手动部署?NONONO,动态上传热部署才是王道!!

最新推荐文章于 2025-04-30 19:22:01 发布
最新推荐文章于 2025-04-30 19:22:01 发布
阅读量167 收藏 2
点赞数 2
文章标签: 接口 学习 后端 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/java_121388/article/details/146243803
版权

近期开发系统过程中遇到的一个需求,系统给定一个接口,用户可以自定义开发该接口的实现,并将实现打成jar包,上传到系统中。系统完成热部署,并切换该接口的实现。

定义简单的接口

这里以一个简单的计算器功能为例,接口定义比较简单,直接上代码。

public interface Calculator {
    int calculate(int a, int b);
    int add(int a, int b);
}

该接口的一个简单的实现

考虑到用户实现接口的两种方式,使用spring上下文管理的方式,或者不依赖spring管理的方式,这里称它们为注解方式和反射方式。calculate方法对应注解方式,add方法对应反射方式。计算器接口实现类的代码如下:

@Service
public class CalculatorImpl implements Calculator {
    @Autowired
    CalculatorCore calculatorCore;
    /**
     * 注解方式
     */
    @Override
    public int calculate(int a, int b) {
        int c = calculatorCore.add(a, b);
        return c;
    }
    /**
     * 反射方式
     */
    @Override
    public int add(int a, int b) {
        return new CalculatorCore().add(a, b);
    }
}

这里注入CalculatorCore的目的是为了验证在注解模式下,系统可以完整的构造出bean的依赖体系,并注册到当前spring容器中。CalculatorCore的代码如下:

@Service
public class CalculatorCore {
    public int add(int a, int b) {
        return a+b;
    }
}

反射方式热部署

用户把jar包上传到系统的指定目录下,这里定义上传jar文件路径为jarAddress,jar的Url路径为jarPath。

private static String jarAddress = "E:/zzq/IDEA_WS/CalculatorTest/lib/Calculator.jar";
private static String jarPath = "file:/" + jarAddress;

并且可以要求用户填写jar包中接口实现类的完整类名。接下来系统要把上传的jar包加载到当前线程的类加载器中,然后通过完整类名,加载得到该实现的Class对象。然后反射调用即可,完整代码:

/**
 * 热加载Calculator接口的实现 反射方式
 */
public static void hotDeployWithReflect() throws Exception {
    URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL(jarPath)}, Thread.currentThread().getContextClassLoader());
    Class clazz = urlClassLoader.loadClass("com.nci.cetc15.calculator.impl.CalculatorImpl");
    Calculator calculator = (Calculator) clazz.newInstance();
    int result = calculator.add(1, 2);
    System.out.println(result);
}

注解方式热部署

如果用户上传的jar包含了spring的上下文,那么就需要扫描jar包里的所有需要注入spring容器的bean,注册到当前系统的spring容器中。其实,这就是一个类的热加载+动态注册的过程。

直接上代码:

/**
 * 加入jar包后 动态注册bean到spring容器,包括bean的依赖
 */
public static void hotDeployWithSpring() throws Exception {
    Set<String> classNameSet = DeployUtils.readJarFile(jarAddress);
    URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL(jarPath)}, Thread.currentThread().getContextClassLoader());
    for (String className : classNameSet) {
        Class clazz = urlClassLoader.loadClass(className);
        if (DeployUtils.isSpringBeanClass(clazz)) {
            BeanDefinitionBuilder beanDefinitionBuilder = BeanDefinitionBuilder.genericBeanDefinition(clazz);
            defaultListableBeanFactory.registerBeanDefinition(DeployUtils.transformName(className), beanDefinitionBuilder.getBeanDefinition());
        }
    }
}

在这个过程中,将jar加载到当前线程类加载器的过程和之前反射方式是一样的。然后扫描jar包下所有的类文件,获取到完整类名,并使用当前线程类加载器加载出该类名对应的class对象。判断该class对象是否带有spring的注解,如果包含,则将该对象注册到系统的spring容器中。

DeployUtils包含读取jar包所有类文件的方法、判断class对象是否包含sping注解的方法、获取注册对象对象名的方法。代码如下:

