

LoRexxar's Blog | 信息技术分享

LoRexxar's Blog | 信息技术分享

Ghost Bits，Java WAF之殇？



Ghost Bits，Java WAF之殇？

java ghostbits

 2026/04/29   Share

• 
• 
• 
• 
• 

在前两天的BlacksetHat Asia 2026上，@浅蓝和@1ua分享一个非常有趣的议题，Java中的GhostBits漏洞

• https://i.blackhat.com/Asia-26/Presentations/Asia-26-Bai-Cast-Attack-Ghost-Bits-4.23.pdf

探究深度非常深，影响范围非常之广，内容非常有意思

什么是Ghost Bits？

Ghost Bits这个概念的来源太久很难深究，甚至在软件领域之前就已经有类似的概念。Ghost Bits主要是指那些在莫名其妙的位置影响到软件运行的位，所以形容像幽灵一样。

在这个议题中，Ghost Bits主要指的是在某些类型转换过程中被不小心丢掉的高位，导致原字符串内容变化。

最经典的场景就是char类型和byte类型的转换，也是Java的经典场景。

char类型是16位（2字节），byte类型是8位（1字节），如果发生char强制转换为byte就会丢弃高8位，只保留低8位。其中的8位就像幽灵一样消失了。

在Java中，有4种非常常见的写法都会有该问题

• (byte) ch：显式的byte强制类型转化
• ch & 0xFF：位掩码，保留低8位
• OutputStream.write(int)：写入流时被截断
• DataOutputStream.writeBytes()：官方JDK方法，在文档中明确写明会丢弃高8位

而在unicode中，会有大量的高位内容，经过处理和转换之后就会被截断变成对应的字符

要注意的是，这个问题本质上在源代码层面表现一致，不能单独算作是一个漏洞，所以在80%的场景下，该问题主要影响的是和源代码不在同一层的软件，其中最经典的就是waf！

具体怎么回事？

基础的原理刚才都理解了，其实就是利用高位无效的机制问题，使得输入的内容在waf和实际源代码处理的时候遇到的是不同的内容。

比如说中文字阮，经过处理之后源代码获得的就是.

字符 '阮' = U+962E = 0x962E
(byte) 0x962E = 0x2E = '.'

那你就可以用这种方式绕过WAF的限制

比如说我输入\u丰丰耳失，waf收到这个输入的时候认为没有任何敏感词，则放行到后端jackson，后端将其转为byte，最终拼接成sql注入语句

最神奇的是，这种逻辑的泛用性极强，首先本身高位被抛弃意味着高位可以塞入任意值，那么对于poc就是多对1的转化关系。

以下两种都可以直接转为对应的../../，这对于waf来讲就是极强的考验，即便只针对byte的转化关系，waf也非常难处理

继续拓展？

刚才提到了，在java本身的代码中，char类型和byte类型的转化是非常常用的写法，其带来的问题往往并不能直白的影响到源代码层面，但对于安全来讲，似乎小概率事件会导致大概率问题？！

CVE-2025-41242 Spring框架因Jetty URI解析不一致导致的路径穿越漏洞

刚才我们讨论的是泛用性非常强的waf场景，那么在Spring框架下，本身会有一个非常大的问题，就是Spring框架中StringUtils.uriDecode和JettyURIUtil.encodePathSafeEncoding的处理方式不一致，导致了底层的路径穿越问题。

• https://github.com/advisories/GHSA-r936-gwx5-v52f
• https://github.com/spring-projects/spring-framework/commit/24e66b63

对于Spring框架的StringUtils.uriDecode方法

遇到%时会做专门的处理，并调用ByteArrayOutputStream.write导致了高位bit丢失，出现Ghost Bits漏洞。

阮严灵丰丰甲来会被转为.%u002e

这个输入在Spring层面，不但可以通过isInvalidPath/isInvalidEncodedPath的路径检查，还不会被识别为正常的%u编码，全部放行

传递到Jetty中，URIUtil.encodePathSafeEncoding却会将%u002e做unicode解码转为.，最终构造成为../

Openfire CVE-2023-32315 — 认证绕过

转为Byte丢失高位的方案大家都知道，还有一些更邪门的其他漏洞，其实本质上也是类似的问题。

一个很有趣的例子就是Openfire CVE-2023-32315，这个漏洞本质上是一个基础的路径穿越漏洞

• CVE-2008-6508，最早的漏洞只需要..就可以实现路径穿越
• CVE-2023-32315，发现可以用%u002e，也就是UTF-16来替代%2e实现路径穿越，因为AuthCheckFilter并没有校验对应的输入，但Jetty支持%u解码，导致了漏洞的绕过

