前言
类加载器属于JVM的一个重要知识点,也是Java安全里命令执行、webshell管理器编写的常用技术。
类加载器简介
我们知道java源文件在运行前会被编译为class类文件,存放着编译后JVM虚拟机指令的二进制字节流。当使用某类时,JVM就会加载它并在内存中创建对应的class对象。该过程称为类的加载。
类加载过程
过程如下:
image.png
-
加载阶段
通过一个类的完全限定名称来查找该类的字节码文件,并利用字节码文件来创建一个Class对象。 -
链接阶段
负责把类的二进制数据合并到JRE中。
又可以分为以下三个阶段:
1、验证阶段
用来确保Class文件中包含的字节流信息符合当前Java虚拟机的要求。
2、准备阶段
为static修饰的静态类变量分配内存,并将其设置为默认值;
不会分配并初始化用 final 修饰符修饰的 static 变量,因为该类变量在编译时就会被分配到内存空间;
不会分配并初始化实例变量,因为实例变量会随对象一起分配到 Java 堆中,而不是 Java 方法区;
3、解析阶段
将类的二进制数据中的符号引用转换为直接引用。 -
初始化阶段
类加载的最后阶段,若该类具有父类,则先对父类进行初始化,执行静态变量赋值和静态代码块代码,成员变量也将被初始化。
类加载器
类加载器可以分为两种:
一种是Java虚拟机自带的类加载器,分别为启动类加载器、扩展类加载器、系统类加载器。
- 启动类加载器(Bootstrap ClassLoader)
- 底层由C/C++ 实现,不继承
java.lang.ClassLoader类,不存在父类加载器;
public static void main(String[] args) {
ClassLoader c1 = Object.class.getClassLoader();
System.out.println(c1); // 加载器打印出来的结果是null
}
- 负责加载
%JAVA_HOME%/jre/lib目录下的核心类库,比如 rt.jar、charsets.jar 等; - 负责加载 %JAVA_HOME%/jre/classes 中的类;
- 扩展类加载器(Extensions ClassLoader)
- 加载 Java 的扩展列库,默认加载
%JAVA_HOME%/jre/lib/ext扩展目录中的类库或由java.ext.dirs系统变量指定的目录下的类库; - 系统类加载器的父类是扩展类加载器,扩展类加载器的父类是启动类加载器;
- 系统类加载器(App ClassLoader)
- 负责加载
ClassPath环境变量下或者系统属性java.class.path的所有类库,主要是加载开发人员编写的类库; - Java 程序默认的类加载器;
- 是用户自定义的任何类加载器的默认父类加载器;
一种是用户自定义的类加载器,是java.lang.ClassLoader子类实例。
加载用户自定义路径下的类包,通过继承java.lang.ClassLoader类的方式来实现。即父类为系统类加载器。
双亲委派机制
通过上面学习,我们知道了JVM默认有三种类加载器。除了根类加载器之外,其他的类加载器都需要有自己的父加载器。
那在加载class字节码文件时到底哪个类加载器会去加载呢?这实际上就是"双亲委派机制"。
image.png
当一个类加载器需要加载类时,先去判断该类是否已经被加载,如果已加载则直接返回,如果没有被加载,就向上委托父类加载器。父类加载器也会重复同样的操作,直到"启动类加载器"。确定类未被加载,启动类加载器首先会去对应的目录下%JAVA_HOME%jre/lib/搜索该类。如果找到就加载,如果没有找到就去子类加载器重复同样的操作,去对应的目录下查找该类。最后到用户自定义的类加载器,如果还没有找到就抛出ClassNotFoundException异常退出。
自定义类加载器
下面来看一看java.lang.ClassLoader.class中的几个核心方法。
loadClass(String name, boolean resolve)
也是双亲委托模式的代码实现。
该方法会先调用findLoadedClass(String)来检查类是否已经加载过;
接着递归调用父类加载器,如果父类加载器不为null,则调用父类加载器的的loadClass()方法来寻找该类并加载,如果父类加载器为null,则说明到了引导类加载器;
如果父类加载器均找不到这个类,则调用自定义的findClass()方法寻找并加载该类;
最后根据resolve值选择是否对 Class 进行动态链接操作。
image.png
defineClass(String name, byte[] b, int off, int len)
该方法主要将类的字节流转换为java.lang.Class实例对象。
String name 表示二进制形式的类名
byte[] b 表示类的字节流,字节流可以来自Class文件,也可以来自网络或其他途径
int off 表示类的字节流的起始偏移量
int len 表示类的字节流的大小
findClass(String name)
该方法用来查找一个类,在自定义类加载器时,一般我们需要重写这个方法。以此来获取要加载类的字节码,然后调用defineClass()方法生成Class对象。
所以想自定义实现类加载器,必须满足:
1、继承java.lang.ClassLoader.class类
2、重写findClass()方法
过程
下面尝试编写一个Test类
public class Test {
public String Demo1(){
return "hello cseroad";
}
}
将该类进行编译生成class字节码文件。
再编写一个方法获取该class字节码二进制文件的byte数组。
import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.FileInputStream;
