Java安全之Unsafe類
0x00 前言
前面使用到的一些JNI程式設計和Javaagent等技術,其實在安全裡面的運用非常的有趣和微妙,這個已經說過很多次。後面還會發現一些比較有意思的技術,比如ASM和Unsafe這些。這下面就先來講解Unsafe這個類的使用和實際當中的一些運用場景。
0x01 Unsafe概述
Unsafe是位於sun.misc包下的一個類,主要提供一些用於執行低階別、不安全操作的方法,如直接訪問系統記憶體資源、自主管理記憶體資源等,這些方法在提升Java執行效率、增強Java語言底層資源操作能力方面起到了很大的作用。使用該類可以獲取到底層的控制權,該類在sun.misc包,預設是BootstrapClassLoader載入的。
來看一下下面的兩張圖
Unsafe類是一個不能被繼承的類且不能直接通過new的方式建立Unsafe類例項。
這裡可以看到該構造方法是private所以說不能直接new該物件,裡面有一個getUnsafe()會返回Unsafe的例項。
@CallerSensitive
public static Unsafe getUnsafe() {
// ----- 這裡去獲取當前類的ClassLoader載入器
Class var0 = Reflection.getCallerClass();
// ----- 判斷var0是不是BootstrapClassLoader
if (!VM.isSystemDomainLoader(var0.getClassLoader())) {
// ----- 否:丟擲SecurityException異常
throw new SecurityException("Unsafe");
} else {
// ----- 是:返回unsafe物件
return theUnsafe;
}
}
這裡是呼叫了isSystemDomainLoader來判斷是否為Bootstrap類載入器,如果是,可以正常獲取Unsafe例項,否則會丟擲安全異常。
public static boolean isSystemDomainLoader(ClassLoader var0) {
// ----- 重點是在這裡:
// --- 當結果為true時:說明var0是Bootstrap類載入器,
// -- 當結果為false時:說明var0是Extension || App || Custom 等類載入器
// ----- 所以回到getUnsafe()函式,當這個函式返回false時,會直接拋異常,不允許載入Unsafe
return var0 == null;
}
可以來測試一下
package com.UNsafe;
import sun.misc.Unsafe;
public class test {
public static void main(String[] args) {
Unsafe unsafe = Unsafe.getUnsafe();
int i = unsafe.addressSize();
}
}
0x02 Unsafe呼叫
前面說到Unsafe該類功能去進行直接呼叫,那麼這時候就會想到我們的反射機制。可以利用反射去直接呼叫。在這裡面也有兩種方式去進行反射呼叫。
呼叫方式一:
因為該類將他的例項化定義在theUnsafe成員變數裡面,所以可以使用反射直接獲取該變數的值。
package com.UNsafe;
import sun.misc.Unsafe;
import java.lang.reflect.Field;
public class test {
public static void main(String[] args) throws ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
Class<?> aClass = Class.forName("sun.misc.Unsafe");
Field theUnsafe = aClass.getDeclaredField("theUnsafe");
theUnsafe.setAccessible(true);
Unsafe o = (Unsafe)theUnsafe.get(null);
int i = o.addressSize();
System.out.println(i);
}
}
結果:
8
呼叫方式二:
還有種方式就是反射呼叫getUnsafe()方法,該方法會直接返回UNsafe例項物件。那麼可以反射獲取該構造方法的例項,然後呼叫該方法
package com.UNsafe;
import sun.misc.Unsafe;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
public class test {
public static void main(String[] args) throws ClassNotFoundException, NoSuchFieldException, IllegalAccessException, NoSuchMethodException, InvocationTargetException, InstantiationException {
Class<?> aClass = Class.forName("sun.misc.Unsafe");
Constructor<?> declaredConstructor = aClass.getDeclaredConstructor();
declaredConstructor.setAccessible(true);
Unsafe o = (Unsafe)declaredConstructor.newInstance();
int i = o.addressSize();
System.out.println(i);
}
}
結果:
8
0x03 Unsafe功能
操作記憶體
public native long allocateMemory(long bytes);
//分配記憶體, 相當於C++的malloc函式
public native long reallocateMemory(long address, long bytes);
//擴充記憶體
public native void freeMemory(long address);
//釋放記憶體
public native void setMemory(Object o, long offset, long bytes, byte value);
//在給定的記憶體塊中設定值
public native void copyMemory(Object srcBase, long srcOffset, Object destBase, long destOffset, long bytes);
//記憶體拷貝
public native Object getObject(Object o, long offset);
//獲取給定地址值,忽略修飾限定符的訪問限制。與此類似操作還有: getInt,getDouble,getLong,getChar等
