Java反射
反射定义
对象可以通过反射获取他的类,类可以通过反射拿到所有⽅法(包括私有) 通过java语言中的反射机制可以操作字节码文件,可以读和修改字节码文件
Person p = new Person(“zhangsan”,20); 该句话都做了什么事情?
ps:forname第二个参数为true时会加载执行静态函数的代码。
1,因为new用到了Person.class.所以会先找到Person.class文件并加载到内存中。
2,执行该类中的static代码块,如果有的话,给Person.class类进行初始化。
3,在堆内存中开辟空间,分配内存地址。
4,在堆内存中建立对象的特有属性。并进行默认初始化。
5,对属性进行显示初始化。
6,对对象进行构造代码块初始化。
7,对对象进行对应的构造函数初始化。
8,将内存地址付给栈内存中的p变量。反射应用
在正常情况下,除了系统类,如果我们想拿到一个类,需要先import才能使用,而使用forName就不需要,这样对于我们的攻击者来说就十分有利,我们可以加载任意类,而这正是反射的妙用,可以通过精妙的构造执行恶意的代码。获得类以后之后我们可以使用反射获取类里的属性、方法,也可以实例化类来调用方法。
-
反射的作用:
让java具有动态性修改已有对象的属性
动态生成对象
动态调用方法
操作内部类和私有方法
-
在反序列化漏洞中的应用:
定制需要的对象
通过invoke调用除了同名函数以外的函数通过Class类创建对象,引入不能序列化的类
获取类
forName()方法
==只需要知道类名==,在加载JDBC的时候会采用
public class test1 {
public static void main(String[] args) throws ClassNotFoundException {
Class name = Class.forName("java.lang.Runtime");
System.out.println(name);
}
}.class直接获取
使用.class去获取对象
public class test1 {
public static void main(String[] args) throws ClassNotFoundException {
Class<?> name = Runtime.class;
System.out.println(name);
}
}getClass()方法
obj.getClass() 如果==上下⽂中存在某个类的实例 obj== ,那么我们可以直接通过 obj.getClass() 来获取它的类
这个方法返回的是Class,第一个字母是大写的这种,Class是class的抽象,class是Class的实例
getClass是一个final方法返回Class的泛型
public class test1 {
public static void main(String[] args) throws ClassNotFoundException {
Runtime rt = Runtime.getRuntime();
Class<?> name = rt.getClass();
System.out.println(name);
}
}getSystemClassLoader().loadClass()
这个方法和forName类似,只要有类名就可以了,但是区别在于,==forName的静态JVM会装载类,并执行static()中的代码==
public class getSystemClassLoader {
public static void main(String[] args) throws ClassNotFoundException {
Class<?> name = ClassLoader.getSystemClassLoader().loadClass("java.lang.Runtime");
System.out.println(name);
}
}获取类方法
getDeclaredMethods
返回类或接口声明的所有方法,包括public、protected、private和默认方法,但是==不包括继承的方法==
import java.lang.reflect.Method;
public class getDeclaredMethods {
public static void main(String[] args) throws ClassNotFoundException {
Class<?> name = Class.forName("java.lang.Runtime");
System.out.println(name);
Method[] m = name.getDeclaredMethods();
for(Method x:m)
System.out.println(x);
}
}getDeclaredMethod
获取特定的方法,第一个参数是方法名,第二个参数是该方法的参数对应的class对象,例如这里Runtime的exec方法参数为一个String,所以这里的第二个参数是String.class
import java.lang.reflect.Method;
public class getDeclaredMethod {
public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException {
Class<?> name = Class.forName("java.lang.Runtime");
Method m = name.getDeclaredMethod("exec",String.class);
System.out.println(m);
}
}getMethods
返回某个类==所有的public方法,包括继承类的public方法==
getMethod的作用是通过反射获取一个类的某个特定的公有方法,在调用 getMethod 的时候,我们要注意传给他你需要获取的函数的参数类型列表。
getMethod
参数同理getDeclaredMethod
获取成员变量(类属性)
同理Method的那几个方法
获取属性以后可以用set、setAccessiable方法对属性进行修改
getDeclaredFields
获取类的成员的所有变量数组,但是不包括父类的
getDeclaredField(String name)
获取特定的,参数是想要的方法的名称
getFields()
同理,只能获得public的,但是包括了父类的
getField(String name)
同理,参数是想要的方法的名称
获取构造函数Constructor
Constructor<?>[] getConstructors() :只返回public构造函数
Constructor<?>[] getDeclaredConstructors() :返回所有构造函数
Constructor<> getConstructor(类<?>... parameterTypes) : 匹配和参数配型相符的public构造函数
Constructor<> getDeclaredConstructor(类<?>... parameterTypes) : 匹配和参数配型相符的构造函数后面两个方法的参数是对于方法的参数的类型的class对象,和Method的那个类似,例如String.class
反射创建类对象
newInstance
可以通过反射来生成实例化对象,一般我们使用Class对象的newInstance()方法来进行创建类对象
创建的方法就是:只需要通过forname方法获取到的class对象中进行newInstance方法创建即可
