石家庄网站建设案例,郑州营销网站建设,广州品牌网站制作公司,pc端网页设计公司文章目录 什么是Java的字节码利用URLClassLoader加载远程class文件利用ClassLoader#defineClass直接加载字节码利用TemplatesImpl加载字节码利用BCEL ClassLoader加载字节码 最近在学习Phith0n师傅的知识星球的Java安全漫谈系列#xff0c;随手记下笔记 什么是Java的字节码
J… 文章目录 什么是Java的字节码利用URLClassLoader加载远程class文件利用ClassLoader#defineClass直接加载字节码利用TemplatesImpl加载字节码利用BCEL ClassLoader加载字节码 最近在学习Phith0n师傅的知识星球的Java安全漫谈系列随手记下笔记 什么是Java的字节码
Java字节码(ByteCode)指的是Java虚拟机执行使用的一类指令通常被存储在class文件中。
不同平台、不同CPU的计算机指令有差异但因为Java是一门跨平台编译型语言所以这些差异对于上层开发者来说是透明的上层开发作者只需要将自己的代码编译一次即可运行在不同平台的JVM虚拟机中。甚至开发者可以用类似Scala、Kotlin这样的语言编写代码只要你的编译器能够将代码编译成class文件都可以在JVM虚拟机中运行。 但是本文所说的“字节码”可以理解的更广义的一些指的是所有能够恢复成一个类并在JVM虚拟机里加载的字节序列
利用URLClassLoader加载远程class文件
Java的ClassLoader用来加载字节码文件最基础的方法该系列前面的反射篇提到过 ClassLoader是一个“加载器”告诉Java虚拟机如何加载这个类。Java默认的ClassLoader就是根据类名加载类这个类名是类完整路径如java.lang.Runtime 本文要说的ClassLoader是URLClassLoader。
URLClassLoader实际上是我们默认使用的AppClassLoader的父类所以URLClassLoader的工作流程实际上和Java默认的类加载器的工作流程一样。
正常情况下Java会根据配置项sun.boot.class.path和java.class.path中列举到的基础路径(经过处理后的java.net.URL类)来寻找class文件加载而这个基础路径分为三种情况
URL未以斜杠/结尾则认为是一个JAR文件使用JarLoader来寻找类即为在jar包中寻找class文件URL以斜杠/结尾且协议名是file则使用FileLoader来寻找类即为在本地文件系统中寻找class文件URL以斜杠/结尾且协议名不是file则使用最基础的Loader来寻找类
正常开发的时候通常遇到的是前两者当出现非file协议的情况下则会使用Loader来寻找类比如http协议。
接下来简单做个小测试看看Java能否从远程HTTP服务器上加载class文件准备一个如下类将需要输出的语句放在静态代码块中如果加载了这个类即会触发输出Hello World同样也可以main方法中放一个做对比。
public class HelloWorld
{static{System.out.println([static]: Hello, World);}public static void main(String[] args) {System.out.println([main]: Hello, World);}
}import java.net.URL;
import java.net.URLClassLoader;public class HelloClassLoader
{public static void main(String[] args) throws Exception{URL[] urls {new URL(http://localhost:8000/)};URLClassLoader loader URLClassLoader.newInstance(urls);Class c loader.loadClass(HelloWorld);c.newInstance();}
}可以看到成功请求到了HelloWorld.class文件并且执行了静态代码块中的字节码。也就是说如果能控制目标的Java ClassLoader的基础路径作为一个HTTP服务器则可以利用远程加载方式执行任意代码。
利用ClassLoader#defineClass直接加载字节码
前面提到了如何利用URLClassLoader加载远程class文件也就是字节码其实不管是加载远程class文件还是本地的class或jar文件java都经历的是下面这三个方法调用: loadClass的作用是从已加载的类缓存、父加载器等位置寻找类(双亲委派机制)在前面没有找到的情况下执行findClassfindClass的作用是根据基础URL指定的方式来加载类的字节码可能会在本地文件系统jar包或远程http服务器上读取字节码然后交给defineClassdefineClass的作用是处理前面传入的字节码将其处理成真正的Java类
所以可见真正核心的部分其实是defineClass它决定了如何将一段字节流转变成一个Java类Java默认的ClassLoader#defineClass是一个native方法逻辑在JVM的C语言代码中。
通过以下代码来演示defineClass加载字节码
import java.lang.reflect.Method;
