利用ClassLoader#defineClass动态加载字节码

已于 2023-02-07 14:20:03 修改
阅读量2.4k 收藏 3
点赞数 2
分类专栏: # java漏洞 文章标签: java 开发语言 渗透测试 经验分享 安全
于 2023-02-07 10:56:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thunderclap_/article/details/128914911
版权

利用ClassLoader#defineClass直接加载字节码

不管是加载远程class文件,还是本地的class或jar文件,Java都经历的是下面这三个方法调用

  • loadClass 的作用是从已加载的类缓存、父加载器等位置寻找类(这里实际上是双亲委派机制),在前面没有找到的情况下,执行findClass

  • findClass 的作用是根据基础URL指定的方式来加载类的字节码,就像上一节中说到的,可能会在本地文件系统、jar包或远程http服务器上读取字节码,然后交给defineClass

  • defineClass 的作用是处理前面传入的字节码,将其处理成真正的Java类

protected final Class<?> defineClass(String name, byte[] b, int off, int len)

// name 为类名 (可设置为 null)

// b 为字节码数组

// off 为数组的偏移值 (从第几位开始为字节码数据)

// len 为数组的长度

  • 所以可见,真正核心的部分其实是defineClass ,他决定了如何将一段字节流转变成一个Java类,Java默认的ClassLoader#defineClass 是一个native方法,逻辑在JVM的C语言代码中。

  • 注意一点,在defineClass 被调用的时候,类对象是不会被初始化的,只有这个对象显式地调用其构造函数,初始化代码才能被执行。而且,即使我们将初始化代码放在类的static块中,在defineClass 时也无法被直接调用到。所以,如果我们要使用defineClass 在目标机器上执行任意代码,需要想办法调用构造函数。

  • 如下示例,因为系统的ClassLoader#defineClass 是一个保护属性,所以我们无法直接在外部访问,不得不使用反射的形式来调用。在实际场景中,因为defineClass方法作用域是不开放的,所以攻击者很少能直接利用到它,但它却是我们常用的一个攻击链TemplatesImpl 的基石。

获取 ClassLoader, 以下是常用几种获取 ClassLoader 的方式

ClassLoader loader = Thread.currentThread().getContextClassLoader();

ClassLoader loader = ClassLoader.getSystemClassLoader();

ClassLoader loader = this.getClass().getClassLoader();

举例:

public class HelloDefineClass {

    public static void main(String[] args) throws Exception {

        Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);        // 注意 getDeclaredMethod 只能获取当前类的所有方法, 而 defineClass 其实是在 AppClassLoader 的父类 java.lang.ClassLoader 里面, 所以需要通过 ClassLoader.class 来获取 Class 对象

        defineClass.setAccessible(true);

        byte[] code = Base64.getDecoder().decode("yv66vgAAADQAGwoABgANCQAOAA8IABAKABEAEgcAEwcAFAEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApTb3VyY2VGaWxlAQAKSGVsbG8uamF2YQwABwAIBwAVDAAWABcBAAtIZWxsbyBXb3JsZAcAGAwAGQAaAQAFSGVsbG8BABBqYXZhL2xhbmcvT2JqZWN0AQAQamF2YS9sYW5nL1N5c3RlbQEAA291dAEAFUxqYXZhL2lvL1ByaW50U3RyZWFtOwEAE2phdmEvaW8vUHJpbnRTdHJlYW0BAAdwcmludGxuAQAVKExqYXZhL2xhbmcvU3RyaW5nOylWACEABQAGAAAAAAABAAEABwAIAAEACQAAAC0AAgABAAAADSq3AAGyAAISA7YABLEAAAABAAoAAAAOAAMAAAACAAQABAAMAAUAAQALAAAAAgAM");

        Class hello = (Class)defineClass.invoke(ClassLoader.getSystemClassLoader(), "Hello", code, 0, code.length);

        hello.newInstance();