class.newInstance()的作用就是==调用这个类的无参构造函数==,有时候使用newInstance不成功可能是因为类没有无参构造函数或者类构造函数是私有的,想要调用有参构造函数的话可以先去获取它的构造函数
Class c = Class.forName("com.reflect.MethodTest"); // 创建Class对象
Object m1 = c.newInstance(); // 创建类对象ps:Class.newInstance() 已被弃用,建议使用 c.getDeclaredConstructor().newInstance() 代替。
invoke
invoke方法位于java.lang.reflect.Method类中,用于执行某个的对象的目标方法,一般会和getMethod方法配合进行调用。
使用用法:
public Object invoke(Object obj, Object... args)第一个参数为类的实例,第二个参数为相应函数中的参数
obj:从中调用底层方法的对象,必须是实例化对象 args: 用于方法的调用,是一个object的数组,参数有可能是多个
但需要注意的是,invoke方法第一个参数并不是固定的:
invoke 的作用是执行方法,它的==第一个参数不是固定的==,当这个方法是一个普通方法时,那么第一个参数是类对象;如果这个方法是一个静态方法,那么第一个参数是类。其实这是因为我们正常执行方法是 [1].method([2], [3], [4]…) ,而在反射里就是method.invoke([1], [2], [3], [4]…) 。
- 如果调用这个方法是普通方法,第一个参数就是类对象;
- 如果调用这个方法是静态方法,第一个参数就是类;
通过一个例子去理解
package com.test;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
public class Invoke {
public static void main(String[] args) throws ClassNotFoundException, InstantiationException, IllegalAccessException, NoSuchMethodException, InvocationTargetException {
Class<?> c = Class.forName("com.test.Invoke");
Object o = c.newInstance();
Method m = c.getMethod("test");
m.invoke(o);
}
public void test(){
System.out.println("测试成功");
}
}简单来说就是这样 方法.invoke(类或类对象)
==先forName拿到Class,再newInstance获取类对象,再getMethod获取方法,然后调用==
Runtime的rce例子(访问限制突破)
Runtime类里面有一个exec方法,可以执行命令
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
public class Exec {
public static void main(String[] args) throws ClassNotFoundException, InstantiationException, IllegalAccessException, NoSuchMethodException, InvocationTargetException {
Class c = Class.forName("java.lang.Runtime");
Object o = c.newInstance();
Method m = c.getMethod("exec",String.class);
m.invoke(o,"/System/Applications/Calculator.app/Contents/MacOS/Calculator");
}
}但是发现报错了
出现这个问题的原因:
- 使用的类没有无参构造函数
- 使用的类构造函数是私有的
那么解决方案就是setAccessible(true);,用这个去突破访问限制
Java.lang.reflect.AccessibleObject类是Field,Method和Constructor类对象的基类,可以提供将反射对象标记为使用它抑制摸人Java访问控制检查的功能,同时上述的反射类中的Field,Method和Constructor继承自AccessibleObject。所以我们在这些类方法基础上调用setAccessible()方法,既可对这些私有字段进行操作
简单来说,私有的属性、方法、构造方法,可以通过这个去突破限制,xxx.setAccessible(true) 可以看到Runtime的构造方法是private的
那么这里我们就可以这么去突破限制 先获取构造方法,然后setAccessible获取访问权限 然后再最后invoke里面,第一个参数写成con.newInstance()
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
public class Exec {
public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, InstantiationException {
Class c = Class.forName("java.lang.Runtime");
Constructor con = c.getDeclaredConstructor();
con.setAccessible(true);
Method m = c.getMethod("exec",String.class);
m.invoke(con.newInstance(),"/System/Applications/Calculator.app/Contents/MacOS/Calculator");
}
}这里有一个疑问,如果把con.newInstance单独提取出来,他打开计算器不会显示出来,但是后台的确是启动了,不知道啥原因
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
public class Exec {
public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, InstantiationException {
Class c = Class.forName("java.lang.Runtime");
Constructor con = c.getDeclaredConstructor();
con.setAccessible(true);
Object o = con.newInstance();
Method m = c.getMethod("exec",String.class);
m.invoke(o,"/System/Applications/Calculator.app/Contents/MacOS/Calculator");
}
}总结
反射中常用的几个重要方法:
- 获取类的⽅法: forName
- 实例化类对象的⽅法: newInstance (调用无参构造函数)
- 获取函数的⽅法: getMethod
- 执⾏函数的⽅法: invoke
- 限制突破方法:setAccessible
在实际利用场景当中,我们利用利用Java反射机制来绕过一些安全权限机制检查,如获取private权限的方法和属性。本质就是我们绕过访问安全检查。所以通过java反射机制的学习,能够为我们为我们后面的java漏洞分析调试,java漏洞poc测试和服务端模板引擎注入等有着十分重要的意义。