第34天:安全开发-JavaEE应用反射机制攻击链类对象成员变量方法构造方法
时间轴:
Java反射相关类图解:
反射:
1、什么是 Java 反射
参考:
https://xz.aliyun.com/t/9117
Java
提供了一套反射
API
,该
API
由
Class
类与
java.lang.reflect
类库组成。
该类库包含了
Field
、
Method
、
Constructor
等类。
对成员变量,成员方法和构造方法的信息进行的编程操作可以理解为反射机制。
2、为什么要用到反射
参考:
https://xz.aliyun.com/t/9117
其实从官方定义中就能找到其存在的价值,在运行时获得程序或程序集中每一个类型的成
员和成员的信息,从而动态的创建、修改、调用、获取其属性,而不需要事先知道运行的
对象是谁。划重点:在运行时而不是编译时。(不改变原有代码逻辑,自行运行的时候动
态创建和编译即可)
3、反射机制应用
开发应用场景:
Spring
框架的
IOC
基于反射创建对象和设置依赖属性。
SpringMVC
的请求调用对应方法,也是通过反射。
JDBC
的
Class#forName(String className)
方法,也是使用反射。
安全应用场景:
构造利用链,触发命令执行
反序列化中的利用链构造
动态获取或执行任意类中的属性或方法
动态代理的底层原理是反射技术
rmi
反序列化也涉及到反射操作
演示案例:
Java-反射-Class 对象类获取
Java-反射-Field 成员变量类获取
Java-反射-Method 成员方法类获取
Java-反射-Constructor 构造方法类获取
Java-反射-不安全命令执行&反序列化链
#Java-反射-Class 对象类获取
//1
、根据类名:类名
.class
Class userClass = User.class;
//2
、根据对象:对象
.getClass()
User user = new User();
Class aClass = user.getClass();
//3
、根据全限定类名:
Class.forName("
全路径类名
")
Class aClass1 = Class.forName("com.example.reflectdemo.User");
//4
、通过类加载器获得
Class
对象:
//ClassLoader.getSystemClassLoader().loadClass("
全路径类名
");
ClassLoader clsload=ClassLoader.getSystemClassLoader();
Class aClass2 =
clsload.loadClass("com.example.reflectdemo.User");
演示:
1.创建ReflectDemo
2.删除这三个和子目录
3.创建user:
4.创建成员变量,构造方法,成员方法:
package com.example.reflectdemo;
public class User {
//成员变量
public String name="xiaodi";
public int age = 31;
private String gender="man";
protected String job="sec";
//构造方法
public User(){
//System.out.println("无参数");
}
public User(String name){
System.out.println("我的名字"+name);
}
private User(String name,int age){
System.out.println(name);
System.out.println(age);
}
//成员方法
public void userinfo(String name,int age,String gender,String job){
this.job=job;
this.age=age;
this.name = name;
this.gender=gender;
}
protected void users(String name,String gender){
this.name = name;
this.gender=gender;
System.out.println("users成员方法:"+name);
System.out.println("users成员方法:"+gender);
}
}
获取类的4种方法:
//1、根据类名:类名.class
Class userClass = User.class;
//2、根据对象:对象.getClass()
User user = new User();
Class aClass = user.getClass();
//3、根据全限定类名:Class.forName("全路径类名")
Class aClass1 = Class.forName("com.example.reflectdemo.User");
//4、通过类加载器获得 Class 对象:
//ClassLoader.getSystemClassLoader().loadClass("全路径类名");
ClassLoader clsload=ClassLoader.getSystemClassLoader();
Class aClass2 =
clsload.loadClass("com.example.reflectdemo.User");
注意:获取全部路径是复制路径——复制引用
package com.example.reflectdemo;
public class GetClass {
public static void main(String[] args) throws ClassNotFoundException {
//1、根据全限定类名:Class.forName("全路径类名")
Class aClass = Class.forName("com.example.reflectdemo.User");
System.out.println(aClass);
//2、根据类名:类名.class
Class userClass = User.class;
System.out.println(userClass);
//3、根据对象:对象.getClass()
User user= new User();
Class aClass1 = user.getClass();
System.out.println(aClass1);
//4、通过类加载器获得Class对象://ClassLoader.getSystemClassLoader().loadClass("全路径类名");
ClassLoader clsload=ClassLoader.getSystemClassLoader();
Class aClass2 = clsload.loadClass("com.example.reflectdemo1.User");
System.out.println(aClass2);
}
}运行结果:
Java-反射-Field 成员变量类获取
利用反射获取变量图解
创建GetFiled:
package com.example.reflectdemo;
import java.lang.reflect.Field;
public class GetFiled {
public static void main(String[] args) throws ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
Class aClass = Class.forName("com.example.reflectdemo.User");
//获取公共的成员变量
// Field[] fields = aClass.getFields();
// for(Field fd:fields){ //将Fields的值依次给到fd
// System.out.println(fd);
// }
//获取所有的成员变量
// Field[] fields = aClass.getDeclaredFields();
// for(Field fd:fields){
