {
            logIfOpenedForIllegalAccess(caller, declaringClass);
            return true;
        }

        if (throwExceptionIfDenied) {
            // not accessible
            String msg = "Unable to make ";
            if (this instanceof Field)
                msg += "field ";
            msg += this + " accessible: " + declaringModule + " does not \"";
            if (isClassPublic && Modifier.isPublic(modifiers))
                msg += "exports";
            else
                msg += "opens";
            msg += " " + pn + "\" to " + callerModule;
            InaccessibleObjectException e = new InaccessibleObjectException(msg);
            if (printStackTraceWhenAccessFails()) {
                e.printStackTrace(System.err);
            }
            throw e;
        }
        return false;
    }

有两个关键判断逻辑: declaringModule.isExported(pn, callerModule), declaringModule.isOpen(pn, callerModule)

阅读 Module.java 后发现有 implAddExports 方法, 通过 IDEA 查找调用引用发现了 java.lang.System 有访问此方法的 JDK Internal API

    private static void setJavaLangAccess() {
        // Allow privileged classes outside of java.lang
        SharedSecrets.setJavaLangAccess(new JavaLangAccess() {
            public Module defineModule(ClassLoader loader,
                                       ModuleDescriptor descriptor,
                                       URI uri) {
                return new Module(null, loader, descriptor, uri);
            }
            public Module defineUnnamedModule(ClassLoader loader) {
                return new Module(loader);
            }
            public void addReads(Module m1, Module m2) {
                m1.implAddReads(m2);
            }
            public void addReadsAllUnnamed(Module m) {
                m.implAddReadsAllUnnamed();
            }
            public void addExports(Module m, String pn, Module other) {
                m.implAddExports(pn, other);
            }
            public void addExportsToAllUnnamed(Module m, String pn) {
                m.implAddExportsToAllUnnamed(pn);
            }
            public void addOpens(Module m, String pn, Module other) {
                m.implAddOpens(pn, other);
            }
            public void addOpensToAllUnnamed(Module m, String pn) {
                m.implAddOpensToAllUnnamed(pn);
            }
            public void addOpensToAllUnnamed(Module m, Set<String> concealedPackages, Set<String> exportedPackages) {
                m.implAddOpensToAllUnnamed(concealedPackages, exportedPackages);
            }
            public void addUses(Module m, Class<?> service) {
                m.implAddUses(service);
            }
        });
    }

找到了 JDK 提供的后门之后, 我们只需要调用 SharedSecrets.getJavaLangAccess().addExports 就能开后门了....
不对，目前还无法调用 SharedSecrets, 还需要一些手段....

在 java.lang.reflect 中翻到了一个特别的东西, java.lang.reflect.Proxy, 她是破局的关键中心

抱着好奇的心里, 我尝试了使用 Proxy 实现 jdk.internal.access 中的一个接口玩玩

    public static void main(String[] args) throws Exception {
        var obj = Proxy.newProxyInstance(
                Usffsa.class.getClassLoader(),
                new Class[]{Class.forName("jdk.internal.access.JavaLangAccess")},
                new InvocationHandler() {
                    @Override
                    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                        return null;
                    }
                }
        );
        System.out.println(obj);
    }

没想到, 运行成功了(eg: 没有对应权限(Exported)是不能实现对应接口的), 迎接着激动的心情, 输出了更多的详细信息

        System.out.println(obj);
        System.out.println(obj.getClass());
        System.out.println(obj.getClass().getModule());
        System.out.println(Object.class.getModule().isExported("jdk.internal.access", obj.getClass().getModule()));

null
class com.sun.proxy.jdk.proxy1.$Proxy0
module jdk.proxy1
true

破局点找到了, java.lang.reflect.Proxy 拥有打开模块访问的权利, 然后尝试对该模块进行注入

    public static void main(String[] args) throws Exception {
        var ccl = new ClassLoader(Usffsa.class.getClassLoader()) {
            Class<?> defineClass(byte[] code) {
                return defineClass(null, code, 0, code.length);
            }
        };
        var obj = Proxy.newProxyInstance(
                ccl,
                new Class[]{Class.forName("jdk.internal.access.JavaLangAccess")},
                (proxy, method, args1) -> null
        );
        var writer = new ClassWriter(0); // org.objectweb.asm.ClassWriter
        writer.visit(Opcodes.V1_8, 0,
                obj.getClass().getPackageName().replace('.', '/') + "/Test0",
                null,
                "java/lang/Object",
                null
        );
        var injectedClass = ccl.defineClass(writer.toByteArray());
        System.out.println("Proxy     Module  : " + obj.getClass().getModule());
        System.out.println("Injected  Module  : " + injectedClass.getModule());
        System.out.println("Is Same Module    : " + (injectedClass.getModule() == obj.getClass().getModule()));
    }

Proxy     Module  : module jdk.proxy1
Injected  Module  : module jdk.proxy1
Is Same Module    : true

至此已经破开了 JVM 的模块限制的死局, 实际应用可参考 [Karlatemp/UnsafeAccessor]

