java unsafe 告警,Java安全之Unsafe类

最新推荐文章于 2022-05-03 18:25:30 发布
最新推荐文章于 2022-05-03 18:25:30 发布
阅读量426 收藏
点赞数
文章标签: java unsafe 告警

搜索热词

Java安全之Unsafe类

0x00 前言

前面使用到的一些JNI编程和Javaagent等技术,其实在安全里面的运用非常的有趣和微妙,这个已经说过很多次。后面还会发现一些比较有意思的技术,比如ASM和Unsafe这些。这下面就先来讲解Unsafe这个类的使用和实际当中的一些运用场景。

0x01 Unsafe概述

Unsafe是位于sun.misc包下的一个类,主要提供一些用于执行低级别、不安全操作的方法,如直接访问系统内存资源、自主管理内存资源等,这些方法在提升Java运行效率、增强Java语言底层资源操作能力方面起到了很大的作用。使用该类可以获取到底层的控制权,该类在sun.misc包,默认是BootstrapClassLoader加载的。

来看一下下面的两张图

af9b768377b3265b8b62290b69ddf2d8.png

ef423906dce22f44f810af0e7577be4d.png

Unsafe类是一个不能被继承的类且不能直接通过new的方式创建Unsafe类实例。

c3a72f40094ada759fa21f248d05e97b.png

a9a4e9043b0650f133e7c6dae25e3029.png

这里可以看到该构造方法是private所以说不能直接new该对象,里面有一个getUnsafe()会返回Unsafe的实例。

@CallerSensitive

public static Unsafe getUnsafe() {

// ----- 这里去获取当前类的ClassLoader加载器

Class var0 = Reflection.getCallerClass();

// ----- 判断var0是不是BootstrapClassLoader

if (!VM.isSystemDomainLoader(var0.getClassLoader())) {

// ----- 否:抛出SecurityException异常

throw new SecurityException("Unsafe");

} else {

// ----- 是:返回unsafe对象

return theUnsafe;

}

}

这里是调用了isSystemDomainLoader来判断是否为Bootstrap类加载器,如果是,可以正常获取Unsafe实例,否则会抛出安全异常。

public static boolean isSystemDomainLoader(ClassLoader var0) {

// ----- 重点是在这里:

// --- 当结果为true时:说明var0是Bootstrap类加载器,

// -- 当结果为false时:说明var0是Extension || App || Custom 等类加载器

// ----- 所以回到getUnsafe()函数,当这个函数返回false时,会直接抛异常,不允许加载Unsafe

return var0 == null;

}

可以来测试一下

package com.UNsafe;

import sun.misc.Unsafe;

public class test {

public static void main(String[] args) {

Unsafe unsafe = Unsafe.getUnsafe();

int i = unsafe.addressSize();

}

}

82638f43de6ce5e74bfcd217af6ef7e7.png

0x02 Unsafe调用

前面说到Unsafe该类功能去进行直接调用,那么这时候就会想到我们的反射机制。可以利用反射去直接调用。在这里面也有两种方式去进行反射调用。

调用方式一:

因为该类将他的实例化定义在theUnsafe成员变量里面,所以可以使用反射直接获取该变量的值。

4d58d2a43f8e6425e74fe9797fab99db.png

package com.UNsafe;

import sun.misc.Unsafe;

import java.lang.reflect.Field;

public class test {

public static void main(String[] args) throws ClassNotFoundException,NoSuchFieldException,IllegalAccessException {

Class> aClass = Class.forName("sun.misc.Unsafe");

Field theUnsafe = aClass.getDeclaredField("theUnsafe");

theUnsafe.setAccessible(true);

Unsafe o = (Unsafe)theUnsafe.get(null);

int i = o.addressSize();

System.out.println(i);

}

}

结果:

8

调用方式二:

还有种方式就是反射调用getUnsafe()方法,该方法会直接返回UNsafe实例对象。那么可以反射获取该构造方法的实例,然后调用该方法

package com.UNsafe;

import sun.misc.Unsafe;

import java.lang.reflect.Constructor;

import java.lang.reflect.Field;

import java.lang.reflect.InvocationTargetException;

public class test {

public static void main(String[] args) throws ClassNotFoundException,IllegalAccessException,NoSuchMethodException,InvocationTargetException,InstantiationException {

Class> aClass = Class.forName("sun.misc.Unsafe");

Constructor> declaredConstructor = aClass.getDeclaredConstructor();

declaredConstructor.setAccessible(true);

