Java安全(一)classloader

最新推荐文章于 2022-05-28 12:15:30 发布
最新推荐文章于 2022-05-28 12:15:30 发布
阅读量2.9k 收藏
点赞数
文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shayebudon/article/details/122642271
版权

基础概念

Java是一个依赖于JVM(Java虚拟机)实现的跨平台的开发语言。

Java程序在运行前需要先编译成.class文件,Java类初始化的时候会调用java.lang.ClassLoader加载类字节码。

Java类加载器(Java Classloader)是Java运行时环境(Java Runtime Environment)的一部分,负责动态加载Java类到Java虚拟机的内存空间中,用于加载系统、网络或者其他来源的类文件。

Java源代码通过javac编译器编译成类文件,然后JVM来执行类文件中的字节码来执行程序。
在这里插入图片描述

ClassLoader

ClassLoader的主要作用就是Java类文件的加载 。
ClassLoader顾名思义就是类加载器,它的作用是:

  1. 负责将Class加载到JVM中
  2. 审查每个类由谁加载(父优先的等级加载基址)
  3. 将Class字节码重新解析成JVM统一要求的格式对象

ClassLoader工作机制
java双亲委派机制

类的动态加载

动态加载类基础理解
Class.forName理解
显式加载(类的动态加载)
java反射
ClassLoader
隐式加载
类名.方法名()
new

常用的类动态加载方式:

// 反射加载TestHelloWorld示例
Class.forName("com.anbai.sec.classloader.TestHelloWorld");

// ClassLoader加载TestHelloWorld示例
this.getClass().getClassLoader().loadClass("com.anbai.sec.classloader.TestHelloWorld");

Class.forName(“类名”)默认会初始化被加载类的静态属性和方法,如果不希望初始化类可以使用Class.forName(“类名”, 是否初始化类, 类加载器),

而ClassLoader.loadClass默认不会初始化类方法。

自定义ClassLoader

类自定义例子

总体流程就是:

1、继承ClassLoader类

2、覆盖findClass()方法

3、在findClass()方法中调用defineClass()方法

URLClassLoader
URLClassLoader继承了ClassLoader,URLClassLoader提供了加载远程资源的能力,在写漏洞利用的payload或者webshell的时候我们可以使用这个特性来加载远程的jar来实现远程的类方法调用。
URLClassLoader示例

EzClassLoader

@RequestMapping("/")
@ResponseBody
public String abc(@RequestParam(value = "name") String name) throws MalformedURLException, ClassNotFoundException {
    if (checkExt(name)){
        URL url = new URL(name);

        URLClassLoader ucl = new URLClassLoader(new URL[]{url});

        Class.forName("com.yyds.y4tacker",true,ucl);
    }else {
        return "Hacker?";
    }}

这里checkExt会检查是否为jar的扩展,有两种方法绕过。一是是利用.war,二只只传根目录,它会自动寻找,本地测试如下:

