Java反序列化基础-类的动态加载

类加载器&双亲委派

什么是类加载器

  • 类加载器是一个负责加载器类的对象,用于实现类加载的过程中的加载这一步。
  • 每个Java类都有一个引用指向加载它的ClassLoader。而数组类是由JVM直接生成的(数组类没有对应的二进制字节流)

类加载器有哪些

JVM 中内置了三个重要的 ClassLoader:

  1. BootstrapClassLoader(启动类加载器):最顶层的加载类,由C++实现,通常表示为null,并且没有父级,主要用来加载JDK内部的核心类库,以及被-Xbootclasspath参数指定路径下的所有类。
  2. ExtensionClassLoader(扩展类加载器):主要负责 “%JRE_HOME%/lib/ext” 目录下的jar包和类以及被 “java.ext.dirs” 系统变量所指定路径下的所有类。
  3. AppClassLoader(应用程序类加载器):面向用户的加载器,负责加载应用类的path下的所有jar包和类。

还有一个是用户自定义类加载器:

  1. User ClassLoader

什么是双亲委派

当一个类加载器收到类加载器的请求的时候,它不会直接加载指定的类,而是把这个请求委托给自己的父加载器去加载器。只有父加载器无法加载这个类的时候,才会由当前这个加载器来负责类的加载。
双亲委派的好处就是一个类名只会被一个加载器加载
image.png

类加载不同代码的加载顺序

这里的代码块主要有以下四种:

  • 静态代码块:static{}
  • 构造代码块:{}
  • 无参构造器:ClassName()
  • 有参构造器:ClassName(String name)

实例化对象

  • Person.java:里面有静态代码块、构造代码块、无参构造器、有参构造器、静态成员变量、普通成员变量、静态方法。
  • Main.java:启动类

Person.java

package Class;public class Person {public static int statica;public int instancea;static {System.out.println("静态代码块");}Person(){System.out.println("无参构造器");}{System.out.println("构造代码块");}public Person(int instancea) {this.instancea = instancea;System.out.println("有参构造"+ this.instancea);}public static void staticAction(){System.out.println("静态方法");}
}

Main.java

package Class;public class Main {public static void main(String[] args) throws ClassNotFoundException{Person person = new Person();}
}

运行之后可以看见,调用的顺序是 :
静态代码块->构造代码块->无参构造器
image.png

调用静态方法

调用Person的静态方法
Main.java

package Class;public class Main {public static void main(String[] args) throws ClassNotFoundException{Person.staticAction();}
}

运行Main.java后,可以看见没有实例化对象会先调用:
静态代码块->静态方法
image.png

对静态成员变量赋值

Main.java

package Class;public class Main {public static void main(String[] args) throws ClassNotFoundException{Person.statica = 1;}
}

对静态成员变量赋值,也会调用静态代码块
image.png

使用class获取类

Main.java

package Class;public class Main {public static void main(String[] args) throws ClassNotFoundException{Class c = Person.class;}
}

运行后没有输出
image.png

使用forName获取类

获取类的class

需要在main方法上主动抛出异常
Main.java

package Class;public class Main {public static void main(String[] args) throws ClassNotFoundException{Class.forName("Class.Person");}
}

运行之后,可以看见调用了静态代码块
image.png

有true

Main.java

package Class;public class Main {public static void main(String[] args) throws ClassNotFoundException{Class.forName("Class.Person",true,ClassLoader.getSystemClassLoader());}
}

调用静态代码块
image.png

有false

Main.java

package Class;public class Main {public static void main(String[] args) throws ClassNotFoundException{Class.forName("Class.Person",false,ClassLoader.getSystemClassLoader());}
}

可以看见没有调用任何代码块
image.png

使用ClassLoader.loadClass() 获取类

Main.java

package Class;public class Main {public static void main(String[] args) throws Exception{ClassLoader cl = ClassLoader.getSystemClassLoader();Class<?> c = cl.loadClass("Class.Person");c.newInstance();// 初始化类}
}

添加了 c.newInstance()可以看见调用了以下,否则不调用
image.png

动态加载字节码

什么是字节码?