import java.util.Arrays;
/**
* @author cseroad
*/
public class Demo {
public static byte[] getBytesByFile(String pathStr) {
File file = new File(pathStr);
try {
FileInputStream in = new FileInputStream(file);
ByteArrayOutputStream baos = new ByteArrayOutputStream();
byte[] buf = new byte[1024];
int len = -1;
while ((len = in.read(buf)) != -1) {
baos.write(buf, 0, len);
}
byte[] data = baos.toByteArray(); // 读取到的字节码的二进制数据
in.close();
baos.close();
return data;
} catch (Exception e) {
e.printStackTrace();
}
return null;
}
public static void main(String[] args) {
Demo demo = new Demo();
byte[] bytesByFile = demo.getBytesByFile("/Users/cseroad/IdeaProjects/Project_Java/out/production/Java_study/com/atguigu/test/Test.class");
System.out.println(Arrays.toString(bytesByFile));
}
}
要实现自定义的类加载器,先创建一个类继承ClassLoader加载器并重写findClass()方法。
public class TestClassLoad extends ClassLoader {
@Override
protected Class<?> findClass(String name) throws ClassNotFoundException {
return super.findClass(name);
}
}
在该方法里实现调用defineClass()方法来生成Class对象。
protected Class<?> findClass(String name) {
byte[] bytes = new byte[]{-54, -2, -70, -66, 0, 0, 0, 55, 0, 20, 10, 0, 4, 0, 16, 8, 0, 17, 7, 0, 18, 7, 0, 19, 1, 0, 6, 60, 105, 110, 105, 116, 62, 1, 0, 3, 40, 41, 86, 1, 0, 4, 67, 111, 100, 101, 1, 0, 15, 76, 105, 110, 101, 78, 117, 109, 98, 101, 114, 84, 97, 98, 108, 101, 1, 0, 18, 76, 111, 99, 97, 108, 86, 97, 114, 105, 97, 98, 108, 101, 84, 97, 98, 108, 101, 1, 0, 4, 116, 104, 105, 115, 1, 0, 23, 76, 99, 111, 109, 47, 97, 116, 103, 117, 105, 103, 117, 47, 116, 101, 115, 116, 47, 84, 101, 115, 116, 59, 1, 0, 5, 68, 101, 109, 111, 49, 1, 0, 20, 40, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 1, 0, 10, 83, 111, 117, 114, 99, 101, 70, 105, 108, 101, 1, 0, 9, 84, 101, 115, 116, 46, 106, 97, 118, 97, 12, 0, 5, 0, 6, 1, 0, 13, 104, 101, 108, 108, 111, 32, 99, 115, 101, 114, 111, 97, 100, 1, 0, 21, 99, 111, 109, 47, 97, 116, 103, 117, 105, 103, 117, 47, 116, 101, 115, 116, 47, 84, 101, 115, 116, 1, 0, 16, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 0, 33, 0, 3, 0, 4, 0, 0, 0, 0, 0, 2, 0, 1, 0, 5, 0, 6, 0, 1, 0, 7, 0, 0, 0, 47, 0, 1, 0, 1, 0, 0, 0, 5, 42, -73, 0, 1, -79, 0, 0, 0, 2, 0, 8, 0, 0, 0, 6, 0, 1, 0, 0, 0, 7, 0, 9, 0, 0, 0, 12, 0, 1, 0, 0, 0, 5, 0, 10, 0, 11, 0, 0, 0, 1, 0, 12, 0, 13, 0, 1, 0, 7, 0, 0, 0, 45, 0, 1, 0, 1, 0, 0, 0, 3, 18, 2, -80, 0, 0, 0, 2, 0, 8, 0, 0, 0, 6, 0, 1, 0, 0, 0, 9, 0, 9, 0, 0, 0, 12, 0, 1, 0, 0, 0, 3, 0, 10, 0, 11, 0, 0, 0, 1, 0, 14, 0, 0, 0, 2, 0, 15};
return super.defineClass("com.atguigu.test.Test",bytes, 0, bytes.length);
