JAVA通过反射命令执行
0x00:前言
之前已经学习过反射了,大概概况就是可以通过Class 类将其他类的字节码加载到本类实现操作其他类的方法、变量等。
0x01:反射机制概述
Java反射是Java非常重要的动态特性,通过使用反射我们不仅可以获取到任何类的成员方法、成员变量、构造方法等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。Java反射机制是Java语言的动态性的重要体现,也是Java的各种框架底层实现的灵魂。
0x02:Java反射
Java反射操作的是java.lang.Class对象,所以我们需要要先获取到Class对象。
获取Class对象的方式:
多用于配置文件,将类名定义在配置文件中。读取文件,加载类
2. 类名.class:通过类名的属性class获取
多用于参数的传递
3. 对象.getClass():getClass()方法在Object类中定义着。
多用于对象的获取字节码的方式
代码实例:
同一个字节码文件(*.class)在一次程序运行过程中,只会被加载一次,不论通过哪一种方式获取的Class对象都是同一个。
class类方法:
获取成员变量方法:
获取构造方法:
* Constructor<T> getConstructor(类<?>... parameterTypes)
* Constructor<T> getDeclaredConstructor(类<?>... parameterTypes)
* Constructor<?>[] getDeclaredConstructors()
获取成员方法:
获取全类名:
String getName()
成员变量设置:
构造方法:
方法对象:
使用getField方法获取成员变量
我们现在这里编写一个person类。
person代码:
public class Person {
private String name ;
private int age;
public String a ;
public Person() {
}
public void eat(){
System.out.println("eat");
}
public void eat(String food){
System.out.println("eat "+food);
}
@Override
public String toString() {
return "Person{" +
"name='" + name + '\'' +
", age=" + age +
", a='" + a + '\'' +
'}';
}
public Person(String name, int age) {
this.name = name;
this.age = age;
}
}
main类代码:
Class cls = Class.forName("com.pure.demo.Person");
Field a = cls.getField("a"); //获取成员a变量
Person person = new Person();
Object o = a.get(person); //获取成员变量的值
System.out.println(o);
a.set(person,"abc"); //修改成员a变量的值为abc
System.out.println(person);
}
使用getDeclaredFields获取所有成员变量
该方法不考虑修饰符
使用getDeclaredField获取指定成员变量
这里person该类中的成员变量是被private修饰的,我们想要访问他的值必须使用暴力反射,暴力反射可以忽略访问权限修饰符的安全检测。
获取构造方法
Class cls = Class.forName("com.pure.demo.Person");
Constructor constructor = cls.getConstructor(String.class,int.class);//获取构造器
System.out.println(constructor);
//有参构造
Object o = constructor.newInstance("123", 18); //创建对象
System.out.println(o);
//无参构造
Object o1 = constructor.newInstance();
System.out.println(o1);
}
获取方法
Class cls = Class.forName("com.pure.demo.Person");
//无参数方法
Method eat = cls.getMethod("eat");
Person person = new Person();
eat.invoke(person); //调用eat方法
//有参数方法
Method eat1 = cls.getMethod("eat", String.class); //获取eat方法并且设置参数
eat1.invoke(person, "fish");
}
获取所有public修饰方法
获取类名
0x03:反射调用Runtime
Runtime这个函数有exec方法可以本地执行命令,大部分关于jsp命令执行的payload可能都是调用Runtime进行Runtime的exec方法进行命令执行的。
不利用反射执行命令
import org.apache.commons.io.IOUtils;
import java.io.IOException;
import java.io.InputStream;
public class Test {
public static void main(String[] args) throws IOException {
InputStream ipconfig = Runtime.getRuntime().exec("ipconfig").getInputStream();
String s = IOUtils.toString(ipconfig,"gbk"); //使用IOUtils.toString静态方法将字节输入流转换为字符
System.out.println(s);
}
}
这样的代码基本都是固定死的,如果要多次传入参数执行命令的话,这样的写法肯定是不行的,那么这时候就可以用到反射。
import org.apache.commons.io.IOUtils;
import java.io.InputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Method;
public class Test2 {
public static void main(String[] args) throws Exception {
String command = "ipconfig";
Class cls = Class.forName("java.lang.Runtime"); //Runtime加载进内存
Constructor declaredConstructor = cls.getDeclaredConstructor(); //获取构造方法
declaredConstructor.setAccessible(true); //暴力反射
Object o = declaredConstructor.newInstance(); //创建Runtime类
Method exec = cls.getMethod("exec", String.class); //获取exec方法,设置需要参数string类型参数
Process process = (Process) exec.invoke(o,command); //执行exec方法,并传入ipconfig参数
// System.out.println(process);
InputStream inputStream = process.getInputStream(); //获取输出的数据
String ipconfig = IOUtils.toString(inputStream,"gbk"); //字节输出流转换为字符
System.out.println(ipconfig);
}
}
method.invoke的第一个参数必须是类实例对象,如果调用的是static方法那么第一个参数值可以传null,因为在java中调用静态方法是不需要有类实例的,因为可以直接类名.方法名(参数)的方式调用。
method.invoke的第二个参数不是必须的,如果当前调用的方法没有参数,那么第二个参数可以不传,如果有参数那么就必须严格的依次传入对应的参数类型。