Unsafe o = (Unsafe)declaredConstructor.newInstance();

int i = o.addressSize();

System.out.println(i);

}

}

结果:

8

0x03 Unsafe功能

操作内存

public native long allocateMemory(long bytes);

//分配内存,相当于C++的malloc函数

public native long reallocateMemory(long address,long bytes);

//扩充内存

public native void freeMemory(long address);

//释放内存

public native void setMemory(Object o,long offset,long bytes,byte value);

//在给定的内存块中设置值

public native void copyMemory(Object srcBase,long srcOffset,Object destBase,long destOffset,long bytes);

//内存拷贝

public native Object getObject(Object o,long offset);

//获取给定地址值,忽略修饰限定符的访问限制。与此类似操作还有: getInt,getDouble,getLong,getChar等

public native void putObject(Object o,Object x);

//为给定地址设置值,忽略修饰限定符的访问限制,与此类似操作还有: putInt,putDouble,putLong,putChar等

public native byte getByte(long address);

//获取给定地址的byte类型的值(当且仅当该内存地址为allocateMemory分配时,此方法结果为确定的)

public native void putByte(long address,byte x);

//为给定地址设置byte类型的值(当且仅当该内存地址为allocateMemory分配时,此方法结果才是确定的)

获取系统信息

public native int addressSize();

//返回系统指针的大小。返回值为4(32位系统)或 8(64位系统)。

public native int pageSize();

//内存页的大小,此值为2的幂次方。

线程调度

public native void unpark(Object thread);

// 终止挂起的线程,恢复正常.java.util.concurrent包中挂起操作都是在LockSupport类实现的,其底层正是使用这两个方法

public native void park(boolean isAbsolute,long time);

// 线程调用该方法,线程将一直阻塞直到超时,或者是中断条件出现。

@Deprecated

public native void monitorEnter(Object o);

//获得对象锁(可重入锁)

@Deprecated

public native void monitorExit(Object o);

//释放对象锁

@Deprecated

public native boolean tryMonitorEnter(Object o);

//尝试获取对象锁

操作对象

// 传入一个Class对象并创建该实例对象,但不会调用构造方法

public native Object allocateInstance(Class> cls) throws InstantiationException;

// 获取字段f在实例对象中的偏移量

public native long objectFieldOffset(Field f);

// 返回值就是f.getDeclaringClass()

public native Object staticFieldBase(Field f);

// 静态属性的偏移量,用于在对应的Class对象中读写静态属性

public native long staticFieldOffset(Field f);

// 获得给定对象偏移量上的int值,所谓的偏移量可以简单理解为指针指向该变量;的内存地址,

// 通过偏移量便可得到该对象的变量,进行各种操作

public native int getInt(Object o,long offset);

// 设置给定对象上偏移量的int值

public native void putInt(Object o,int x);

// 获得给定对象偏移量上的引用类型的值

public native Object getObject(Object o,long offset);

// 设置给定对象偏移量上的引用类型的值

public native void putObject(Object o,Object x););

// 设置给定对象的int值,使用volatile语义,即设置后立马更新到内存对其他线程可见

public native void putIntVolatile(Object o,int x);

// 获得给定对象的指定偏移量offset的int值,使用volatile语义,总能获取到最新的int值。

public native int getIntVolatile(Object o,long offset);

// 与putIntVolatile一样,但要求被操作字段必须有volatile修饰

public native void putOrderedInt(Object o,int x);

这里allocateInstance 这个方法很有意思,可以不调用该构造方法,然后去获取一个传入对象的实例。

那么在安全中会怎么去使用到该方法呢?假设一个场景,某个类的构造方法被HOOK了,该构造方法是private修饰也不能直接去进行new该对象。如果这时候不能使用 反射的机制去进行一个调用,那么这时候就可以使用到该方法进行绕过。

小案例:

定义一个Persion类,并且构造方法为private修饰。

package com.demo2;

import java.io.Serializable;

public class Person implements Serializable {

private String name;

private int age;

public String getName() {

return name;

}

@Override

public String toString() {

return "Person{" +

"name='" + name + '\'' +

",age=" + age +

'}';

}

public void setName(String name) {

this.name = name;

}

public int getAge() {

return age;

}

public void setAge(int age) {

this.age = age;

}

private Person() {

}

private Person(String name,int age) {

this.name = name;

this.age = age;