poc就是这样的

/setup/setup-a/%u002e%u002e/%u002e%u002e/log.jsp

很多WAF都加入了%u002e%u002e作为关键字之一，那么你可以使用这个poc来绕过

/setup/setup-a/%2>%2>/%2>%2>/log.jsp

这里有个比较邪门的点在于，对于大部分框架来说，他们不会把%2>当做url编码去处理，因为>并不是合法的url编码。

但是对于Jetty来说，他会一视同仁，把>传入到convertHexDigit做处理

public static byte convertHexDigit(byte c) {
    byte b = (byte)((c & 0x1f) + ((c >> 6) * 0x19) - 0x10);
    if (b < 0 || b > 15)
        throw new NumberFormatException("!hex " + c);
    return b;
}

也就是说即便是符号>依旧会经过这一套算法，最终获得结果是14，对应E

那么这样一来，waf收到的请求是%2>不合法的url编码不做处理，jetty把他处理转为了%2E成功输入.绕过waf。

写在最后

其实类似的场景同样非常多，因为许多大型框架中，除了显式的Java类型转化，还会有隐式的框架中的处理导致同样的问题，在原议题中分享了不同框架下涉及到不同漏洞的很多种问题，他们无一都是开发者无意中触发了Ghost bits问题，设计者并没有提前考虑好类型强制转化的额外影响。

正如演讲结尾所说：“We have only scratched the surface” — 这才刚刚开始。

原文作者：LoRexxar

原文链接：https://lorexxar.cn/2026/04/29/java-ghost-bits/

发表日期：April 29th 2026, 6:09:32 pm

更新日期：April 29th 2026, 6:20:40 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Previous Post
  AI.Re.(3) - AI到底变了什么？为什么突然井喷？

Powered by Hexotheme Archer

京ICP备2021004652号-1

PV: :)

CATALOG

1. 1. 什么是Ghost Bits？
2. 2. 具体怎么回事？
3. 3. 继续拓展？
4. 4. CVE-2025-41242 Spring框架因Jetty URI解析不一致导致的路径穿越漏洞
   1. 4.1. Openfire CVE-2023-32315 — 认证绕过
5. 5. 写在最后

• Archive
• Tag
• Cate

Total : 211

2026

• 04/29 Ghost Bits，Java WAF之殇？
• 04/07 AI.Re.(3) - AI到底变了什么？为什么突然井喷？
• 03/11 AI.Re.(2) - OpenClaw到底为什么爆火？
• 03/10 AI.Re.(1) - AI变革的时代来了吗？

2025

• 12/31 不容错过的2025年度漏洞：React2Shell（CVE-2025-55182）分析

2024

• 06/11 PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）分析与复现

2023

• 12/18 人与代码的桥梁-聊聊SAST
• 11/21 Joern In RealWorld (3) - 致远OA A8 SSRF2RCE
• 10/26 Joern In RealWorld (2) - Jumpserver随机数种子泄露导致账户劫持漏洞（CVE-2023-42820）
• 10/20 深入浅出Joern（四）不常用语法大全
• 08/31 Joern In RealWorld (1) - Acutators + CVE-2022-21724
• 08/24 深入浅出Joern（三）Joern和Neo4j常用语法大全
• 08/22 深入浅出Joern（二）CPG与图数据库
• 08/21 深入浅出Joern（一）Joern与CPG是什么？
• 07/19 打造自己的AIGC应用（一）入门篇
• 06/21 赛博偶像速成指南（三）- Midjourney
• 06/02 赛博偶像速成指南（二）- SD进阶篇
• 05/25 从0到1的ChatGPT - 进阶篇（五）- Embeddings
• 05/19 从0到1的ChatGPT - 进阶篇（四）- 训练自己的ChatGPT
• 05/08 看上去不起眼的微信机器人以及公众号爬虫
• 04/28 从0到1的ChatGPT - 进阶篇（三）- ChatGPT+？
• 04/26 从0到1的ChatGPT - 入门篇（二） - 如何与ChatGPT对话？
• 04/14 从0到1的ChatGPT - 入门篇
• 02/21 赛博偶像速成指南