shayebudon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一看你就懂,超详细java中的ClassLoader详解
frank 的专栏
02-10 32万+
本篇文章已授权微信公众号 guolin_blog (郭霖)独家发布 ClassLoader翻译过来就是类加载器,普通的java开发者其实用到的不多,但对于某些框架开发者来说却非常常见。理解ClassLoader的加载机制,也有利于我们编写出更高效的代码。ClassLoader的具体作用就是将class文件加载到jvm虚拟机中去,程序就可以正确运行了。但是,jvm启动的时候,并不会一次性加载所有的...
[Java安全]类加载器ClassLoader
Huamang的博客
03-30 264
前言 借用了先知社区的文章的一张图来解释这个原理 负责动态加载Java类到Java虚拟机的内存空间中,用于加载系统、网络或者其他来源的类文件。Java源代码通过javac编译器编译成类文件,然后JVM来执行类文件中的字节码来执行程序。 类加载器介绍 类加载器大致分为两类: JVM 默认类加载器 用户自定义类加载器 类加载器分类 引导类加载器(BootstrapClassLoader):属于jvm一部分,不继承java.lang.ClassLoader类,也没有父加载器,主要负责加载核心java库(即
classloader机制研究(3) --- 类型安全
shuimuniao的专栏
05-25 796
转载,请注明出处! 本文实际是对《Dynamic class loading in the Java Virtual machine》第四部分的翻译。第四部分的题目是"Maintaining Type-safe Linkage",翻译成中文就是“链接时保证类型安全”。按照我的理解,用户自定义class loader以及class loader委托机制是造成类型不安全的原因。这部分就是在解释:用户
类加载器(ClassLoader)对java安全性的支持
javazhuanzai的专栏
02-01 619
====================================================== 注:本文源代码点此下载 ====================================================== 类加载器(classloader)对java安全性的支持 类加载器(classloader)对java安全性的支持 java类加载器是有层级结
java安全沙箱(一)之ClassLoader双亲委派机制
weixin_34038293的博客
08-31 178
为什么80%的码农都做不了架构师?>>> ...
为什么java里面会用三种classloaderClassLoader保证java安全
A-Itfuture的博客
08-31 260
BootstrapClassLoader: 只能用于加载JDK核心类库,系统变量为sun.boot.class.path下面的类。该目录下的%JAVA_HOME%/jre/lib/下的resources.jar;rt.jar等核心类库,该loader底层采用C++编写,自然你也就不能调用啦。 ExtClassLoader : 用于加载一些扩展类,系统变量为java.ext.dirs中的类。作用:加载开发者自己扩展类。 AppClassLoader: 用于加载用户类,这个就是java.class.p
Java基础?ClassLoader的理解
12-22
本文将深入探讨JavaClassLoader,特别是默认的三个类加载器及其工作原理。 首先,Java默认的三个类加载器有明确的层次关系: 1. Bootstrap ClassLoader:这是最顶层的类加载器,由C++编写并集成在JVM内部。...
深入解析Java中的Classloader的运行机制
09-03
Java编程语言中,Classloader是核心组件之一,负责加载运行时所需的类。本文将深入解析Java中的Classloader运行机制,特别是从JVM的角度探讨类加载器的委托机制。 首先,Java中的Classloader分为两类:用户自定义...
java classloader
03-01
Java ClassLoader是一个核心的Java运行时组件,负责加载类到Java虚拟机(JVM)中。它是Java平台的独特特性,因为它允许动态加载类,增强了软件的可扩展性和灵活性。这篇博文(虽然链接不可用)可能深入探讨了...
深入Java虚拟机-ClassLoader.pptx
最新发布
10-24
加载的结果是在堆内存中创建一个`java.lang.Class`对象,它代表了方法区内的类数据结构,并提供了访问这些数据的接口。 连接阶段包括验证、准备和解析三个子步骤。验证确保加载的类符合Java语言规范,避免安全问题...
JavaClassLoader加载是怎么保证安全的?
独行侠梦的博客
11-16 407
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达1、类加载机制Java中的源码.java后缀文件会在运行前被编译成.class后缀文件,文件内的字节码的本质就是一个字节数组 ,它...
compilerClassLoader
亮子的专栏
11-07 391
CompilingClassLoader.java 第 1 页(共 6 页) 以下是 CompilingClassLoader.java 的源代码 // $Id$ import java.io.*; /* A CompilingClassLoader compiles your Java source on-the-fly. It checks for nonexistent .class files, or .class files that are older than thei
java8+defineclass_[转]了解Java ClassLoader
weixin_31282459的博客
03-07 961
什么是 ClassLoader?在流行的商业化编程语言中,Java 语言由于在 Java 虚拟机 (JVM) 上运行而显得与众不同。这意味着已编译的程序是一种特殊的、独立于平台的格式,并非依赖于它们所运行的机器。在很大程度上,这种格式不同于传统的可执行程序格式。与 C 或 C++ 编写的程序不同,Java 程序并不是一个可执行文件,而是由许多独立的类文件组成,每一个文件对应于一个 Java 类。此...
JavaClassLoader原理简介
hellorichen的专栏
10-16 290
一、什么是ClassLoader? 一个完整的Java应用程序由若干个.class文件组织而成。当程序在运行时,会调用该程序的一个入口函数来调用系统的相关功能,而这些功能都被封装在不同的class文件中,所以经常要从这个class文件中调用另外一个class文件中的方法。而程序在启动的时候,并不会一次性加载程序所要用的所有class文件,而是根据程序的需要,通过java的类加载机制(ClassL
牛客刷题日记(2021-12-6)
LEO
12-06 762
牛客刷题日记(2021-12-6) 题目: 下面哪个修饰符修饰的变量是所有同一个类生成的对象共享的( ) public private static final 解析: 正确答案: C static修饰某个字段时,肯定会改变字段创建的方式(每个被static修饰的字段对于每一个类来说只有一份存储空间,而非static修饰的字段对于每一个对象来说都有一个存储空间) static属性是属于类的,所以对象共同拥有,所以既可以通过类名.变量名进行操作,又可以通过对象名.变量名进行操作 题目: 关于java
你真的懂Java类加载器吗?图文详解ClassLoader的原理和机制
yyjava的专栏
08-24 724
什么是ClassLoaderClassLoad:类加载器用来加载 Java 类到 Java 虚拟机中。Java 源程序(.java 文件)在经过 Java 编译器编译之后就被转换成 Java 字节代码(.class 文件)。类加载器负责读取 Java 字节代码,并转换成 java.lang.Class 类的一个实例。jdk中提供了三种类加载器:引导类加载器BootStrap ClassLoader...
自定义ClassLoader 绕过沙箱权限验证
清晨没睡醒的眼睛
07-15 934
自定义ClassLoader
Java 自定义 ClassLoader 实现隔离运行不同版本jar包的方式
痴迷无限好
05-04 629
[url=https://blog.csdn.net/t894690230/article/details/73252331]Java 自定义 ClassLoader 实现隔离运行不同版本jar包的方式[/url] 1. 应用场景 有时候我们需要在一个 Project 中运行多个不同版本的 jar 包,以应对不同集群的版本或其它的问题。如果这个时候选择在同一个项目中实现这样的功能,那么通常...
[Java安全]—ClassLoader
Sentiment的博客
05-28 794
类加载器概念 一个完整的 Java 应用程序由若干个 Java Class 文件组成,当程序在运行时,会通过一个入口函数来调用系统的各个功能,这些功能都被存放在不同的 Class 文件中。 因此,系统在运行时经常会调用不同 Class 文件中被定义的方法,如果某个 Class 文件不存在,则系统会抛出 ClassNotFoundException 异常。 系统程序在启动时,不会一次性加载所有程序要使用的 Class 文件到内存中,而是根据程序需要,通过 Java 的类加载机制动态将需要使用的 Class 文
Java虚拟机ClassLoader深入解析
在JVM中,ClassLoader是负责加载类的组件,它将类的二进制数据从.class文件中加载到内存中,并将其放在运行时数据区的方法区内,然后在堆区创建一个java.lang.Class对象,用来封装类在方法区内的数据结构。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值