Java中的字节码,英文名为 “bytecode”,是Java代码编译后的中间代码格式。JVM(Java虚拟机)执行使用的一类指令,字节码通常存储在 .class文件中。

javac Hello.java

这里使用 javac命令编译我们写好的java文件,可以看见生成了一个 Hello.class文件,这个就是字节码文件
image.png
我们打开Hello.class文件看一下,可以看见都是一些看不懂的文件,这些是需要JVM去做的事情,才能执行
image.png
可以看见执行的时候,也会输出成功,因为java加载了字节码
image.png

类加载器的原理

注意:

复现的时候JDK版本不可以太高,否则会不一样

JDK下载:

https://blog.csdn.net/weixin_51959343/article/details/135921731

这里主要断点调试 loadClass 这一行
image.png
这个时候就会来到它的父类抽象类 ClassLoader,然后调用 loadClass()的两个参数
image.png
继续跟进来到了 AppClassLoader的loadClass()
image.png
走到下面是双亲委派的逻辑,调用父类的loadClass重复查询
image.png
这个时候又回到了 ClassLoader()类中
image.png
来到所属的 Launcher类中,Ctrl + H 可以看见,类的流程关系是:
ClassLoader —-> SecureClassLoader —> URLClassLoader —-> APPClassLoader
image.png
后面继续断点跟踪调试可以发现,函数调用顺序:
loadClass() -> findClass() -> defineClass()

任意类加载class文件

urlClassLoader

编译一个Calc类的字节码文件

package Class;import java.io.IOException;public class Calc {static {try {Runtime.getRuntime().exec("calc");} catch (IOException e) {throw new RuntimeException(e);}}
}

image.png
然后编写urlClassLoader的启动类

package Class;public class Main {public static void main(String[] args) throws Exception{URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("file://编译后的class文件位置路径//")});Class<?> c = urlClassLoader.loadClass("Class.Calc"); c.newInstance();}
}

运行之后可以看见成功弹出了计算器
image.png
也可以使用http协议进行远程加载

package Class;public class Main {public static void main(String[] args) throws Exception{URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("http://localhost:8080")});Class<?> c = urlClassLoader.loadClass("Class.Calc"); c.newInstance();}
}

在字节码文件目录下开启http服务
image.png
运行之后可以看见弹出计算器
image.png
也可以使用jar,

  • 前面 jar:
  • 后面 xxx.jar!/
package Class;public class Main {public static void main(String[] args) throws Exception{URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("jar:http://localhost:8080/Calc.jar!/")});Class<?> c = urlClassLoader.loadClass("Class.Calc");c.newInstance();}
}

image.png
file协议同理

defineClass

也可以直接使用 defineClass方法加载恶意的class文件

package Class;public class Main {public static void main(String[] args) throws Exception{//获取ClassLoader类的系统类加载器赋值到c1变量ClassLoader cl = ClassLoader.getSystemClassLoader();//使用反射机制获取 ClassLoader 类的 defineClass 方法中的一些一些参数Method defineClassCalc = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);//设置权限为可访问defineClassCalc.setAccessible(true);//byte[]数组存储了,这个目录下的Calc.class字节码文件byte[] code = Files.readAllBytes(Paths.get(("E:\\语言学习\\java\\code\\Serialize1\\Serialize1\\out\\production\\Serialize1\\Class\\Calc.class")));//反射调用了之前获取到的 defineClass 方法,将字节码数组转换为 Class 对象赋值给cClass c = (Class) defineClassCalc.invoke(cl,"Class.Calc",code,0,code.length);//初始化 Class对象 cc.newInstance();}
}

image.png
缺点就是 defineClass方法是protected受保护的成员,在反序列化中难以反射调用

Unsafe

Unsafe 方法,是采用单例模式进行设计的,无法直接调用,所以需要反射

package Class;public class Main {public static void main(String[] args) throws Exception{//获取ClassLoader类的系统类加载器赋值到c1变量ClassLoader cl = ClassLoader.getSystemClassLoader();//获取 Unsafe的类Class<Unsafe> unsafeClass = Unsafe.class;//通过反射 获取 Unsafe类的 theUnsafe字段Field theUnsafeField = unsafeClass.getDeclaredField("theUnsafe");//设置访问权限为true,theUnsafe是prvate成员theUnsafeField.setAccessible(true);byte[] code = Files.readAllBytes(Paths.get(("E:\\语言学习\\java\\code\\Serialize1\\Serialize1\\out\\production\\Serialize1\\Class\\Calc.class")));//获取 Unsafe对象theUnsafeField方法静态的字段的值Unsafe unsafe = (Unsafe) theUnsafeField.get(null);Class c2 = unsafe.defineClass("Class.Calc", code, 0, code.length, cl, null);c2.newInstance();}
}

image.png

总结

总的来说就是加载器字节码之间怎么构造一条链子,底层之间产生的漏洞

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/311687.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java 类加载过程