}

}

编写调用测试代码:

package com.UNsafe;

import com.demo2.Person;

import sun.misc.Unsafe;

import java.lang.reflect.Constructor;

import java.lang.reflect.InvocationTargetException;

public class test {

public static void main(String[] args) throws ClassNotFoundException,InstantiationException {

Class> aClass = Class.forName("sun.misc.Unsafe");

Constructor> declaredConstructor = aClass.getDeclaredConstructor();

declaredConstructor.setAccessible(true);

Unsafe unsafe = (Unsafe)declaredConstructor.newInstance();

Person person = (Person)unsafe.allocateInstance(Person.class);

person.setAge(20);

person.setName("nice0e3");

System.out.println(person);

}

}

执行结果:

Person{name='nice0e3',age=20}

不采用反射和new的反射调用构造方法。

Class相关操作

//静态属性的偏移量,用于在对应的Class对象中读写静态属性

public native long staticFieldOffset(Field f);

//获取一个静态字段的对象指针

public native Object staticFieldBase(Field f);

//判断是否需要初始化一个类,通常在获取一个类的静态属性的时候(因为一个类如果没初始化,它的静态属性也不会初始化)使用。 当且仅当ensureClassInitialized方法不生效时返回false

public native boolean shouldBeInitialized(Class> c);

//确保类被初始化

public native void ensureClassInitialized(Class> c);

//定义一个类,可用于动态创建类,此方法会跳过JVM的所有安全检查,默认情况下,ClassLoader(类加载器)和ProtectionDomain(保护域)实例来源于调用者

public native Class> defineClass(String name,byte[] b,int off,int len,ClassLoader loader,ProtectionDomain protectionDomain);

//定义一个匿名类,可用于动态创建类

public native Class> defineAnonymousClass(Class> hostClass,byte[] data,Object[] cpPatches);

这里面的defineClass方法也很有意思,在前面的学习中应该会对defineClass方法有比较深刻的印象,比如命令执行 Java的webshell工具实现、还有jsp的一些免杀都会利用到ClassLoader的defineClass这个方法去将字节码给还原成一个类。那么在这里的这个defineClass的作用上面也说明了,也是可以去定义一个匿名类,并且可以动态去进行一个创建。假设一个场景ClassLoader.defineClass不可用后就可以使用Unsafe.defineClass。

动态加载类案例

package com.UNsafe;

import com.demo2.Person;

import javassist.CannotCompileException;

import javassist.ClassPool;

import javassist.CtClass;

import javassist.NotFoundException;

import sun.misc.Unsafe;

import javax.xml.soap.SAAJResult;

import java.io.IOException;

import java.lang.reflect.Constructor;

import java.lang.reflect.InvocationTargetException;

import java.security.CodeSource;

import java.security.ProtectionDomain;

import java.security.cert.Certificate;

public class test {

public static void main(String[] args) throws ClassNotFoundException,InstantiationException,CannotCompileException,IOException,NotFoundException {

String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";

String Classname ="com.nice0e3.Commandtest";

ClassPool classPool= ClassPool.getDefault();

classPool.appendClassPath(AbstractTranslet);

CtClass payload=classPool.makeClass("com.nice0e3.Commandtest");

payload.setSuperclass(classPool.get(AbstractTranslet));

payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");

byte[] bytes=payload.toBytecode();

//获取系统加载器

ClassLoader systemClassLoader = ClassLoader.getSystemClassLoader();

//创建默认保护域

ProtectionDomain protectionDomain = new ProtectionDomain(new CodeSource(null,(Certificate[]) null),null,systemClassLoader,null);

Class> aClass = Class.forName("sun.misc.Unsafe");

Constructor> declaredConstructor = aClass.getDeclaredConstructor();

declaredConstructor.setAccessible(true);

Unsafe unsafe = (Unsafe)declaredConstructor.newInstance();

Class> aClass1 = unsafe.defineClass(Classname,bytes,bytes.length,protectionDomain);

Object o = aClass1.newInstance();

}

}

ca07c9382e9e3eecc100dc452ba198c9.png

在JDK 11版本以后就移除了该方法。但是前面说到的defineAnonymousClass方法还是存在也可以进行使用。

参考文章

https://www.cnblogs.com/rickiyang/p/11334887.html

https://javasec.org/javase/Unsafe/

0x04 结尾

在这里面由上面的案例可以看出来,结合了分析利用链的时候学习的Javassist动态生成类,然后去做转换成字节码Unsafe去进行加载,这其实也能想到一些有趣的利用场景。