2022

• 11/02 CS Xss2Rce CVE-2022-39197分析与复现
• 04/14 SCA的困境和出路
• 03/21 人生的第二个可能~

2021

• 12/10 log4j2 JNDI注入漏洞速通~
• 08/17 从0开始入门Chrome Ext安全（三） -- 你所未知的角落 - Chrome Ext安全
• 08/17 DevSecOps 究竟需要怎样的白盒？
• 08/06 区块链安全罪与罚 -- 浅谈区块链与安全发展史
• 05/19 创宇四年
• 04/16 反制Webdriver - 从Bot到RCE进发
• 03/09 通达OA代码审计篇二 - 11.8 后台Getshell
• 03/03 通达OA代码审计篇 - 11.7 有条件的任意命令执行
• 02/05 如何自动化挖掘php反序列化链 - phpunserializechain诞生记
• 01/28 为被动扫描器量身打造一款爬虫-LSpider

2020

• 10/30 构造一个CodeDB来探索全新的白盒静态扫描方案
• 09/21 从0开始聊聊自动化静态代码审计工具
• 07/14 Geekpwn 2020云端挑战赛 Noxss & umsg
• 07/08 从反序列化到类型混淆漏洞 -- 记一次ecshop实例利用
• 06/10 Roundcube mail 3 Xss
• 05/29 Roundcube mail代码审计笔记
• 05/11 空指针-Base on windows Writeup -- 最新版DZ3.4实战渗透
• 02/03 从0开始入门Chrome Ext安全（番外篇） -- Zoomeye Tools
• 01/14 CSS-T | Mysql Client 任意文件读取攻击链拓展

2019

• 12/30 pwnhub 被污染的Jade
• 12/05 从0开始入门Chrome Ext安全（二） -- 安全的Chrome Ext
• 11/22 从0开始入门Chrome Ext安全（一） -- 了解一个Chrome Ext
• 10/25 PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析
• 09/23 从零开始学java web - struts2 RCE分析
• 07/23 CVE-2019-11229详细分析 --git config可控-RCE
• 07/10 Redis 基于主从复制的RCE利用方式
• 06/12 Mybb 18.20 From Stored XSS to RCE 分析
• 05/28 MIMIC Defense CTF 2019 final writeup
• 04/19 Drupal 1-click to RCE分析
• 03/14 聊聊WordPress 5.1.1 CSRF to RCE漏洞
• 02/22 Wordpress 5.0 RCE详细分析

2018

• 12/07 Discuz x3.4前台SSRF分析
• 12/07 Code Breaking挑战赛 Writeup
• 12/01 以太坊智能合约审计CheckList
• 11/20 LCTF2018 ggbank 薅羊毛实战
• 11/16 从DVP GAME到变量覆盖问题
• 11/14 HCTF2018部分Web题目Writeup
• 11/12 HCTF2018智能合约两则Writeup
• 11/08 “以太坊智能合约编码隐患”影响分析报告
• 10/18 智能合约游戏之殇——Dice2win安全分析
• 09/25 “以太坊智能合约编码设计问题”影响分析报告
• 09/14 blockwell.ai 虚假转账 事件分析
• 09/06 “以太坊智能合约编码安全问题”影响分析报告
• 08/24 智能合约游戏之殇-类Fomo3D攻击分析
• 08/22 “以太坊智能合约设计缺陷问题”影响分析报告
• 08/14 “以太坊智能合约规范问题”影响分析报告
• 07/13 wctf2018 cyber mimic defence Writeup
• 05/31 0CTF/TCTF2018 Final Web Writeup
• 05/23 RCTF2018 Web Writeup
• 04/20 基于Service Worker 的XSS攻击面拓展
• 04/17 TCTF/0CTF2018 h4x0rs.space Writeup
• 04/10 TCTF/0CTF2018 h4xors.club2 Writeup
• 04/05 TCTF/0CTF2018 部分Web Writeup
• 04/05 TCTF/0CTF2018 XSS bl0g Writeup
• 03/26 强网杯2018 Web writeup
• 02/23 吐槽HCTF2017
• 02/07 从补丁到漏洞分析 --记一次joomla漏洞应急
• 01/19 DeDeCMS v5.7 密码修改漏洞分析
• 01/02 34c3 Web部分Writeup