Java 类加载过程 类的生命周期类的加载过程加载验证准备解析初始化 类的生命周期 类的生命周期&#xff1a; 加载&#xff08;Loading&#xff09;— 验证&#xff08;Verification&#xff09;— 准备&#xff08;Preparation&#xff09;— 解析&#xff08;Resolution&#…

CSS基础:width,height尺寸属性详解

你好&#xff0c;我是云桃桃。 一个希望帮助更多朋友快速入门 WEB 前端的程序媛。云桃桃&#xff0c;大专生&#xff0c;一枚程序媛&#xff0c;感谢关注。回复 “前端基础题”&#xff0c;可免费获得前端基础 100 题汇总&#xff0c;回复 “前端工具”&#xff0c;可获取 Web…

【文件系统】 F2FS文件系统学习

一、基本介绍 1、F2FS History F2FS&#xff08;Flash Friendly File System&#xff09;是专门为Nand Flash设计的一个日志型文件系统&#xff0c;于2012年12月合入Linux3.8内核&#xff0c;Google也在2018年&#xff08;Android P&#xff09;将其吸收到安卓原生版本中&…

Composer是什么?

Composer是PHP的一个依赖管理工具&#xff0c;它允许开发者声明项目所依赖的代码库&#xff0c;并在项目中自动安装这些依赖。它使用composer.json文件来定义项目的依赖关系&#xff0c;并使用composer.lock文件来锁定依赖的版本&#xff0c;以确保项目的稳定性和可重复性。 Co…

【Git教程】(十)版本库之间的依赖 —— 项目与子模块之间的依赖、与子树之间的依赖 ~

Git教程 版本库之间的依赖 1️⃣ 与子模块之间的依赖2️⃣ 与子树之间的依赖&#x1f33e; 总结 在 Git 中&#xff0c;版本库是发行单位&#xff0c;代表的是一个版本&#xff0c;而分支或标签则只能被创建在版本库这个整体中。如果一个项目中包含了若干个子项目&#xff0c;…

雪亮工程视频联网综合管理/视频智能分析系统建设方案(一)

一、行业背景 雪亮工程主要是针对农村地区治安防控的监控项目&#xff0c;在乡村的主干道、路口、人群聚集地部署高清摄像头&#xff0c;通过三级综治中心和指挥平台&#xff0c;将视频图像信息系统纵向下延至县、乡、村&#xff0c;同时利用系统拓展在安防、社会治理、智慧交…

基于U-Net的图像分割算法介绍

U-Net是一种用于图像分割的深度学习架构,其设计初衷是用于生物医学图像分割,尤其是医学影像中的细胞分割任务。U-Net结构独特,具有编码器-解码器结构,能够有效地捕捉图像中的局部和全局信息,并在像素级别上进行精确的分割。 相关论文: U-Net: Convolutional Networks for…

记录一下我hive连不上DataGrip的问题

用户名和密码都没问题&#xff0c;但报如下这个错误 原因&#xff1a;是因为我在linux上没启hiveserver2服务 解决&#xff1a; [atguiguhadoop102 hadoop]$ hiveserver2 which: no hbase in (/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/opt/module/jdk1.8…

Spring Boot 统一功能处理(二)

本篇主要介绍Spring Boot统一功能处理中的统一数据返回格式。 目录 一、定义统一的返回类 二、配置统一数据格式 三、测试配置效果 四、统一格式返回的优点 五、源码角度解析String问题 一、定义统一的返回类 在我们的接口在处理请求时&#xff0c;返回的结果可以说是参…

Linux-进程控制

目录 1.进程创建 2. 进程终止 2.1 进程退出的场景 2.2 进程常见退出方法 2.3 return返回终止 2.4 exit()和_exit() 3. 进程等待 3.1 进程等待的原因 3.2 wait​编辑 3.3 waitpid 3.4 status 4. 进程替换 4.1 替换原理 4.2 exec函数系列 1.进程创建 在linux中for…

