前言
还是JAVA安全,哎,真的讲不完,太多啦。
今天主要是讲一下JAVA中的反射机制,因为反序列化的利用基本都是要用到这个反射机制,还有一些攻击链条的构造,也会用到,所以就讲一下。
什么是反射
Java提供了一套反射API,该API由Class类与java.lang.reflect类库组成。
该类库包含了Field、Method、Constructor等类。
对成员变量,成员方法和构造方法的信息进行的编程操作可以理解为反射机制。
从官方定义中就能找到其存在的价值,在运行时获得程序 或程序集 中每一个类型的成员和成员的信息 ,从而动态的创建、修改、调用、获取其属性 ,而不需要事先知道运行的对象是谁 。划重点:在运行时而不是编译时。(不改变原有代码逻辑,自行运行的时候动态创建和编译即可)
参考连接:文章 - JAVA安全基础(二)-- 反射机制 - 先知社区
项目创建
创建一个Java项目,名字叫ReflectDemo。
我这里选择JAVAEE8。
把这几个东西删除掉,因为没啥用。
新建一个类叫User。
先写入以下代码,这里说明一下以下四个为成员变量,分别对应3个不同的属性,公共属性、私有属性、保护属性。
public String name = "wlw";
public int age = 20;
private String gender = "man";
protected String job = "sec";
再写入成员方法,一个为public属性,一个为protected属性。
public void userinfo(String name, int age, String gender, String job) {
this.name = name;
this.age = age;
this.gender = gender;
this.job = job;
}
protected void users(String name, String gender) {
this.name = name;
this.gender = gender;
System.out.println("user的成员方法"+name);
System.out.println("user的成员方法"+gender);
}
最后再写入两个构造方法,可以看到方法名字都是User,和我们类的名字一样。
public User(){
}
public User(String name){
System.out.println("my name"+name);
}
private User(String name,int age){
System.out.println(name);
System.out.println(age);
}
Class对象类获取
OK我们的User类已经写好了,现在来获取它里面的方法。可能有人有疑惑我都知道这个类名叫User为啥还要获取它呢,是这样的,你要对一个类进行操作或者调用,首先必须要获取这个类的类名才行进行下一步,并不是说我们人知道类名就行了,还得让代码知道。
根据全限定类名获取
我们直接Class.forName("全路径类名"),运行起来成功获取类名。
public static void main(String[] args) throws ClassNotFoundException {
Class aClass = Class.forName("com.sf.maven.reflectdemo.User");
System.out.println(aClass);
}
根据类名获取
第二种是直接类名.class即可获取到类名
Class bClass = User.class;
System.out.println(bClass);
根据对象获取
第三种是对象.getClass()直接获取类名。
User user = new User();
Class aClass1 = user.getClass();
System.out.println(aClass1);
通过类加载器获取
第四种就是我们可以通过类加载器 ClassLoader.getSystemClassLoader().loadClass("全路径类名"); 来获取类名。
ClassLoader clsload=ClassLoader.getSystemClassLoader();
Class aClass2 = clsload.loadClass("com.sf.maven.reflectdemo.User");
System.out.println(aClass2);
利用反射获取成员变量
前面我们已经获取到类名了,现在我们利用反射来获取类里面的成员变量。
新建一个类叫GetField,在里面写入我们获取成员变量的方法,先在开头加入我们获取类名的代码才行。
常见的获取成员变量的方法有以下几种。
获取所有公共成员变量
可以看到输出的是我们在User定义的两个public成员变量,name和age。
Field[] fields = aClass.getFields();
for (Field field : fields) {
System.out.println(field);
}
获取所有成员变量
可以看到三个不同属性的成员变量均获取到。
Field[] fields1 = aClass.getDeclaredFields();
for (Field field : fields1) {
System.out.println(field);
}
获取单个公共成员变量
可以看到只获取了一个name公共成员变量。
//获取单个公共成员变量
Field field2 = aClass.getField("name");
System.out.println(field2);
获取任意单个成员变量
可以看到无论是什么属性的成员变量都可以获取到。
//获取单个成员变量
Field field3 = aClass.getDeclaredField("gender");
System.out.println(field3);
成员变量的值修改和获取
看完获取成员变量了,我们再看一下对成员变量的值进行修改还有获取。
首先创建一个对象也就是获取类名,然后获取age这个公共的成员变量,接着获取user对象的age值,最后输出。
可能这里大家有点不明白,前面开头我们不是已经获取类名了,为啥这里还要获取啊。是这样的,前面获取的类名我们只是为了获取其里面的age成员变量,此时我们的age成员变量已经赋值给field4了,field4.get(user)就是获取user类里面的age值,换句话说后面的是我们要从这个User类里面得到这个age的值,也就是说我们new一个其它的类,只要这个类里面有age的成员变量,也会被获取!!!(讲的有点乱,不对还请指正)
//获取成员变量的值
User user = new User();
Field field4 = aClass.getField("age");
Object a = field4.get(user);
System.out.println(a);
接着对User类里面age的值进行修改,通过 field4.set(user,30); 修改user类里面的age值,可以看到输出为30,但是我们并没有去修改user类age成员变量的代码,这就是JAVA反射机制!!!