2017

• 12/19 WordPress Updraftplus 插件漏洞2则以及一些有趣的故事
• 11/15 HCTF2017 babycrack Writeup
• 11/15 HCTF2017-Deserted place-Writeup
• 11/15 HCTF2017-A World Restored-Writeup
• 11/10 HITCON2017-writeup整理
• 10/26 typecho前台getshell漏洞分析
• 10/25 前端防御从入门到弃坑--CSP变迁
• 10/25 WordPress安全架构分析
• 09/30 Discuz!X 3.4 任意文件删除漏洞分析
• 08/31 阿里先知xss挑战赛 Writeup
• 08/31 Discuz_X authkey安全性漏洞分析
• 08/23 从瑞士军刀到变形金刚--XSS攻击面拓展
• 08/15 pwnhub 改行做前端
• 07/26 finecms分析
• 07/23 xssgame writeup
• 07/20 FineCMS multi vulnerablity before v5.0.9
• 07/11 Some Vulnerability for FineCMS through 2017.7.11
• 07/11 第十届信息安全国赛 Web MISC writeup
• 07/07 WordPress WP Statistics authenticated xss Vulnerability(WP Statistics <=12.0.9)
• 06/16 0ctf2017 final
• 05/23 RCTF2017 web writeup
• 05/16 通过浏览器缓存来bypass CSP script nonce
• 05/12 PlaidCTF 2017 web writeup
• 05/12 xss bot从入门到弃坑
• 05/09 CSP Is Dead, Long Live CSP! 翻译
• 04/24 pwnhub 绝对防御 出题思路和反思
• 04/21 Shadow Brokers大新闻整理
• 04/21 360春秋杯2017 writeup
• 04/18 bctf2017 web部分wp
• 03/27 pwnhub 之小m的复仇
• 03/21 0ctf201 web部分writeup
• 03/13 NJCTF Web部分writeup
• 03/05 pwnhub_another php web部分
• 02/27 zctf2017 writeup
• 02/20 pwnhub 打开电脑
• 02/16 有趣的cdn bypass CSP
• 01/26 聊聊hctf2016
• 01/17 pwnhub 深入敌后
• 01/03 33c32016 writeup

2016

• 12/28 phpmailer RCE漏洞分析
• 12/26 pwnhub_迷
• 12/24 浅谈xss的后台守护问题
• 12/18 pwnhub_找朋友
• 12/18 pwnhub_拍卖行
• 12/10 pwnhub_WTF_writeup
• 12/07 using polyglot JPEGs bypass CSP 分析
• 12/03 通过redis getshell的一些小问题
• 12/01 hctf2016 简单部分WEB && misc writeup
• 11/30 hctf2016 guestbook&secret area writeup
• 11/29 HCTF2016 ATField writeup
• 11/19 hctf2016 giligili writeup
• 10/31 CSP进阶-302 Bypass CSP
• 10/28 CSP进阶-link Bypass unsafe line
• 10/26 什么是ctf呢？
• 10/11 hitcon2016 misc writeup
• 10/10 hitcon2016 web writeup
• 10/03 L-ctf2016 Writeup
• 09/14 php 伪协议
• 09/11 华山杯2016_writeup
• 08/29 crypto 简单的RSA
• 08/18 sqlmap 源码分析（四）开始注入
• 08/16 sqlmap 源码分析（三）在注入之前
• 08/11 sqlmap 源码分析（二）初始化
• 08/09 sqlmap 源码分析（一）开始、参数解析
• 08/08 CSP Level 3浅析&简单的bypass
• 08/07 python virtualenv沙盒命令
• 08/01 XNUCA2016 Writeup
• 07/21 python tqdm模块分析
• 07/18 shell上一些有趣的命令
• 07/17 sangebaimao之火币网
• 07/12 信息安全国赛技能赛 Writeup
• 06/26 一个有趣的东西-cloudeye
• 06/17 sangebaimao之招聘又开始了，你怕了吗？
• 06/06 alictf2016_web_writeup
• 06/04 sangebaimao 寻找来自星星的你一
• 05/27 在php opcache检测隐藏的后门程序
• 05/12 php webshell 各种函数
• 05/10 Asis2016_Binary Cloud
• 05/09 sctf2016_writeup
• 05/05 dockerfile (・ω・)ノ
• 05/04 docker 基础操作
• 05/02 google_ctf2016_writeup
• 04/25 CCTF2016_writeup
• 04/20 gif bypass CSP?
• 04/11 j123jt的聊天板大型wp
• 04/11 sctfq1_Obfusion_writeup
• 04/08 input属性bypass csp
• 04/06 hctfgame_ll的流量分析题
• 04/04 is_numeric和trim导致的判断绕过
• 03/30 web_for_pentest_II writeup
• 03/22 bctf2016
• 03/14 hctf_game_week4+5_writeup
• 03/14 0ctf2016 && sunshinectf2016 writeup
• 03/07 bkp2016_writeup
• 03/05 hexo转移到coding配置
• 03/01 ssctf2015_writeup
• 02/29 hctf_game_week3_writeup
• 02/28 ldpa简单注入
• 02/28 titan souls 普通模式通关攻略
• 02/18 简单的git教程
• 02/18 hctf_game_week2_writeup
• 02/18 hctf_game_week1_writeup
• 02/18 hctf_game_week0_writeup

