Hook机制

Hook机制类似于AOP机制（Aspect Oriented Programming，面向切面编程），使用基于Java Agent实现的Hook技术，RASP可以实现对Java类方法执行执行前后插入自定义逻辑，从而实现控制原本的程序执行的业务逻辑。

ProcessBuilder Hook示例

java.lang.ProcessBuilder常用于执行本地系统命令，为了便于理解Hook机制，这里以Hook ProcessBuilder类的start方法作为示例，演示如何Hook机制的工作原理。

示例 - 未经Hook的原始java.lang.ProcessBuilder类代码片段：

package java.lang;
import java.io.IOException;
import java.util.List;
public final class ProcessBuilder {
    private List<String> command;
    // 省略其他不相关类和成员变量
    public Process start() throws IOException {
        // 省去其他无关代码
        return ProcessImpl.start(command, environment, dir, redirects, redirectErrorStream);
    }
}

ProcessBuilder类可以调用UNIXProcess/ProcessImpl类的native方法执行本地系统命令，默认情况下可以被任意的Java类调用，所以存在安全问题。RASP使用Agent机制动态修改了ProcessBuilder类的start方法字节码，在方法体的前后插入RASP防御代码，当start方法被调用时因为程序逻辑已被RASP更改，必须先执行RASP的防御逻辑之后才能够执行start方法的原始业务逻辑，如果RASP调用内部的检测逻辑后发现可能存在恶意攻击，RASP会终止start方法执行逻辑，从而避免了恶意攻击。

示例 - RASP的Hook逻辑代码片段：

package org.javaweb.rasp.agent;
import org.javaweb.rasp.agent.commons.RASPLogger;
import org.javaweb.rasp.agent.hooks.advice.RASPMethodAdvice;
import org.javaweb.rasp.agent.hooks.annotation.RASPClassHook;
import org.javaweb.rasp.agent.hooks.annotation.RASPMethodHook;
import org.javaweb.rasp.agent.utils.ClassUtils;
import org.javaweb.rasp.loader.hooks.RASPHookResult;
/**
 * Hook 本地命令执行
 */
@RASPClassHook
public class LocalCommandHook {
     /**
      * Hook 通用的ProcessBuilder类
      */
     @RASPMethodHook(className = "java.lang.ProcessBuilder", methodName = "start")
     public static class ProcessBuilderHook extends RASPMethodAdvice {
       @Override
       public RASPHookResult<?> onMethodEnter() {
           Object obj = getThisObject();
           try {
               // 获取ProcessBuilder类的command变量值
               List<String> command = ClassUtils.getFieldValue(obj, "command");
               // 将执行的系统命令转换成字符串数组
               String[] commands = command.toArray(new String[command.size()]);
               // 调用processCommand方法，检测执行的本地命令合法性
               return LocalCommandHookHandler.processCommand(commands, obj, this);
           } catch (Exception e) {
                   RASPLogger.log(AGENT_NAME + "获取ProcessBuilder类command变量异常:" + e, e);
           }
             return new RASPHookResult(RETURN);
       }
     }
     // 省略其他本地命令执行Hook点
}

示例 - 经过RASP修改后的java.lang.ProcessBuilder类

package java.lang;
import org.javaweb.rasp.loader.hooks.RASPHookHandlerType;
import org.javaweb.rasp.loader.hooks.RASPHookProxy;
import org.javaweb.rasp.loader.hooks.RASPHookResult;
import java.io.IOException;
import java.util.List;
public final class ProcessBuilder {
    private List<String> command;
    public Process start() throws IOException {
      // 生成Object数组对象，存储方法参数值
      Object[] parameters = new Object[]{};
      // 生成try/catch
      try {
          // 调用RASP方法方法进入时检测逻辑
          RASPHookResult<?> enterResult = RASPHookProxy.onMethodEnter(parameters, ...);
          String HandlerType = enterResult.getRaspHookHandlerType().toString();
          if (RASPHookHandlerType.REPLACE_OR_BLOCK.toString().equals(HandlerType)) {
              // 如果RASP检测结果需要阻断或替换程序执行逻辑，return RASP返回结果中设置的返回值
              return (Process) enterResult.getReturnValue();
          } else if (RASPHookHandlerType.THROW.toString().equals(HandlerType)) {
              // 如果RASP检测结果需要往外抛出异常，throw RASP返回结果中设置的异常对象
              throw (Throwable) enterResult.getException();
          }
          // 执行程序原逻辑，执行本地系统命令并返回Process对象
          Process methodReturn = ProcessImpl.start(command, environment, dir, redirects, redirectErrorStream);
          // 调用RASP方法方法退出时检测逻辑，同onMethodEnter，此处省略对应代码
          return methodReturn;
      } catch (Throwable t) {
            // 调用RASP方法方法异常退出时检测逻辑，同onMethodEnter，此处省略对应代码
      }
    }
}

RASP Hook与Java Web攻击

常见的Java Web攻击方式最终几乎都会调用对应的Java类方法执行，而RASP恰好可以使用Hook机制控制任意的Java类方法执行逻辑，因此RASP可以使用Hook机制将易受攻击的Java类进行监控，从而实现防止恶意的Java Web攻击。