field4.set(user,30);
Object b = field4.get(user);
System.out.println(b);
利用反射获取构造方法
获取类中的构造方法也是有四种方式。
新建一个类叫GetConstructor,用来专门写获取构造方法的代码,同样记得再开头加上获取类名的代码才行。
获取所有公共构造方法
可以看到获取到了我们前面写好的User(String name) 和 USer() 这两个公共的成员方法。
//获取公共构造方法
Constructor[] constructors1 = class1.getConstructors();
for (Constructor constructor : constructors1) {
System.out.println(constructor);
}
获取所有构造方法
可以看到无论是public属性还是private属性的构造方法都被获取到了。
//获取所有构造方法
Constructor[] constructors2 = class1.getDeclaredConstructors();
for (Constructor constructor : constructors2) {
System.out.println(constructor);
}
获取单个公共构造方法
这个和获取所有的公共构造方法的代码差不多,只不过是指定了 String 类型的构造方法,前面我们写好的String类型的公共构造方法就只有 User(String name) 所以就返回了这个。
//获取单个公共构造方法
Constructor constructor3 = class1.getConstructor(String.class);
System.out.println(constructor3);
获取单个私有构造方法
和上一个的差不多,只不过是多了个Declared而已。
//获取单个私有构造方法
Constructor constructor4 = class1.getDeclaredConstructor(String.class, int.class);
System.out.println(constructor4);
对构造方法进行操作
setAccessible(true) 临时开启对私有的访问,newInstance 使用构造方法创建对象,传递参数,允许在运行时通过 Constructor 对象调用类的构造方法。
代码逻辑和上面的成员变量修改差不多,上面是从User类里面找age这个成员变量,这里是从User类里面找到符合的构造方法。可以看到我们的两个参数成功传入到 User(String name,int age) 这个构造方法里面,并且成功调用这个构造方法。
//对构造方法进行操作
Constructor constructor5 = class1.getDeclaredConstructor(String.class, int.class);
//临时开启对私有构造方法的访问
constructor5.setAccessible(true);
User uu = (User) constructor5.newInstance("wlwnb666",30);
System.out.println(uu);
利用反射获取成员方法
获取成员方法的方式也是四种,新建一个类叫GetMethod。
获取包括继承的所有公共成员方法,可以看到输出有很多公共成员方法,这是由于它连JAVA中自带的公共成员方法也一并输出了,并不单单输出我们自己写的。
//获取包括继承的所有公共成员方法
Method[] methods1 = class1.getMethods();
for (Method method : methods1) {
System.out.println(method);
}
获取不包括继承的所有成员方法,这里输出了所有我们自己写的成员方法,并没有输出JAVA内置的。
//获取不包括继承的所有成员方法
Method[] methods2 = class1.getDeclaredMethods();
for (Method method : methods2) {
System.out.println(method);
}
获取单个成员方法,这个要指定我们获取的成员方法名称为 name ,参数类型也要对应上才行。
//获取单个成员方法
Method method3= class1.getDeclaredMethod("users", String.class, String.class);
System.out.println(method3);
和上面几乎一样。
//获取单个公共成员方法
Method method4= class1.getMethod("userinfo", String.class, int.class, String.class, String.class);
System.out.println(method4);
对成员方法进行调用,对我们前面写好的 user 成语方法进行调用。
//调用成员方法
User user = new User();
Method method5= class1.getDeclaredMethod("users", String.class, String.class);
method5.invoke(user,"wlwnb666","sex");
反序列化链条构造
OK,反射的知识点基本都讲完了,那现在我们来构造以下利用链。
先简单写一个调用计算机的命令执行,这个是调用JAVA中自带的包,我们称之为原生调用。
但是我们想一想,如果是第三方的包,是不是就得要用反射机制来得到命令执行,由于这里我没有引入第三方的包,所以我们就用JAVA自带的包来做一下通过反射实现命令执行的演示,当作是外部的包即可。
首先我们可以看到这个Runtime.getRuntime().exec() 这个命令执行方法是来自 java,lang.Runtime这个类的。
那么我们就先获取类名和所有的公共成员方法,记得这里要把路径写全,不能只写Runtime。
可以看到有很多,找到getRuntime这个方法。
查询一下。
现在我们单独把这个getRuntime 获取出来。
此外我们还需获取exec方法,由于exec 需要传参String类型,所以要加String.class。
Method exec = class1.getMethod("exec", String.class);
整个链条如下,由于exec方法属于实例方法,所以所以 exec. invoke 的第一个参数是 Runtime 实例。
这里可能有人不理解第三第四行代码,一开始我也不是很懂,后来查了一下大致理解了。首先我们要知道什么是实例对象,实例指的是通过某个类(Class)创建出来的具体对象,例如:Use user = new Use() 这样就创建了一个实例。那么回到我们的代码,可以看到 getRuntime 方法返回了 currentRuntime,而currentRuntime 正是开头创建的实例,也就是说getRuntime 方法返回的是一个实例。
那么回到我们构造的链条,Object runtime = method4.invoke(class1); 调用 getRuntime 方法,并且返回一个实例赋值给 runtime ,所以 exec.invoke(runtime, "calc.exe"); 第一个参数是runtime,第二个参数才是命令。
除了上面的说到的链条构造样子,还可以这样子去构造,不过感觉没有第一种简单明了。
// 使用 Class.forName 获取 Runtime 类
Class c1 = Class.forName("java.lang.Runtime");
// 获取 Runtime 类的默认构造方法
Constructor m = c1.getDeclaredConstructor();
// 设置构造方法为可访问
m.setAccessible(true);
// 使用反射调用 Runtime 类的 exec 方法,执行系统命令 "calc"
c1.getMethod("exec", String.class).invoke(m.newInstance(), "calc");
不安全的反射对象
指应用程序使用具有反射功能的外部输入来选择要使用的类或代码,
可能被攻击者利用而输入或选择不正确的类。绕过身份验证或访问控制检查