}
主函数调用loadClass()方法就可以自动加载该类。
public static void main(String[] args) throws ClassNotFoundException {
TestClassLoad testClassLoad = new TestClassLoad();
//Class<?> aClass = testClassLoad.findClass("com.atguigu.test.Test");
Class<?> aClass = testClassLoad.loadClass("com.atguigu.test.Test");
System.out.println(aClass);
}
再利用反射创建对象调用方法。
public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InstantiationException, InvocationTargetException {
TestClassLoad testClassLoad = new TestClassLoad();
//Class<?> aClass = testClassLoad.findClass("com.atguigu.test.Test");
Class<?> aClass = testClassLoad.loadClass("com.atguigu.test.Test");
System.out.println(aClass);
Object o = aClass.newInstance();
Method demo1 = aClass.getMethod("Demo1");
Object invoke = demo1.invoke(o);
System.out.println(invoke);
}
综上代码为:
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Base64;
public class TestClassLoad extends ClassLoader {
@Override
protected Class<?> findClass(String name) {
byte[] bytes = new byte[]{-54, -2, -70, -66, 0, 0, 0, 55, 0, 20, 10, 0, 4, 0, 16, 8, 0, 17, 7, 0, 18, 7, 0, 19, 1, 0, 6, 60, 105, 110, 105, 116, 62, 1, 0, 3, 40, 41, 86, 1, 0, 4, 67, 111, 100, 101, 1, 0, 15, 76, 105, 110, 101, 78, 117, 109, 98, 101, 114, 84, 97, 98, 108, 101, 1, 0, 18, 76, 111, 99, 97, 108, 86, 97, 114, 105, 97, 98, 108, 101, 84, 97, 98, 108, 101, 1, 0, 4, 116, 104, 105, 115, 1, 0, 23, 76, 99, 111, 109, 47, 97, 116, 103, 117, 105, 103, 117, 47, 116, 101, 115, 116, 47, 84, 101, 115, 116, 59, 1, 0, 5, 68, 101, 109, 111, 49, 1, 0, 20, 40, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 1, 0, 10, 83, 111, 117, 114, 99, 101, 70, 105, 108, 101, 1, 0, 9, 84, 101, 115, 116, 46, 106, 97, 118, 97, 12, 0, 5, 0, 6, 1, 0, 13, 104, 101, 108, 108, 111, 32, 99, 115, 101, 114, 111, 97, 100, 1, 0, 21, 99, 111, 109, 47, 97, 116, 103, 117, 105, 103, 117, 47, 116, 101, 115, 116, 47, 84, 101, 115, 116, 1, 0, 16, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 0, 33, 0, 3, 0, 4, 0, 0, 0, 0, 0, 2, 0, 1, 0, 5, 0, 6, 0, 1, 0, 7, 0, 0, 0, 47, 0, 1, 0, 1, 0, 0, 0, 5, 42, -73, 0, 1, -79, 0, 0, 0, 2, 0, 8, 0, 0, 0, 6, 0, 1, 0, 0, 0, 7, 0, 9, 0, 0, 0, 12, 0, 1, 0, 0, 0, 5, 0, 10, 0, 11, 0, 0, 0, 1, 0, 12, 0, 13, 0, 1, 0, 7, 0, 0, 0, 45, 0, 1, 0, 1, 0, 0, 0, 3, 18, 2, -80, 0, 0, 0, 2, 0, 8, 0, 0, 0, 6, 0, 1, 0, 0, 0, 9, 0, 9, 0, 0, 0, 12, 0, 1, 0, 0, 0, 3, 0, 10, 0, 11, 0, 0, 0, 1, 0, 14, 0, 0, 0, 2, 0, 15};
//String classStr = "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";
//byte[] bytes = Base64.getDecoder().decode(classStr);
return super.defineClass(bytes, 0, bytes.length);