public native void putObject(Object o, long offset, Object x);
//為給定地址設定值,忽略修飾限定符的訪問限制,與此類似操作還有: putInt,putDouble,putLong,putChar等
public native byte getByte(long address);
//獲取給定地址的byte型別的值(當且僅當該記憶體地址為allocateMemory分配時,此方法結果為確定的)
public native void putByte(long address, byte x);
//為給定地址設定byte型別的值(當且僅當該記憶體地址為allocateMemory分配時,此方法結果才是確定的)
獲取系統資訊
public native int addressSize();
//返回系統指標的大小。返回值為4(32位系統)或 8(64位系統)。
public native int pageSize();
//記憶體頁的大小,此值為2的冪次方。
執行緒排程
public native void unpark(Object thread);
// 終止掛起的執行緒,恢復正常.java.util.concurrent包中掛起操作都是在LockSupport類實現的,其底層正是使用這兩個方法
public native void park(boolean isAbsolute, long time);
// 執行緒呼叫該方法,執行緒將一直阻塞直到超時,或者是中斷條件出現。
@Deprecated
public native void monitorEnter(Object o);
//獲得物件鎖(可重入鎖)
@Deprecated
public native void monitorExit(Object o);
//釋放物件鎖
@Deprecated
public native boolean tryMonitorEnter(Object o);
//嘗試獲取物件鎖
操作物件
// 傳入一個Class物件並建立該例項物件,但不會呼叫構造方法
public native Object allocateInstance(Class<?> cls) throws InstantiationException;
// 獲取欄位f在例項物件中的偏移量
public native long objectFieldOffset(Field f);
// 返回值就是f.getDeclaringClass()
public native Object staticFieldBase(Field f);
// 靜態屬性的偏移量,用於在對應的Class物件中讀寫靜態屬性
public native long staticFieldOffset(Field f);
// 獲得給定物件偏移量上的int值,所謂的偏移量可以簡單理解為指標指向該變數;的記憶體地址,
// 通過偏移量便可得到該物件的變數,進行各種操作
public native int getInt(Object o, long offset);
// 設定給定物件上偏移量的int值
public native void putInt(Object o, long offset, int x);
// 獲得給定物件偏移量上的引用型別的值
public native Object getObject(Object o, long offset);
// 設定給定物件偏移量上的引用型別的值
public native void putObject(Object o, long offset, Object x););
// 設定給定物件的int值,使用volatile語義,即設定後立馬更新到記憶體對其他執行緒可見
public native void putIntVolatile(Object o, long offset, int x);
// 獲得給定物件的指定偏移量offset的int值,使用volatile語義,總能獲取到最新的int值。
public native int getIntVolatile(Object o, long offset);
// 與putIntVolatile一樣,但要求被操作欄位必須有volatile修飾
public native void putOrderedInt(Object o, long offset, int x);
這裡allocateInstance 這個方法很有意思,可以不呼叫該構造方法,然後去獲取一個傳入物件的例項。
那麼在安全中會怎麼去使用到該方法呢?假設一個場景,某個類的構造方法被HOOK了,該構造方法是private修飾也不能直接去進行new該物件。如果這時候不能使用 反射的機制去進行一個呼叫,那麼這時候就可以使用到該方法進行繞過。
小案例:
定義一個Persion類,並且構造方法為private修飾。
package com.demo2;
import java.io.Serializable;
public class Person implements Serializable {
private String name;
private int age;
public String getName() {
return name;
}
@Override
public String toString() {
return "Person{" +
"name='" + name + '\'' +
", age=" + age +
'}';
}
public void setName(String name) {
this.name = name;
}
public int getAge() {
return age;
}
public void setAge(int age) {
this.age = age;
}
private Person() {
}
private Person(String name, int age) {
this.name = name;
this.age = age;
}
}
編寫呼叫測試程式碼:
package com.UNsafe;
import com.demo2.Person;
import sun.misc.Unsafe;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
public class test {
public static void main(String[] args) throws ClassNotFoundException, IllegalAccessException, NoSuchMethodException, InvocationTargetException, InstantiationException {
Class<?> aClass = Class.forName("sun.misc.Unsafe");
Constructor<?> declaredConstructor = aClass.getDeclaredConstructor();
declaredConstructor.setAccessible(true);