/**
 * 读取jar包中所有类文件
 */
public static Set<String> readJarFile(String jarAddress) throws IOException {
    Set<String> classNameSet = new HashSet<>();
    JarFile jarFile = new JarFile(jarAddress);
    Enumeration<JarEntry> entries = jarFile.entries();//遍历整个jar文件
    while (entries.hasMoreElements()) {
        JarEntry jarEntry = entries.nextElement();
        String name = jarEntry.getName();
        if (name.endsWith(".class")) {
            String className = name.replace(".class", "").replaceAll("/", ".");
            classNameSet.add(className);
        }
    }
    return classNameSet;
}

/**
 * 方法描述 判断class对象是否带有spring的注解
 */
public static boolean isSpringBeanClass(Class<?> cla) {
    if (cla == null) {
        return false;
    }
    //是否是接口
    if (cla.isInterface()) {
        return false;
    }
    //是否是抽象类
    if (Modifier.isAbstract(cla.getModifiers())) {
        return false;
    }
    if (cla.getAnnotation(Component.class) != null) {
        return true;
    }
    if (cla.getAnnotation(Repository.class) != null) {
        return true;
    }
    if (cla.getAnnotation(Service.class) != null) {
        return true;
    }
    return false;
}

/**
 * 类名首字母小写 作为spring容器beanMap的key
 */
public static String transformName(String className) {
    String tmpstr = className.substring(className.lastIndexOf(".") + 1);
    return tmpstr.substring(0, 1).toLowerCase() + tmpstr.substring(1);
}

删除jar时,需要同时删除spring容器中注册的bean

在jar包切换或删除时,需要将之前注册到spring容器的bean删除。spring容器的bean的删除操作和注册操作是相逆的过程,这里要注意使用同一个spring上下文。

代码如下:

/**
 * 删除jar包时 需要在spring容器删除注入
 */
public static void delete() throws Exception {
    Set<String> classNameSet = DeployUtils.readJarFile(jarAddress);
    URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL(jarPath)}, Thread.currentThread().getContextClassLoader());
    for (String className : classNameSet) {
        Class clazz = urlClassLoader.loadClass(className);
        if (DeployUtils.isSpringBeanClass(clazz)) {
            defaultListableBeanFactory.removeBeanDefinition(DeployUtils.transformName(className));
        }
    }
}

测试

测试类手动模拟用户上传jar的功能。测试函数写了个死循环,一开始没有找到jar会抛出异常,捕获该异常并睡眠10秒。这时候可以把jar手动放到指定的目录下。

代码如下:

 ApplicationContext applicationContext = new ClassPathXmlApplicationContext("applicationContext.xml");
    DefaultListableBeanFactory defaultListableBeanFactory = (DefaultListableBeanFactory) applicationContext.getAutowireCapableBeanFactory();
    while (true) {
        try {
              hotDeployWithReflect();
//            hotDeployWithSpring();
//            delete();
            } catch (Exception e) {
                e.printStackTrace();
                Thread.sleep(1000 * 10);
            }
        }
你想不想让你写的博客一键发布多平台?!
Sonetto_一名大三小菜的经历分享,日更,讲述自身的、最贴切实际的知识分享
04-12 1112
*OpenWrite是什么:**OpenWrite是一款自媒体工具,它提供一键发布功能,可以帮你将文章统一发布到各个平台 ,包括 优快云 、 SegmentFault、简书、今日头条等等。
CNN入门讲解:准确率很高就感觉自己萌萌哒?NONONO,还有一点也重要
bobo_jiang的博客
09-10 5484
首发于知乎专栏:https://zhuanlan.zhihu.com/p/38245449 公众号:follow_bobo ------------------------------------------------------------------------------------- 想要代码的小伙伴请去公众号:follow_bobo ,下载 回复“修正”,即可获得下载地址。 或...
热更新部署代码jar包
11-03
热更新示例可以便于服务器端进行热部署 !图表设计实际上就是数据可视化设计,美观的图表设计可以让数据分析变得轻松、流畅、并且易读,将更有助于提高用户的工作效率,降低用户的工作负担。RDP报表工具不仅具有经典美观的图表展现,而且可以提供丰富的图表样式,基本涵盖Excel中的所有图表样式,包括:柱形图、折线图、饼图和圆环图、圆环图、条形图、面积图、XY(散点)图和气泡图、气泡图、股价图、雷达图、树状图、旭日图、直方图、瀑布图、漏斗图以及组合图。为了更进一步地满足用户的需求,RDP报表工具同时也致力于呈现大型化、高清晰化、超高分辨率的图形展示,RDP大屏幕数据展示以直观、多维、实时、动态、交互、联动的视觉冲击力带领用户领略数据可视化的独特魅力!
动态上传jar包热部署实战
Java知音
05-28 372
点击关注公众号,实用技术文章及时了解近期开发系统过程中遇到的一个需求,系统给定一个接口,用户可以自定义开发该接口的实现,并将实现打成jar包,上传到系统中。系统完成热部署,并切换该接口的实现。定义简单的接口这里以一个简单的计算器功能为例,接口定义比较简单,直接上代码。publicinterfaceCalculator{ intcalculate(inta...
动态上传jar包热部署
油墨香^-^的博客
08-04 189
这里以一个简单的计算器功能为例,接口定义比较简单,直接上代码。}
求求你别再手动部署jar包了,太low了!动态传热部署真的太爽了!
emprere的博客
06-14 274
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享点击关注#互联网架构师公众号,领取架构师全套资料 都在这里0、2T架构师学习资料干货分享上一篇:jQuery 落幕了!大家好,我是互联网架构师近期开发系统过程中遇到的一个需求,系统给定一个接口,用户可以自定义开发该接口的实现,并将实现打成jar包,上传到系统中。系统完成热部署,并切换该接口的实现。定义简...
手动部署 ceph osd (luminous 版)
Terry Tsang
11-20 3044
环境 参考 手动部署 ceph 环境说明 (luminous 版) 目标 /dev/sdm 作为系统盘 /dev/sdn 作为 journal ssd disk 用于加速 journal 写入, 提高 osd 能力 /dev/sda ~ /dev/sdl 每个 SATA 盘 独立 raid0 (6TB) 用于 osd data disk 对 /dev/...
部署libre speedtest测速网站中遇到的无历史记录的问题(无法分享测速结果)。
yufeng0990的博客
07-05 1811
最近在搭建测速网站, 网上找到所有的教程都可以正常搭建完成,可以正常测速。但是无法分享(不生成历史记录)。测速结果如下。
面试官:你会怎么做前端web性能优化?我:.%*&.!
最新发布
Sonetto_一名大三小菜的经历分享,日更,讲述自身的、最贴切实际的知识分享
04-30 1065
>面试话语:例如:页面有一个压缩图片功能,而这个功能的第三方库很大; > 这个功能用户不会立即使用、甚至可能不使用。将该功能异步加载