}
public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InstantiationException, InvocationTargetException {
TestClassLoad testClassLoad = new TestClassLoad();
//Class<?> aClass = testClassLoad.findClass("com.atguigu.test.Test");
Class<?> aClass = testClassLoad.loadClass("com.atguigu.test.Test");
System.out.println(aClass);
Object o = aClass.newInstance();
Method demo1 = aClass.getMethod("Demo1");
Object invoke = demo1.invoke(o);
System.out.println(invoke);
}
}
传入字节数组时可以直接读取字节码文件转化为byte数组,也可以base64编码再解码读取。
image.png
URLClassLoader
URLClassLoader继承了ClassLoader,可以通过java.net.URLClassLoader.class该类加载器从本地或者网络上指定的位置加载类。
public static void main(String[] args) throws NoSuchMethodException, IllegalAccessException, InstantiationException, InvocationTargetException, MalformedURLException, ClassNotFoundException {
//从文件系统目录下加载
File f = new File("/Users/cseroad/Downloads/");
URL url = f.toURL();
//从网络上加载
//URL url = new URL("http://127.0.0.1:8000/");
URLClassLoader test1 = new URLClassLoader(new URL[]{url});
Class<?> aClass = test1.loadClass("com.atguigu.test.Demo");
System.out.println(aClass);
Object o = aClass.newInstance();
Method demo1 = aClass.getMethod("Demo2");
Object invoke = demo1.invoke(o);
System.out.println(invoke);
}
image.png
扩展
在上文我们已经学习了如何自定义类加载器的方式调用其方法,加载class字节码文件并生成对应的Class对象。基于此,完全可以编写一个恶意类,也通过自定义类加载器的方式生成恶意的Class对象。
public void Eval() throws IOException {
Runtime.getRuntime().exec("/System/Applications/Calculator.app/Contents/MacOS/Calculator");
}
创建Eval()方法执行系统命令。
自定义类加载器加载该字节码文件。
public void Test() throws NoSuchMethodException, IllegalAccessException, InstantiationException, InvocationTargetException, MalformedURLException, ClassNotFoundException {
TestClassLoad testClassLoad = new TestClassLoad();
String classStr = "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";
byte[] bytes = Base64.getDecoder().decode(classStr);
Class<?> aClass = testClassLoad.defineClass("com.atguigu.test.Test", bytes, 0, bytes.length);
System.out.println(aClass);
Object o = aClass.newInstance();
Method demo1 = aClass.getMethod("Eval");
Object invoke = demo1.invoke(o);
System.out.println(invoke);
}
image.png
总结
在尚未熟知JVM的情况下,学习了JVM内置的三种类加载器,以及如何自定义编写类加载器实现方法的调用,如何利用URLClassLoader远程加载类并调用方法执行代码。
参考资料
http://roc.havemail.cn/archives/1110.html
https://www.cnblogs.com/nice0e3/p/13719903.html
https://www.guildhab.top/2021/03/java%E5%9F%BA%E7%A1%80%E7%AC%94%E8%AE%B0-%E7%B1%BB%E5%8A%A0%E8%BD%BD%E5%99%A8-classloader/
https://www.bilibili.com/video/BV1vJ41177cw?from=search&seid=157938694324483831&spm_id_from=333.337.0.0