    }

}

Thunderclap_
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
通过ClassLoader动态加载class文件
ylltw01的博客
03-17 2078
1. ClassLoaderclasspath ClassLoader:类加载器,在Java程序中用于实现类的加载动作,但是其作用远远不限于类加载。在Java中提供了3种ClassLoader分别用于加载不同的Jar包。 classpath:简单来说,classpath就是每个ClassLoader加载class文件时,寻找class的地方。比如Java中提供的3种ClassLoader其都有...
详解Android类加载ClassLoader
08-30
在自定义加载器时,`defineClass()`方法用于将字节码转换为Class对象,这是将二进制数据转化为可运行的Java类的关键步骤。需要注意的是,`defineClass()`方法被声明为final,因此不能被重写,但可以通过重写其他方法...
JavaDefineClass用例
SHELLCODE_8BIT的博客
07-19 337
【代码】JavaDefineClass用例。
浅谈JavaDefineClass方法以及ClassLoader
weixin_38526093的博客
04-04 4742
一、反射调用ClassLoader类的defineClass方法直接根据字节数组定义一个类 package org.hope; import java.lang.reflect.InvocationTargetException; import java.lang.reflect.Method; import java.net.URL; import java.net.URLClassLoader; public class Main2{ public static void main(St
简单说说java中的反射
cz2423415723的博客
03-27 739
反射就是把Java类中的各个组成部分进行解剖,并映射成一个个的Java对象,拿到这些对象后可以做一些事情。 既然说反射是解剖Java类中的各个组成部分,所以说咱们得知道一个类中有哪些部分? 一个类里一般有构造函数、方法、成员变量(字段/属性)这三部分组成 Class类 实际上,我们创建的每一个类也都是对象,即类本身是java.lang.Class类的实例对象。 这个实例对象称之为类对象,也就是Class对象。 Class类本身没有构造方法,得到Class类实例的3种方式 **(1)、Cla..
loadClass,findClass,defineClass
点滴文字,记录成长
04-22 3668
loadclass:判断是否已加载,使用双亲委派模型,请求父加载器,都为空,使用findclass findclass:根据名称或位置加载.class字节码,然后使用defineClass defineclass:解析定义.class字节流,返回class对象 loadclass protected Class&lt;?&gt; loadClass(String name, bool...
Java classloader loadClass()、defineClass()
z_dy1的博客
02-21 4373
一、loadClass() findLoadedClass(String) 调用这个方法,查看这个Class是否已经别加载 如果没有被加载,继续往下走,查看父类加载器,递归调用loadClass() 如果父类加载器是null,说明是启动类加载器,查找对应的Class 如果都没有找到,就调用findClass(String) 下面是具体的源码 prote...
加载器简介
weixin_57763462的博客
01-29 965
加载器是用于加载类的对象,ClassLoader是一个抽象类。如果我们给定了一个类的二进制名称,类加载器应尝试去定位或生成构成定义类的数据。一种典型的策略是将给定的二进制名称转换为文件名,然后去文件系统中读取这个文件名所对应的class文件。 每个Class对象都会包含一个定义它的ClassLoader的一个引用。 数组类的Class对象,不是由类加载器去创建的,而是在Java运行期JVM根据需要自动创建的。对于数组类的类加载器来说,是通过Class.getClassLoader()...
在运行时刻从文件中调入Class(defineClass 的使用)
u011119684的博客
12-11 1767
了解JAVA的类装载器:    Java 编程语言编译器把源代码代码转换成为一个假定机器(即虚拟机)上的 机器语言。虚拟机代码保存在一个后缀为.class的类文件中。每个类文件保存这 个类的所有方法的虚拟机代码。    当运行时用一个解释程序解释这些类文件,把这些文件内的虚拟机指信信令翻 译成本地的机器语言,分存内存,确定程序入口点。    类装载器功能类似与C
使用classloader动态加载Class
05-30
Java编程语言中,类加载器(ClassLoader)是运行时环境的核心组成部分,它负责将类的字节码从各种来源(如JAR文件、网络、内存等)加载Java虚拟机(JVM)中,使得程序能够运行。本文将深入探讨“使用classloader...
动态加载jar包
08-04