2015

• 12/21 《代码审计》一点儿笔记
• 12/19 hctf2015的一点儿记录
• 11/19 xss link&svg黑魔法
• 11/19 SQL 显错注入
• 11/17 ISG2015_writeup
• 11/17 RCTF2015_writeup
• 11/02 SPWC & 华山杯？ writeup
• 10/24 关于sqli注入的特殊函数
• 10/04 XDCTF2015-writeup
• 09/28 Nsctf2015_Writeup
• 07/02 xss无声挑战赛_writeup
• 06/11 ctf近期总结
• 05/22 Windows Hexo博客安装配置优化（小白篇）
• 05/21 Hduisa_ctf_wee4_fucksql
• 05/10 Web for pentester_writeup
• 02/26 Hduisa_ctf_writeup02
• 02/26 Hduisa_ctf_writeup01
• 02/26 （转）十年学会程序设计
• 01/22 0基础如何学好WEB（转）

2014

• 12/31 凤凰挽歌，黑客独白（作者：我是老鹰&炫凤舞）
• 12/29 （转）学长们给我们的书目（结尾附上PDF地址）
• 12/29 菜鸟小白的开始...

 ctf  Blogs  sqli  CSP  xss  java  csp  ssrf  redis  postMessage  pdflatex  csrf  opcache  nodejs  race  Hexo  cve  Shadow Brokers  0day  windows  aigc  php  c  curl  eth  blockchain  Reprint  bookshelf  chatgpt  llm  embeddings  chrome  chrome_ext  chrome ext  cmd  shell  linux  webdriver  dns  cloudeye  node  crypto  RSA  rabins  cs  CVE-2022-39197  contract  mysql  phpmailer  aicg  sd  dedecms  逻辑漏洞  midjourney  devsecops  whitebox  智能合约  book_notes  docker  dvp  phar  rce  ctf web  漏洞分析  dz  Fomo3D  git  反序列化漏洞  类型混淆漏洞  ecshop  access  伪协议  Essay  checklist  hctf  misc  php opcache  eassy  jsre  clrf  sast  joern  cpg  struts2  neo4j  oa  白盒  injection  随笔  django  LSpider  爬虫  log4j2  jndi  mimic  pwnhub  flask  格式化字符串  模板注入  js  wget  weblogic  lfi  pwn  fastcgi  ssh_sock5  LFI  win server信息收集  msf  lcx端口转发  IPC通道入侵  python  tqdm  virtualenv  open_basedir  crontab  roundcube  sangebaimao  参数污染  CBC  LD_PRELOAD  gopher  fcgi  php伪协议  file_put_contents  sca  Essry  sqlmap  game  titan_souls  tongda  blog  wechat  静态分析  SAST  tools  wordpress  条件竞争  代码审计  react2shell  ai  gpt  openclawd  agent  ghostbits



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

 Blogs  Reprint