import java.util.Base64;public class HelloDefineClass {public static void main(String[] args) throws Exception {Method defineClass ClassLoader.class.getDeclaredMethod(defineClass, String.class, byte[].class, int.class, int.class);defineClass.setAccessible(true);byte[] code Base64.getDecoder().decode(yv66vgAAADQAGwoABgANCQAOAA8IABAKABEAEgcAEwcAFAEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApTb3VyY2VGaWxlAQAKSGVsbG8uamF2YQwABwAIBwAVDAAWABcBAAxIZWxsbywgV29ybGQHABgMABkAGgEABUhlbGxvAQAQamF2YS9sYW5nL09iamVjdAEAEGphdmEvbGFuZy9TeXN0ZW0BAANvdXQBABVMamF2YS9pby9QcmludFN0cmVhbTsBABNqYXZhL2lvL1ByaW50U3RyZWFtAQAHcHJpbnRsbgEAFShMamF2YS9sYW5nL1N0cmluZzspVgAhAAUABgAAAAAAAQABAAcACAABAAkAAAAtAAIAAQAAAA0qtwABsgACEgO2AASxAAAAAQAKAAAADgADAAAAAwAEAAQADAAFAAEACwAAAAIADA);Class hello (Class)defineClass.invoke(ClassLoader.getSystemClassLoader(), Hello, code, 0, code.length);hello.newInstance();}
}注意一点在defineClass被调用的时候类对象是不会被初始化的只有这个对象显示地调用其构造函数初始化代码才能被执行。而且即使我们将初始化代码放在类的static块中在defineClass时也无法被直接调用到。所以如果需要使用defineClass在目标机器上执行任意代码需要想办法调用构造函数。 这里因为ClassLoader#defineClass是一个保护属性所以无法直接在外部访问不得不使用反射的形式来调用。
在实际场景中因为defineClass方法作用域时不开放的所以攻击者很少能直接利用到它但它却是我们常用的一个攻击链TemlatesImpl的基石。
利用TemplatesImpl加载字节码
虽然大部分上层开发者不会直接使用到defineClass方法但是Java底层还是有一些类用到了它这就是TemplatesImpl。
com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl这个类中定义了一个内部类TransletClassLoader 这个类中重写了defineClass方法并且这里没有显式地声明定义域。Java中默认情况下如果一个方法没有显式声明作用域其作用域为default。所以也就是说这里地defineClass由其父类的protected类型变成了一个default类型的方法可以被类外部调用。
从TransletClassLoader#defineClass追溯一下调用链
TemplatesImpl#getOutputProperties()TemplatesImpl#newTransformer()TemplatesImpl#getTransletInstance()TemplatesImpl#defineTransletClasses()TransletClassLoader#defineClass()追溯到TemplatesImpl#getOutputProperties()、TemplatesImpl#newTransformer()这两者的作用域是public可以被外部调用。尝试用newTransformer()构造一个简单的POC
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import java.lang.reflect.Field;
import java.util.Base64;public class TemplatesImplDemo {private static void setFieldValue(Object obj, String fieldName, Object fieldValue) throws Exception {Field field obj.getClass().getDeclaredField(fieldName);field.setAccessible(true);field.set(obj, fieldValue);}public static void main(String[] args) throws Exception{byte[] codes Base64.getDecoder().decode(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);TemplatesImpl obj new TemplatesImpl();setFieldValue(obj, _bytecodes, new byte[][] {codes});setFieldValue(obj, _name, HelloTemplatesImpl);setFieldValue(obj, _tfactory, new TransformerFactoryImpl());obj.newTransformer();}