// System.out.println(fd);
// }
// //获取单个的公共成员变量
// Field name = aClass.getField("name");
// System.out.println(name);
//
// //获取单个的成员变量
// Field gender = aClass.getDeclaredField("gender");
// System.out.println(gender);
//获取公共的成员变量age的值
User u = new User();
Field field=aClass.getField("age");
//取值
Object a=field.get(u);
System.out.println(a);
//赋值
field.set(u,32);
Object aa=field.get(u);
System.out.println(aa);
}
}
第一个获取公共的成员变量的运行结果:Filed[] getFields():
得到的与User.java中的public下的变量相似
第二个获取所有的成员变量的运行结果:
第三个 1.获取单个的公共成员变量 2.获取单个的成员变量
第四个赋值与获取值:
Java-反射-Constructor 构造方法类获取
获取构造方法图解:
创建GetConstructor:
package com.example.reflectdemo;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
public class GetConstructor {
public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException {
Class aClass = Class.forName("com.example.reflectdemo.User");
//获取公共的构造方法
// Constructor[] constructors = aClass.getConstructors();
// for (Constructor con:constructors){
// System.out.println(con);
// }
//获取所有的构造方法
// Constructor[] constructors = aClass.getDeclaredConstructors();
// for (Constructor con:constructors){
// System.out.println(con);
// }
//获取单个的公共的构造方法
// Constructor constructor = aClass.getConstructor(String.class);
// System.out.println(constructor);
//
// //获取单个的构造方法
// Constructor con1 = aClass.getDeclaredConstructor(String.class,int.class);
// System.out.println(con1);
//对构造方法进行操作(两个参数string,int)
// Constructor con2=aClass.getDeclaredConstructor(String.class,int.class);
// //临时开启对私有的访问
// con2.setAccessible(true);
// User uu=(User) con2.newInstance("xiaodigaygay",40);
//System.out.println(uu);
//对构造方法进行执行(1个参数strin)
// Constructor con2=aClass.getConstructor(String.class);
// con2.newInstance("xiaodigaygay");
}
}
第一个获取公共的构造方法
第二个获取所有的构造方法
第三个获取单个的构造方法(公共+私有)
第四个对构造方法进行操作
Java-反射-Method 成员方法类获取
利用反射获取成员方法图解:
创建GetMethod:
package com.example.reflectdemo1;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
public class GetMethod {
public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
Class aClass = Class.forName("com.example.reflectdemo1.User");
// //获取包括继承的公共成员方法
// Method[] methods = aClass.getMethods();
// for(Method me:methods){
// System.out.println(me);
// }
//获取不包括继承的所有成员方法
// Method[] methods = aClass.getDeclaredMethods();
// for(Method me:methods){
// System.out.println(me);
// }
//获取单个的成员方法
// Method users = aClass.getDeclaredMethod("users", String.class,String.class);
// System.out.println(users);
//对成员方法进行执行
// User u = new User();
// Method users = aClass.getDeclaredMethod("users", String.class,String.class);
// users.invoke(u,"xiaodigay","gay1");
}
}
获取包括继承的公共成员方法
以下为继承的方法
获取不包括继承的所有成员方法
获取单个的成员方法
对成员方法进行执行
Java-反射-不安全命令执行&反序列化链‘
对于反序列化基础就是反射(jdbc(连接数据库),rmi)
package com.example.reflectdemo;
import java.io.IOException;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
public class GetRunExec {
public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException {
//原生调用 JDK自带的rt.jar
//Runtime.getRuntime().exec("calc");
//如果是第三方的jar包呢
Class aClass = Class.forName("java.lang.Runtime");
//获取所有公共包括继承的成员方法
// Method[] methods = aClass.getMethods();
// for(Method me:methods){
// System.out.println(me);
// }
//获取exec成员方法
Method exec = aClass.getMethod("exec", String.class);
//获取getRuntime成员方法
Method getRuntimeMethod = aClass.getMethod("getRuntime");
//执行
Object runtime = getRuntimeMethod.invoke(aClass);
exec.invoke(runtime, "calc.exe");
}
}
1.使用原生调用 JDK自带的rt.jar
按住runtime可以查看getRuntime()这个函数的出处
2.使用反射机制来启动计算器
可以使用ctl+F来进行搜索
JAVA反序列化
JAVA反序列化 - Commons-Collections组件 - 先知社区
JAVA反序列化 - 反射机制 - 先知社区
java反序列化验证工具
本文章由李豆豆喵和番薯小羊卷~共同完成!