总结

以上是编程之家为你收集整理的Java安全之Unsafe类全部内容,希望文章能够帮你解决Java安全之Unsafe类所遇到的程序开发问题。

如果觉得编程之家网站内容还不错,欢迎将编程之家网站推荐给程序员好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。

朝阳萌熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CWE ID 470:Use of Externally-Controlled Input to Select Classes or Code (‘Unsafe Reflection‘)
Aron2278的博客
08-02 582
问题描述 不安全的反射漏洞,是指应用程序使用具有反射功能的外部输入来选择要使用的或代码,可能被攻击者利用而输入或选择不正确的或代码。 攻击者可能通过该漏洞,执行未经授权的代码或命令、改变执行逻辑、读取应用程序数据等,严重的还会导致应用程序崩溃、退出或重启。 Bad Code Class<?> clz = Class.forName(className); 解决方案 Class<?> clz = Class.forName(Normalizer.normalize(classNa
Unsafe JNI 解决方法
qq_34169240的博客
09-17 1747
我遇到的问题是Object.getClass(),用getClassForObject()代替报错位置的getClass()方法就解决了。 解决方法: 工具: /* replace Object.getClass(). * * @param obj * @return * @throws ClassNotFoundException */ public static Class<?> getClassForObject(Object obj
Java漏洞修复:Codedex Unsafe Reflection
VioletHan7的博客
11-28 3940
写个工具方法: 然后对class name进行归一化处理:对于ascii字符和中文字符以及非合成字符,归一化后保持不变:
反射:reflection
SUMMER_Simple的博客
11-02 243
反射reflection JAVA反射机制是在运行状态中,对于任意一个,都能够知道这个的所有属性和方法;对于任意一个对象,都能够调用它的任意方法和属性;这种动态获取信息以及动态调用对象方法的功能称为java语言的反射机制(即通过对象查找的详细信息)。 反射机制的作用 1.反编译:  .class  ---->>  .java; 2.通过反射机制访问Java对象的属性和方法,构造方
Unsafe的使用
qq_16268979的博客
05-03 977
1、调用问题 我们直接获取Unsafe,调用其中属性方法时会出现异常java.lang.SecurityException: Unsafe at sun.misc.Unsafe.getUnsafe(Unsafe.java:90) at UnsafeTest.main(UnsafeTest.java:5) 异常分析: Unsafe unsafe = Unsafe.getUnsafe(); 上面这行代码出现的异常,获取Unsafe时出现异常,查看getUnsafe()方法如下: @CallerS
简单谈一谈Java中的Unsafe
08-27
其实Java官方不推荐使用Unsafe,因为官方认为,这个别人很难正确使用,非正确使用会给JVM带来致命错误。但还是要会使用,下面这篇文章就来给大家简单的谈一谈关于JavaUnsafe的相关资料,需要的朋友可以参考...
java Unsafe详细解析
08-26
Unsafe为我们提供了访问底层的机制,这种机制仅供java核心库使用,而不应该被普通用户使用。但是,为了更好地了解java的生态体系,我们应该去学习它,去了解它,不求深入到底层的C/C++代码,但求能了解它的基本...
一篇看懂Java中的Unsafe
08-27
在阅读AtomicInteger的源码时,看到了这个:sum.msic.Unsafe,之前从没见过。所以花了点时间研究了下,下面这篇文章主要给大家介绍了关于JavaUnsafe的相关资料,需要的朋友可以参考借鉴,下面来一起学习学习吧
Java Unsafe1
08-03
Java Unsafe1
unsafe:使用sun.misc.Unsafe的各种Java
05-23
安全的 由安德鲁·布兰普顿( ) | 这是利用的工具的集合。 这个Unsafe允许直接访问JVM中的内存,这是非常危险的,但是很有趣:)。 unsafe-helper-包含一些简单的方法,这些方法使使用sun.misc.Unsafe更容易...
Java Unsafe简单说明使用
椰汁菠萝
04-12 994