叫你装色图插件

Notes:

• 此处列出的插件为最核心最常用的插件, 需要更多插件请查看 https://mirai.mamoe.net/category/6/
• 如果有较为常见的问题此处没有列出的可以在本贴内回复

zhoudu created this issue in mamoe/mirai

closed 群内@机器人，mirai没有识别出该消息是At类型，识别成PlainText类型 #1559

Moyulingjiu created this issue in mamoe/mirai

closed 群名片修改事件无法触发 #1570

LovesAsuna created this issue in mamoe/mirai-console

closed 第三方日志系统接管 #412

编辑 config.json 把 channel 改成 stable

if (message.any { it is At && it.target == bot.id }) {}
if (message.stream().anyMatch( it -> it instanceof At && ((At) it).getTarget() == bot.getId() )) {}

MessageSource.recall(source);

黄太君

降级gradle版本

如果是完全重复可以根据图片的 id 来判断

轮训（

尝试使用与 mirai-core-api 所使用的 ktor 版本一致的ktor版本

看上去像版本冲突

众所周知, github actions 可以完成很多自动化任务, 比如代码持续CI, 版本发布自动化, new issue 内容检查等.

当然，github actions 也可以用作 PR 自动审查合并, 不过, 要完成这些需要一些额外的配置..

首先需要知道的是, on: pull_request 的 workflow 是只有 readonly 的权限的, 这也就意味着通过 on: pull_request 发起的 workflow 除了读取已公开的内容之外什么都干不了. 包括访问 ${{ secrets.XXXX }} 也是不被允许的

需要完成自动合并, 需要更高权限(也意味着更危险的) workflow, pull_request_target

pull_request_target 与 pull_request 的用法基本一致, 但是主要有以下的区别

actions/checkout@v2 会签出到被 PR 的分支(也就是源仓库的内容), 而不是经过 PR 修改后的内容

pull_request_target 拥有 write 权限, 可以写入源仓库, 访问 ${{ secrets.XXX }} (这是 pull_request 所不允许的)

知道以上的主要区别之后就可以编写 PR 自动审查了

首先需要获取源仓库的内容 (当然绝对不可以直接 checkout!!!)

可以选择在当前目录来获取修改，或者创建一个新文件夹来获取修改

# Way 1
- uses: actions/checkout@v2
  with:
    ref: pull/${{ github.event.pull_request.number }}/head
    path: the_pr

# Way 2
- run: git fetch origin pull/$PR_NUM/head:THE_PR
  env:
    PR_NUM: ${{ github.event.pull_request.number }}

然后是提取该 PR 的修改

BASE_SHA: ${{ github.event.pull_request.base.sha }}

git rev-list --count "$BASE_SHA..THE_PR" > tmp/count
cat tmp/count
git --no-pager diff "$BASE_SHA..THE_PR" --no-color --output tmp/change-diff
git --no-pager diff "$BASE_SHA..THE_PR" --name-only --output tmp/name-changed

此时

• tmp/name-changed 存储着该 PR 修改的全部文件的文件路径
• tmp/change-diff 则为 PR 与 base 的 diff 文件
• tmp/count 为一个数字, 该数字代表 base 与 pr 直接相差的 commit 数量

在进行一系列 PR 审核之后, 需要将审核结果返回出去 (Merge 或者 Reject(Request change))

需要用到的两个 REST API 为 Create a review for a pull request, Merge a pull request

通过 Create a review for a pull request 可以对一个 PR 进行自动审查, 可以是 Approve 或者 Reject(Request changes), 亦或者只是简单的评论 Comment

然后就可以通过 Merge a pull request 完成全自动 PR 合并了, 唯一需要给定的参数 sha 为 PullRequest 的最后一个 commit 的 id, 可以通过执行 git rev-parse THE_PR 获得该参数的值

额外话: 使用 ${{ secrets.GITHUB_TOKEN }} 合并后, 不会触发 workflow on: push
如果需要 merge commit 也执行 on: push 的, 请使用 ${{ secrets.PR_REVIEWER_TOKEN }} 代替 GITHUB_TOKEN

参考与应用

• auto-review-and-merge.yml
• check-pr.js

请确定打包的插件携带了 ktor-server-netty 等必要依赖，你可能需要 https://github.com/project-mirai/mirai-slf4j-bridge 来开启全部日志

@snowmoonss 详细逻辑参考 https://github.com/Karlatemp/LuckPerms-Mirai/blob/master/src/main/kotlin/io/github/karlatemp/luckperms/mirai/context/MiraiCalculator.kt

/lp user 是固定 sub command, 并没有 user=123456789, 因为数据库用户名就是 QQ号

eg /lp user 1234567890 info

import java.io.*
fun main() {
val socket = Socket("127.0.0.1", 10086)
socket.getOutputStream().write("HelloWorld!".getBytes(Charsets.UTF8))
socket.getOutputStream().flush()

socket.getInputStream().read() // read response
}

Why not

public class MyCustomEvent extends AbstractEvent {
    public void broadcast() {
        EventKt.broadcast(this);
    }
}