}其中使用setFieldValue设置私有属性设置了三个属性_bytecodes、_name、_tfactory。_bytecodes是由字节码组成的数组_name可以是由任意字符串只要不为null即可_tfactory需要是一个TransformerFactoryImpl对象因为TemplatesImpl#defineTransletClasses()方法里有调用到_tfactory.getExternalExtensionsMap()如果是null就会报错。
注意TemplatesImpl中对加载的字节码是有一定要求的这个字节码对应的类必须是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的子类所以需要构造一个特殊类
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;public class HelloTemplatesImpl extends AbstractTranslet {Overridepublic void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}Overridepublic void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}public HelloTemplatesImpl() {super();System.out.println(Hello TemplatesImpl);}
}它继承了AbstractTranslet类并在构造函数里插入Hello的输出。将其编译成字节码即可被TemplatesImpl执行
编译 利用BCEL ClassLoader加载字节码
BCEL全名Apache Commons BCEL属于Apache Commons项目下的一个子项目但其因为被Apache Xalan所使用而Apache Xalan又是Java内部对于JAXP的实现所以BCEL也被包含在JDK的原生库中。
BCEL的详细介绍参考P师傅的文章BCEL ClassLoader去哪了
我们可以通过BCEL提供的两个类Repository和Utility来利用Repository用于将一个Java Class先转换成原生字节码这里也可以直接使用Javac命令来编译Java文件生成字节码Utility用于将原生的字节码转换成BCEL格式的字节码
import com.sun.org.apache.bcel.internal.Repository;
import com.sun.org.apache.bcel.internal.classfile.JavaClass;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;public class HelloBCEL {public static void main(String[] args) throws Exception{// encode();decode();}protected static void encode() throws Exception {JavaClass cls Repository.lookupClass(Evil.class);String code Utility.encode(cls.getBytes(), true);System.out.println(code);}protected static void decode() throws Exception {new ClassLoader().loadClass($$BCEL$$$ l$8b$I$A$A$A$A$A$A$AeP$c9N$CA$Q$7d$N$p$D$e3$m$3a$88$fb$c6I$f4$A$Xo$Q$P$g$bc$88K$c4$e8$b9i$3b$d88$ce$98$a1$n$f8E$9e$bd$a8$f1$e0$H$f8Q$c6$ea$96$b8$c4$3eT$a5$5e$bd$r$d5$ef$l$afo$AvP$f6$e0b$d6C$JsY$cc$9b$be$e0b$d1$c5$92$8be$86LCEJ$ef2$a4$x$5b$X$M$ce$7e$7c$r$Z$K$z$V$c9$e3$c1mG$s$e7$bc$T$S$S$b4b$c1$c3$L$9e$u3$8fAG_$ab$bea$ef$ddki$94$b5$e6P$85u$86lC$84c$df$7c$5bsqs$c4$ef$ac$86$92$Z$bcv$3cH$84$3cP$c6$pg$q$d5$k$lr$lY$e4$5c$ac$f8X$c5$gyP$9e$a8$ca$91$f4$b1$8e$N$86$a2$e1$d4B$kuk$cd$91$90wZ$c5$R$d9$ff$89f$98$fea$9dtzRh$86$99$l$e8l$QiuK$a9$5eW$ea$ef$a1T$d9j$fd$e3$d0$V$O$85$L$86$cd$ca$afm$5b$t$w$ea$d6$7f$LN$93X$c8$7e$bf$8e22$f4$d5$e6$a5$c0$cc1T$3d$9aj$d4$Z$f5$89$edg$b0G$bb$9e$a4$9a$b1$60$g$3eU$ff$8b$80$3c$a6$a8gQ$f8$W$9fX3$60$ea$F$a9$m$fd$E$e7$f2$B$ce$e1$a3$c5r$a4$9b$m$H$e3$W$c0$a1$ea$S$e6$c1$fcd$9eP$dff$B$d3v$93j$b9$98$B$J$D$L$X$3f$B$d6$fcm$8f$o$C$A$A).newInstance();}
}BCEL ClasLoader在Fastjson等漏洞的利用链构造时都有被用到其实这个类和前面的TemplatesImpl都出于同一个第三方库Apache Xalan。但是由于各种原因在Java 8u251的更新中这个ClassLoader被移除了。
