Java反射
记录学习Java反射机制(安全相关)。
什么是反射?
这里我引用学习JavaSE时对反射机制的介绍
反射就是把Java类中的各个成分映射成一个个的Java对象。即在运行状态中,对于任意一个类,都能够知道这个类所有的属性和方法,对于任意一个对象,都能调用它的任意一个方法和属性。这种动态获取信息及动态调用对象方法的功能叫Java的反射机制。
简单讲,反射机制允许我们获取类的信息,无视权限调用任何方法。从安全角度举一个例子,我们可以利用反射机制绕过一些沙盒,获取到能够执行命令的Runtime类。
另外,反射是Java安全中反序列化漏洞的前置知识点。
反射中比较重要的几个方法
-
获取类的方法:
forName
-
实例化类对象的方法:
newInstance
-
获取函数的方法:
getMethod
-
执行函数的方法:
invoke
注意!
forName
有两种函数重载,其中要注意是下述这种
Class<?> forName(String name,boolean initalize,ClassLoader loader)
第二个参数的初始化代表是否调用目标类的静态代码块static{}
如果我们能够控制forName
第一个参数,就能够编写一个恶意类,在静态代码块中写入恶意代码并执行。这里先保留一个问题:怎么把恶意类带入到目标机器?
class.newInstance()
作用是调用这个类的无参构造器获取目标类的实例,不过有时候会不成功,原因可能是:
-
这个类没有无参构造器
-
构造器是私有的
解决方法:
getDeclared
系列提供了获取目标类所有信息和方法(不包括来自父类继承)
没有无参构造器?方法是私有的?通过getDeclaredConstructor
获取一个构造器对象,再用setAccessible
方法修改构造器对象的访问权限。调用newInstance
时写入相应参数即可。类似的,也可以利用getDeclaredMethod
获取一个方法对象。
//InnerClass.java
public class InnerClass {
public static class A{
private void f(){
System.out.println("hello");
}
private A(String a){
}
}
}
//Test.java
import java.lang.reflect.Constructor;
import java.lang.reflect.Method;
public class Test {
public static void main(String[] args) throws Exception{
Class clazz = Class.forName("InnerClass$A");
Constructor c = clazz.getDeclaredConstructor(String.class);
Method f = clazz.getDeclaredMethod("f");
f.setAccessible(true);
c.setAccessible(true);
f.invoke(m.newInstance("test"));
}
}
结果成功调用目标内部类的f()
函数,输出hello
假如说目标方法形参是基本类型呢?比如int
,我们可以用Integer.TYPE
获取这个基本类型的类型。
反射机制的利用
这里举一个执行计算器的例子
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
public class Main3 {
public static void main(String[] args) throws Exception {
/*
Class clazz = Class.forName("java.lang.Runtime");
clazz.getMethod("exec", String.class).invoke(clazz.getMethod("getRuntime").invoke(clazz),"calc.exe");
*/
//上述写法等价于
//Runtime类是单例模式,先通过公有方法获取其中私有的单例对象
Class clazz = Class.forName("java.lang.Runtime");
Method execMethod = clazz.getMethod("exec", String.class);//通过函数名和参数列表唯一确定一个函数
Method getRuntimeMethod = clazz.getMethod("getRuntime");
Object runtime = getRuntimeMethod.invoke(clazz);
execMethod.invoke(runtime,"calc.exe");
}
}