jrebel-idea-热部署jar包.zip
08-05
jrebel-idea-热部署ar包.zip。 IDEA热部署插件,修改代码可不用重启项目,方便调试。
IDEA JRebel热部署插件jar包
12-25
IDEA的 JRebel热部署插件, 修改后无需重启项目
JAVA代码热部署,在线不停服动态更新
12-22
本地debug的时候,可以实时编译并更新代码,线上也可以不停服来动态更新类,即所说的java热部署。   JDK代理的两种方式:   1.premain方式是Java SE5开始提供的代理方式,但其必须在命令行指定代理jar,并且代理类必须在main方法前启动,它要求开发者在应用启动前必须确认代理的处理逻辑和参数内容等等   2.agentmain方式是JavaSE6开始提供,它可以在应用程序的VM启动后再动态添加代理的方式   agentmain应用场景:   比如正常的生产环境下,一般不会开启代理功能,但是在发生问题时,我们不希望停止应用能够动态的去修改一些类的行为,以帮助排查问
还在手动部署jar包?太low了,动态上传jar包热部署真的爽!
程序员闪充宝
05-30 323
大家好,我是宝哥!近期开发系统过程中遇到的一个需求,系统给定一个接口,用户可以自定义开发该接口的实现,并将实现打成jar包,上传到系统中。系统完成热部署,并切换该接口的实现。定义简单的接口这里以一个简单的计算器功能为例,接口定义比较简单,直接上代码。publicinterfaceCalculator{ intcalculate(inta,intb);...
打jar包可以热部署吗_体验springbootdevtools热部署,流畅且不失强大
weixin_42376793的博客
01-02 1672
不羡鸳鸯不羡仙,一行代码调半天。原创:小姐姐味道(微信公众号ID:xjjdog),欢迎分享,转载请保留出处。一个高级开发工程师,第一次用SpringBoot,决定打印一个经典的HelloWorld。由于他太激动了,结果打错了一个字母,变成了HalloWorld。哈喽?多么土多么俗多么没有档次,就像是嘴里含了个槟郎,吐不出气来,绝对需要进行改正。结果,改成hello之后,高工发现需要重启应...
jar插件的热部署、卸载、更新(springboot)
qq_30322893的博客
11-12 3425
jar插件的热部署、卸载、更新(springboot)
手动部署jar包,太low!动态传热部署真爽!
emprere的博客
05-14 137
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享点击关注#互联网架构师公众号,领取架构师全套资料 都在这里0、2T架构师学习资料干货分上一篇:2T架构师学习资料干货分享大家好,我是互联网架构师!近期开发系统过程中遇到的一个需求,系统给定一个接口,用户可以自定义开发该接口的实现,并将实现打成jar包,上传到系统中。系统完成热部署,并切换该接口的实现。定义简单的接口这里以一个简单...
<?php include("flag.php"); highlight_file(__FILE__); class Test { public $username; public function __construct() { $this->username = 'admin'; } public function __destruct() { global $flag; if ($this->username == 'admin') { echo $flag; } } } function filter($data){ if (preg_match('/username/', $data)) { die("nonono!!!</br>"); } return unserialize($data); } filter($_GET['data']); 用进制绕过
04-03
<think>好的,我现在需要帮助用户找到PHP反序列化漏洞中通过进制绕过的方法,并给出一个例子。首先,我得回忆一下PHP反序列化机制以及常见的绕过技巧。 用户提到了“进制绕过”,这可能指的是利用不同进制表示的数值在反序列化时的处理差异。例如,PHP在反序列化时,处理数字类型的方式可能允许十六进制或其他进制的表示,从而绕过某些过滤或检查。 我记得PHP的序列化字符串中,整数通常以i:数字;的形式表示,而字符串是s:长度:"内容";。如果某些过滤逻辑检查的是十进制数字,攻击者可能通过使用十六进制或其他进制来绕过。例如,使用十六进制的表示方式,可能在某些情况下被PHP解析为相同的数值,从而绕过检查。 不过,PHP的序列化格式本身并不直接支持十六进制或其他进制的数字表示。也就是说,在序列化字符串中,数字应该以十进制形式出现。那用户所说的进制绕过具体是如何实现的呢?可能需要结合其他漏洞,比如在字符串处理中的进制转换问题。 例如,如果一个应用在反序列化之前对输入进行了某种处理,如将十六进制字符串转换为十进制,或者存在字符截断、类型转换等问题,可能导致反序列化时的对象注入。比如,当开发者尝试过滤某些特定数值时,攻击者可能通过不同进制的输入来绕过过滤,因为过滤逻辑可能没有考虑到多种进制的情况。 比如,考虑一个类中的__wakeup()方法,该方法可能根据某个数值进行安全检查。如果攻击者能通过十六进制或其他方式表示该数值,可能绕过检查。