Unsafe获取 Unsafe unsafe = Unsafe.getUnsafe(); 由于Unsafe为调用敏感,所以可能需要自行import,import sun.misc.Unsafe; 使用 compareAndSwapInt public final native boolean compareAndSwapInt(Object object, long offset, int expect, int update); 该方法为native方法,CAS核心代码,比较并交换,该方法主要逻
vue遇见的问题(3) --- Unnecessary return statement no-useless-return
二月的博客
06-02 3219
错误不必要的return语句没有无用的回报 修改前: //添加新用户 addUser(){ this.$resf.addFormRef.validate(valid=>{ console.log(valid) if(!valid){ return } }) } ...
【VUE】VUE 运行项目的时候报错 throw er; // Unhandled 'error' event
NAMECZ的博客
04-19 3812
vue运行项目的时候报了一个错,throw er; // Unhandled 'error' event 这个报错有很多原因,如果你跟我的报错信息一样,那么请继续往下看 如下图 1、删掉依赖重装n多次没有效果 2、说占用端口号的,更换端口号也没效果 后来发现是电脑环境出了问题,于是给电脑配相应的环境 1、右键点击此电脑打开属性 2、点击高级系统设置 3、点击打开环境变量 ...
Unsafe学习
一颗小陨石的博客
03-23 260
Unsafe Unfase为我们提供了访问底层的机制,仅供java核心库使用。 因此普通用户程序无法直接获取其实例,且unsafe的构造方法为私有的,但是我们可以通过反射获取。 1.获取unsafe Unsafe有一个getUnsafe()方法可以获取实例: @CallerSensitive public static Unsafe getUnsafe() { Clas...
JUC基石——Unsafe
阳阳的博客
04-22 2433
前言 我们经常在JUC包下的ConcurrentHashMap、Atomic开头的原子操作、AQS以及LockSupport里面看到Unsafe的身影,这个Unsafe究竟是干什么的,本文可以带着读者一探究竟。 Java和C++、C语言的一个重要区别,就是Java中我们无法直接操作一块内存区域,而在C++、C中却可以自己申请内存和释放内存。Unsafe的设计,为我们提供了手动管理内存...
聊一聊Java中的Unsafe
weixin_41951205的博客
03-08 907
一、Unsafe简介 如果看过JUC的源码,相信大家一定不会对Unsafe这个陌生,整个JUC的底层核心就是这个UnsafeUnsafe是位于sun.misc包下的一个,它是jdk提供的一个直接访问操作系统资源的工具(底层c++实现)。正如它的名字一样,这个是不安全的,但是功能特别强大。 那么它有什么样的强大功能呢?Unsafe使Java拥有了像C语言的指针一样操作内存空间的能力。众所周知,相对于C和C++,Java语言使开发人员在开发时无需关注内存的管理,这些JVM全部自动处理了。但是如
unsafe的使用报错
Tata_ZMJ的工作心得
01-06 876
unsafe的使用报错 unsafe关键字很少用到,但是用到的时候又会报错,使得程序总是编译不过去,那怎么办呢? 这是我第二次遇到这样的问题,在这里记录下来,下次备查,以免再绕弯路。 首先要确定可以使用unsafe关键字; 报错了,点击“项目”->“XXX属性”(XXX是解决方案名称)->“生成”选项卡,在生成选项卡上找到“允许不安全代码”,选择。 然后在编译
java代码审计-Java安全的反射 unsafe reflection
dilamo1968的博客
08-20 2393
攻击者能够建立一个在开发者意料之外的、不可预测的控制流程,贯穿应用程序始终。 这种形式的攻击能够使得攻击者避开身份鉴定,或者访问控制检测,或者使得应用程序以一种意料之外的方式运行。 如果攻击者能够将文件上传到应用程序的classpath或者添加一个classpath的新入口,那么这将导致应用程序陷入完全的困境。 无论是上面哪种情况,攻击者都能使用反射将新的、多数情况下恶意的行...
javaUnsafe使用讲解
热门推荐
长河的博客
12-28 2万+
前段时间因为看JUC的源码,里面有大量关于unsafe的操作,所以就来看看了.写点笔记总结下: unsafe可以帮我们直接去操作硬件资源,当然了是借助java的jit来进行的,官方不推荐使用,因为不安全,例如你使用unsafe创建一个超级大的数组,但是这个数组jvm是不管理的,只能你自己操作,容易oom,也不利于资源的回收. 好了,下面我们来看代码, 1.获取unsafe //1.最简单...
java unsafe
最新发布
09-23
不过需要注意的是,Unsafe的使用需要谨慎,因为它可以绕过Java语言的安全机制,可能会导致内存泄露、线程安全问题等。因此,在使用Unsafe时,一定要确保自己对其操作的安全性和正确性有足够的了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值