Unsafe unsafe = (Unsafe)declaredConstructor.newInstance();
Person person = (Person)unsafe.allocateInstance(Person.class);
person.setAge(20);
person.setName("nice0e3");
System.out.println(person);
}
}
執行結果:
Person{name='nice0e3', age=20}
不採用反射和new的反射呼叫構造方法。
Class相關操作
//靜態屬性的偏移量,用於在對應的Class物件中讀寫靜態屬性
public native long staticFieldOffset(Field f);
//獲取一個靜態欄位的物件指標
public native Object staticFieldBase(Field f);
//判斷是否需要初始化一個類,通常在獲取一個類的靜態屬性的時候(因為一個類如果沒初始化,它的靜態屬性也不會初始化)使用。 當且僅當ensureClassInitialized方法不生效時返回false
public native boolean shouldBeInitialized(Class<?> c);
//確保類被初始化
public native void ensureClassInitialized(Class<?> c);
//定義一個類,可用於動態建立類,此方法會跳過JVM的所有安全檢查,預設情況下,ClassLoader(類載入器)和ProtectionDomain(保護域)例項來源於呼叫者
public native Class<?> defineClass(String name, byte[] b, int off, int len,
ClassLoader loader,
ProtectionDomain protectionDomain);
//定義一個匿名類,可用於動態建立類
public native Class<?> defineAnonymousClass(Class<?> hostClass, byte[] data, Object[] cpPatches);
這裡面的defineClass方法也很有意思,在前面的學習中應該會對defineClass方法有比較深刻的印象,比如命令執行 Java的webshell工具實現、還有jsp的一些免殺都會利用到ClassLoader的defineClass這個方法去將位元組碼給還原成一個類。那麼在這裡的這個defineClass的作用上面也說明了,也是可以去定義一個匿名類,並且可以動態去進行一個建立。假設一個場景ClassLoader.defineClass不可用後就可以使用Unsafe.defineClass。
動態載入類案例
package com.UNsafe;
import com.demo2.Person;
import javassist.CannotCompileException;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.NotFoundException;
import sun.misc.Unsafe;
import javax.xml.soap.SAAJResult;
import java.io.IOException;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.security.CodeSource;
import java.security.ProtectionDomain;
import java.security.cert.Certificate;
public class test {
public static void main(String[] args) throws ClassNotFoundException, IllegalAccessException, NoSuchMethodException, InvocationTargetException, InstantiationException, CannotCompileException, IOException, NotFoundException {
String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";
String Classname ="com.nice0e3.Commandtest";
ClassPool classPool= ClassPool.getDefault();
classPool.appendClassPath(AbstractTranslet);
CtClass payload=classPool.makeClass("com.nice0e3.Commandtest");
payload.setSuperclass(classPool.get(AbstractTranslet));
payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");
byte[] bytes=payload.toBytecode();
//獲取系統載入器
ClassLoader systemClassLoader = ClassLoader.getSystemClassLoader();
//建立預設保護域
ProtectionDomain protectionDomain = new ProtectionDomain(new CodeSource(null, (Certificate[]) null), null, systemClassLoader, null);
Class<?> aClass = Class.forName("sun.misc.Unsafe");
Constructor<?> declaredConstructor = aClass.getDeclaredConstructor();
declaredConstructor.setAccessible(true);
Unsafe unsafe = (Unsafe)declaredConstructor.newInstance();
Class<?> aClass1 = unsafe.defineClass(Classname, bytes, 0, bytes.length, systemClassLoader, protectionDomain);
Object o = aClass1.newInstance();
}
}
在JDK 11版本以後就移除了該方法。但是前面說到的defineAnonymousClass方法還是存在也可以進行使用。
參考文章
https://www.cnblogs.com/rickiyang/p/11334887.html
https://javasec.org/javase/Unsafe/
0x04 結尾
在這裡面由上面的案例可以看出來,結合了分析利用鏈的時候學習的Javassist動態生成類,然後去做轉換成位元組碼Unsafe去進行載入,這其實也能想到一些有趣的利用場景。