例如,原本过滤的是i:10;,但攻击者使用i:0xA;(假设PHP允许),但实际上,PHP的序列化格式中i后面的值必须是十进制,所以这可能行不通。 这时候可能需要另一种方式,比如在字符串长度中使用十六进制。例如,s:0x10:"..."; 这里的长度是十六进制的16。PHP的unserialize函数是否允许长度字段使用十六进制?根据PHP的文档,序列化字符串中的长度应该是十进制的,但某些PHP版本可能存在解析差异,允许十六进制的长度表示,这可能被用来构造恶意字符串。 例如,假设有一个类在反序列化时根据字符串长度进行某种验证,攻击者可能通过使用十六进制的长度表示来绕过长度限制。例如,s:0x31:"..."; 实际长度为49,但可能绕过某些检查逻辑,认为长度是0x31(即十进制的49)。 另外,可能涉及字符逃逸的情况。例如,如果序列化字符串中的某个部分被过滤或替换,导致长度字段与实际字符串长度不符,从而改变后续的反序列化结构。例如,如果替换字符导致字符串变长,但攻击者通过十六进制或其他进制调整长度字段,使得解析器正确解析,从而实现注入。 例如,假设原本的序列化字符串是s:5:"Hello";,如果攻击者将长度改为s:0x5:"Hello";,PHP可能仍然正确解析,因为0x5等于5。但如果应用在处理输入时将某些字符替换为更长或更短的表示,攻击者可能利用进制表示来调整长度,从而避免因长度不匹配导致的解析错误。 此外,可能结合其他漏洞,如类型混淆。例如,将某个字段的类型从字符串改为整数,或者利用不同进制表示的类型值来绕过检查。 现在,我需要验证这些思路是否正确。查阅相关PHP反序列化漏洞的资料,尤其是进制绕过的例子。根据引用[2]和[4],PHP的反序列化会调用魔术方法,如__wakeup(),而漏洞常出现在这些方法中。例如,如果某个类的__wakeup()方法根据某个数值进行权限检查,攻击者可能通过进制转换绕过该检查,如果该数值的解析存在漏洞。 比如,假设有类如下: class Example { public $id; public function __wakeup() { if ($this->id == 10) { // 执行敏感操作 } } } 如果攻击者能够将$id设置为十六进制的A(即10),但序列化字符串中使用i:0xA;,但实际上PHP的序列化不允许这样,必须为i:10;。因此,这种情况下进制绕过可能不可行。除非应用在处理输入时,将字符串中的数字转换为十进制,比如存在某种过滤,将十六进制转换为十进制,导致反序列化后的数值正确。 另一种可能性是,应用在处理输入时,将用户提供的序列化字符串中的数字进行进制转换处理,例如将十六进制转换为十进制,但处理不当导致绕过。例如,用户提交的序列化字符串中的数字以十六进制表示,但应用在过滤时将其转换为十进制,而反序列化时PHP仍然正确解析,导致绕过。 例如,假设应用检查序列化字符串中是否有i:10;,但攻击者提交i:0xA;,应用可能没有识别十六进制格式,导致检查绕过,而PHP在反序列化时可能无法解析i:0xA;,导致错误。因此,这种方法可能不适用。 因此,可能更常见的是利用字符串中的十六进制或其他进制绕过,例如在字符串长度或字符表示中使用十六进制。例如,在序列化字符串中,长度字段可以使用十六进制,如s:0x10:"...";,而PHP的unserialize函数会正确解析这个长度。例如,构造一个恶意序列化字符串,其中的长度字段用十六进制表示,以绕过某些过滤逻辑。 例如,假设应用有一个过滤,不允许字符串长度超过10,但攻击者使用十六进制表示长度0xB(即11),应用可能没有检查十六进制的情况,从而绕过限制。 具体例子可能如下: 正常序列化字符串: O:4:"User":1:{s:4:"name";s:5:"admin";} 攻击者构造的字符串: O:4:"User":1:{s:4:"name";s:0x5:"admin";} 这种情况下,PHP仍然能正确解析,因为s:0x5等同于s:5。如果应用的过滤逻辑检查的是十进制的长度,而没有处理十六进制,攻击者可能绕过长度限制。 不过,这只是一个简单的例子,可能不足以构成漏洞。更复杂的场景可能涉及字符逃逸。例如,在PHP反序列化中,如果字符串的长度被错误地计算,可能导致解析器将后续的数据当作新的对象来处理,从而实现对象注入。 例如,假设存在一个替换操作,将某些字符替换为更长的字符串。例如,将'x'替换为'xx'。攻击者可以构造一个字符串,使其在替换后的长度与原始长度匹配,通过十六进制长度字段来正确解析,从而逃逸出原有的结构,插入恶意对象。 例如,原始序列化字符串: s:5:"Hello"; 如果应用将'l'替换为'xx',则替换后的字符串为"Hexxxxxxo",长度变为9。但原始长度是5,导致反序列化失败。但如果攻击者构造s:0x9:"Hlllo";,其中每个'l'被替换为'xx',则替换后的字符串长度为:假设原始字符串是"Helllo",替换后是"HeXXXXXXo",正确长度可能被0x9(即9)匹配,从而反序列化成功,并可能控制后续数据。 不过,这需要具体的应用场景和替换逻辑,可能比较复杂。 总结来说,PHP反序列化中的进制绕过可能主要涉及在序列化字符串中使用十六进制表示长度或其他数字字段,从而绕过过滤或检查逻辑。开发者可能在过滤时仅检查十进制数字,而忽略其他进制表示,导致绕过。 现在,需要给出一个具体的例子。例如,一个类在反序列化时检查某个数字是否为特定值,攻击者通过十六进制绕过。 