4. **加载类**:对于每个类文件,使用自定义类加载器的`defineClass()`方法将其字节码转换为Class对象。这个过程涉及解码字节码、校验类信息,然后创建Class对象。 5. **反射调用方法**:一旦类被加载,我们可以...
Android中的动态加载机制的学习研究
09-01
首先,类加载器在Java世界中扮演着关键角色,负责将类从字节码文件(.class加载到内存中。在标准Java虚拟机(JVM)中,我们可以自定义ClassLoader并使用`defineClass`方法来动态加载类。然而,Android的Dalvik...
ClassLoader(类加载机制)1
08-03
`ClassLoader`在加载阶段发挥作用,它负责查找并加载类的字节码。在Java中,类加载器主要有三层:Bootstrap ClassLoader(引导类加载器)、Extension ClassLoader(扩展类加载器)和App ClassLoader(系统类加载器)...
一文读懂类加载机制 --- ClassLoader
freeking101的博客
07-31 2006
From:https://www.cnblogs.com/sunnick/p/9609326.html 【JVM笔记】classloader加载class文件的原理和机制:https://www.jianshu.com/p/52c38cf2e3d4 JVM 架构整体架构 在进入 classloader 分析之前,先了解一下 jvm 整体架构: JVM 被分为三个主要的子系统 (1)类加载器子系统 (2)运行时数据区 (3)执行引擎 1.类加载器子系统 大致分...
loadClass,findClassdefineClass
u011119684的博客
12-11 4479
loadClass(String name);根据cn.com.akl.DemoController查找并加载类。先在parent或bootstrap中查找,有则给jvm加载。没有则按照findClass方法查找。findClass();默认抛出一个ClassNotFoundException,如果需要自己重新覆盖实现。 defineClass();是将你定义的字节码文件经过字节数组流解
【jvm jdk】类加载器3 ClassLoader中的loadClass(),findClass(),defineClass()
m0_45406092的博客
10-15 1733
1. loadclass 加载指定类的入口,使用双亲委派模型,如果该类没有被加载过或父加载器没有加载成功,那么需要当前类处理器进行加载加载一个类,那么需要知道类的路径信息,此时会调用findClass方法 protected Class<?> loadClass(String name, boolean resolve) throws ClassNotFoundException { synchronized (getClassLoadingLo
动态实体类方案1.0(虚拟实体类生成器)[万能实体]
lingdou的博客
01-17 2060
该工具能实现任何实体类的动态生成 虚拟类生成工具(核心代码) import javassist.*; import javassist.bytecode.DuplicateMemberException; import java.beans.BeanInfo; import java.beans.Introspector; import java.beans.MethodDescriptor; import java.beans.PropertyDescriptor; import java.lang.r
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1257
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
ClassLoader defineClass
05-10
`ClassLoader defineClass` 方法是 Java 中用于动态加载类的重要方法之一。它将类的字节码转换为 Class 对象,并将其加载到 JVM 中。该方法的定义如下: ```java protected final Class<?> defineClass(String name, byte[] b, int off, int len) throws ClassFormatError ``` 其中,`name` 参数是类的全限定名;`b` 参数是类的字节码数组;`off` 和 `len` 参数分别表示从字节码数组中读取类字节码的起始位置和长度。 该方法一般在自定义的 ClassLoader 中被重写实现,以支持动态加载类。当 JVM 需要加载一个类时,它会先检查当前线程上下文类加载器(Context ClassLoader)是否存在,如果存在则使用该 ClassLoader 加载类,否则使用系统类加载器(System ClassLoader加载类。自定义 ClassLoader 可以通过实现 `findClass` 方法来查找类的字节码,然后调用 `defineClass` 方法将其加载到 JVM 中。 需要注意的是,该方法并不会检查类的有效性,只有在加载类时才会发现类是否有效。如果类无效,则会抛出 ClassFormatError 异常。因此,在调用该方法前,需要确保类的字节码是有效的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值