【学习笔记】rt-thread

任务 创建好任务&#xff0c;不管是动态还是静态创建&#xff0c;任务的状态是init &#xff0c;通过start方法来启动任务&#xff1b;线程大小 设置小了&#xff0c;无法正常工作&#xff1f;显示占空间100% 启动过程 TODO 这是编译器特性&#xff1f; 因为RT-Thread使用编…

代码随想录-算法训练营day14【二叉树01:理论基础、递归遍历、迭代遍历、统一迭代】

代码随想录-035期-算法训练营【博客笔记汇总表】-CSDN博客 第六章 二叉树part01今日内容&#xff1a; ● 理论基础 ● 递归遍历 ● 迭代遍历 ● 统一迭代详细布置 理论基础 需要了解 二叉树的种类&#xff0c;存储方式&#xff0c;遍历方式 以及二叉树的定义 文章讲解&#x…

ARM_day7:实现三个按键中断

程序代码&#xff1a; mykey.h: #ifndef __MYKEY_H__ #define __MYKEY_H__ #include "stm32mp1xx_rcc.h" #include "stm32mp1xx_gpio.h" #include "stm32mp1xx_exti.h" #include "stm32mp1xx_gic.h" extern void printf(const char …

03_信号和槽

信号和槽 系统的信号和槽自定义信号和槽Lambda表达式 系统的信号和槽 下面我们完成一个小功能&#xff0c;上面我们已经学习了按钮的创建&#xff0c;但是还没有体现出按钮的功能&#xff0c;按钮最大的功能也就是点击后触发一些事情&#xff0c;比如我们点击按钮&#xff0c;…

FAGLL03H 新增自定义字段

1、SGLPOS_N_GL_CT、SGLPOS_N_CT两个结构新增自定义字段 2、执行t-code:HDBVIEWS 3、实施增强 FAGL_LIB 4、使用select data方法 5、代码示例: method IF_FAGL_LIB~SELECT_DATA.FIELD-SYMBOLS: <fs> TYPE any.FIELD-SYMBOLS <ls_data> TYPE any.F…

ctf.show_web13

上传一句话木马 1.php文件&#xff0c;显示 再改后缀为.jpg&#xff0c;显示错误文件大小 用dirsearch扫一下 备份文件.bak 下载文件源码 <?php header("content-type:text/html;charsetutf-8");$filename $_FILES[file][name];$temp_name $_FILES[file][tm…

腾讯清华联合提出图像到视频生成方法-Follow-Your-Click:点击图像并加上简单提示词就可让图像动起来!

Follow-Your-Click只需单击一次和简短的提示就可以让图像的某一部分动起来&#xff0c;还支持不同的动作表达&#xff0c;比如微笑&#xff0c;悲伤&#xff0c;跳舞…… 相关链接 论文链接&#xff1a;https://arxiv.org/abs/2403.08268 项目链接&#xff1a;https://github…

html 引入vue Element ui 的方式

第一种&#xff1a;使用CDN的方式引入 <!--引入 element-ui 的样式&#xff0c;--> <link rel"stylesheet" href"https://unpkg.com/element-ui/lib/theme-chalk/index.css"> <!-- 必须先引入vue&#xff0c; 后使用element-ui --> <…

基于Docker构建CI/CD工具链(六)使用Apifox进行自动化测试

添加测试接口 在Spring Boot Demo项目里实现一个简单的用户管理系统的后端功能。具体需求如下&#xff1a; 实现了一个RESTful API&#xff0c;提供了以下两个接口 &#xff1a; POST请求 /users&#xff1a;用于创建新的用户。GET请求 /users&#xff1a;用于获取所有用户的列…

凡泰极客亮相2024 亚马逊云科技出海全球化论坛,为企业数字化出海赋能

随着「不出海&#xff0c;即出局」登上热搜榜单&#xff0c;企业出海已成燎原之势&#xff0c;3月29日&#xff0c;2024 亚马逊云科技出海全球化论坛在深圳成功举办&#xff0c;凡泰极客创始人梁启鸿受邀出席&#xff0c;并以 「App 2.0&#xff1a;以SuperApp构建智能数字生态…