假设存在以下类: class VulnerableClass { public $accessLevel; public function __wakeup() { if ($this->accessLevel == 1) { $this->admin = true; } } } 正常情况下,攻击者需要设置accessLevel为1。但如果应用过滤了序列化字符串中的i:1;,攻击者可能尝试使用十六进制或其他进制绕过,如i:0x1;,但PHP的序列化语法中并不支持这种写法,因此这不可行。 那可能需要其他方式。例如,如果accessLevel是一个字符串,应用检查其是否为"1",但攻击者使用其他进制字符串绕过,如"1"的八进制表示等。不过,这属于类型混淆,而非序列化字符串本身的进制绕过。 另一种情况是,攻击者通过进制转换在序列化字符串的某些部分构造有效载荷。例如,在对象属性数量处使用十六进制绕过。例如,原本序列化字符串中的属性数量为1,即O:15:"VulnerableClass":1:{...},攻击者可能改为O:15:"VulnerableClass":0x1:{...},但这同样在语法上是允许的,可能不会触发问题。 可能更实际的例子是字符串长度绕过。例如,在序列化字符串中,如果某个字符串的长度被限制为小于某个值,攻击者用十六进制表示长度以绕过。 例如,应用限制某个字段的长度为10,攻击者构造s:0xA:"...";,长度为10,但应用可能没有检查十六进制形式,从而允许更长的字符串。 不过,这仍然取决于应用的过滤逻辑是否处理了十六进制。 因此,可能的例子是,当应用在反序列化前对用户输入进行过滤,如删除某些危险字符,导致序列化字符串的长度变化,攻击者通过调整长度字段的进制表示,使得解析器正确解析,从而构造有效的反序列化载荷。 例如,字符逃逸攻击中的利用。假设应用将用户输入中的'x'替换为'xx',导致字符串长度增加。攻击者可以构造一个序列化字符串,其中长度字段使用十六进制,使得替换后的实际长度与长度字段匹配,从而逃逸出原有结构,插入恶意对象。 例如,原始载荷: s:5:"123x5"; -> 替换后为s:5:"123xx5",实际长度6,导致解析错误。但攻击者可以构造s:0x6:"123x5";,替换后字符串长度为6,长度字段0x6等于6,解析正确,从而可能后续注入其他对象。 不过,这需要具体的替换逻辑和精心构造的长度。 综上所述,PHP反序列化中的进制绕过通常涉及在序列化字符串中使用十六进制的长度或其他数值,以绕过过滤或检查机制。开发者可能未考虑到不同进制的表示,导致攻击者可以构造恶意载荷绕过防护。</think>### PHP反序列化漏洞中的进制绕过方法 在PHP反序列化漏洞中,**进制绕过**通常通过修改序列化字符串中的数值表示方式(如十进制、十六进制)来绕过过滤或类型检查逻辑。以下是一个具体示例及分析: --- #### 示例场景 假设存在一个类`User`,其`__wakeup()`方法通过检查`$role`字段的值赋予管理员权限: ```php class User { public $username; public $role; public function __wakeup() { if ($this->role === 1) { $this->is_admin = true; // 授予管理员权限 } } } ``` 开发者可能对输入进行过滤,例如阻止`role`字段的值为十进制`1`(如`i:1;`)。攻击者可通过十六进制绕过这一限制。 --- #### 进制绕过攻击步骤 1. **构造恶意序列化字符串** 正常序列化字符串为: ``` O:4:"User":2:{s:8:"username";s:5:"guest";s:4:"role";i:1;} ``` 若过滤`i:1;`,攻击者可将`role`的十进制值`1`改为十六进制`0x1`,构造以下载荷: ``` O:4:"User":2:{s:8:"username";s:5:"guest";s:4:"role";i:0x1;} ``` PHP在反序列化时会自动将`0x1`解析为十进制`1`,从而绕过过滤逻辑。 2. **利用字符串长度的十六进制表示** 若开发者检查字符串字段的长度是否为十进制数值,攻击者可使用十六进制表示长度。例如: ``` O:4:"User":2:{s:8:"username";s:0x5:"admin";s:4:"role";i:1;} ``` 这里`s:0x5:"admin"`等同于`s:5:"admin"`,但可能绕过基于十进制长度的检查。 --- #### 关键点分析 - **PHP的数值解析特性**:PHP的`unserialize()`函数允许序列化字符串中的整数以十六进制(`0x`前缀)或八进制(`0`前缀)表示[^2]。 - **类型混淆风险**:若过滤逻辑未覆盖多种进制格式,攻击者可构造特殊数值绕过检查。 - **字符逃逸扩展**:进制绕过常与字符逃逸结合,例如通过调整长度字段的进制表示,使替换后的字符串仍能被正确解析[^4]。 --- #### 防御建议 1. 严格验证反序列化输入,禁止非十进制数值表示。 2. 使用安全的反序列化库(如`json_decode`)替代`unserialize()`[^5]。 3. 对关键字段进行强类型校验,避免隐式类型转换。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值