java安全漫谈-反射-1
获取类的方式
- .class
根据类名,获取类的字面量引用,不会触发类加载
- .getClass()
类已经被加载,已经实例化了该对象的情况下,根据类名获取类的信息,故该方法不会触发类加载过程
- .forName()
根据类的全额限定名,寻找到该类,然后会触发类的加载过程(包括加载→链接→初始化)。注意调用forName并不会触发构造方法
代码调试
- TestReflect.java
1 | package org.javasec.FirstReflect; |
我们先注释掉其他的操作,仅仅看.class,输出
1 | ===.class-开始=== |
确定证明了.class不会触发类加载
然后仅仅看getClass,输出
1 | System.out.println("===getClass-开始==="); |
1 | ===getClass-开始=== |
可以看出getClass本身也是不会触发类加载的,而是直接用已经加载的类
再看forName,输出
1 | System.out.println("===forName-开始==="); |
1 | ===forName-开始=== |
可以看出只有forName触发了类加载机制,直接调用了静态块的方法!这是一个很重要的特性
如果静态块里面有危险方法,那么攻击者无需拿到类的实例
1 | static { |
仅仅调用forName就能触发危险代码执行!
forName重载
1 | // 三个参数的方法可以控制是否初始化和使用哪个ClassLoader |
默认会进行初始化
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 X1ly?S!
联系我
相关推荐
2025-12-01
java安全漫谈-RMI-1
server先编写一个接口,必须继承Remote,定义一个方法,这个方法就是远程被调用的方法接口 12345678package org.javasec.RMI.rmi1;import java.rmi.Remote;import java.rmi.RemoteException;public interface test extends Remote { void printest(String str) throws RemoteException;} 再编写一个接口实现类 1234567891011121314package org.javasec.RMI.rmi1;import java.rmi.RemoteException;import java.rmi.server.UnicastRemoteObject;public class testimpl extends UnicastRemoteObject implements test { public testimpl() throws RemoteException...
2025-12-01
java安全漫谈-RMI-3
classAnnotations我们来彻底解释清楚 classAnnotations 是什么。 首先,请区分两个概念: Java代码中的注解(Annotation):比如 @Override, @RestController。这是你写在源代码里的。 Java序列化协议中的 classAnnotations:这是序列化数据流中的一个数据块,与上面的注解没有直接关系。 核心定义classAnnotations 是 Java 对象序列化后,在二进制数据流中,紧跟在类描述符(ClassDesc)之后的一个可选数据段。它的设计目的是为了让序列化框架能够在序列化一个类时,为这个类“额外附带”一些自定义信息。 你可以把它理解成序列化数据中的一个 “自定义备注字段”。 它在序列化数据流中的位置一个完整的对象在序列化流中的结构大致如下: 12345678910TC_OBJECT (0x73)└── TC_CLASSDESC (0x72) # 类描述符开始 ├── className # 类名 ├── serialVersionUID #...
2025-12-01
java安全漫谈-反序列化-1
引言在之前的RMI篇中,我们观察到RMI通信的核心是对象的序列化与反序列化。反序列化漏洞在安全领域声名显赫,几乎每种语言都曾因此受累。那么,一个核心问题是:为什么反序列化操作如此危险? 简单来说,当程序需要将网络或磁盘上的数据“还原”成一个内存中的对象时,如果这个“还原”过程本身可以被操纵,去执行攻击者预期的逻辑,漏洞就产生了。 漏洞根源为了理解漏洞的根源,我们首先要明白不同序列化方案的设计思路: **通用数据格式 (如 JSON/XML)**: 目标:跨语言、跨平台通信。 局限:通常只支持基本数据类型(字符串、数字、布尔等)。要传输一个“对象”,需要额外约定或使用扩展库(如Jackson/Fastjson)。 **语言原生序列化 (如 Java...
2025-12-01
java安全漫谈-反序列化-2
ysoserial根据不同的利用链生成命令可控的序列化数据 HashMap调用put触发DNS请求分析首先我们编写一个hashmap 12345678910111213package org.javasec.gadget;import java.net.MalformedURLException;import java.net.URL;import java.util.HashMap;public class urldns { public static void main(String[]args) throws MalformedURLException { URL url1 = new URL("https://1111.kngfrhti.requestrepo.com"); HashMap<Object, Object> map = new HashMap<>(); map.put(url1, "xxx"); ...
2025-12-01
java安全漫谈-反射-2
内部类就是存在于类的内部的类,叫内部类 123456789101112package org.javasec.FirstReflect;public class Main { public static void main(String[] args) throws Exception { //TestReflect2.test(); Outer o = new Outer(); Class<?> i2=Class.forName("org.javasec.FirstReflect.Outer$inner"); Outer.inner i1 = new Outer.inner(); } } 12345678910111213package org.javasec.FirstReflect;class Outer { static { ...
2025-12-01
java安全漫谈-RMI-2
攻击RMI攻击背景 Registry与Server位于同一JVM 攻击者能够访问目标RMI Registry服务 攻击者和Registry与Server不在同一JVM 攻击者可控的是自己的Client,只能于server远程通信 rebindRegistry攻击?1234567891011public class RmiServer { public static void main(String[] args) throws RemoteException, MalformedURLException { LocateRegistry.createRegistry(9090); System.out.println("RMI注册表-启动成功"); test t1= new testimpl(); Naming.rebind("rmi://100.10.24.123:9090/test",t1); ...
评论