设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 java agent技术的注入利用与避坑点
返回列表 发新帖
查看: 820|回复: 0

java agent技术的注入利用与避坑点

[复制链接]
ivi

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2024-3-10 19:35:59 | 显示全部楼层 |阅读模式
Forest 合天网安实验室 2024-03-06 17:26 湖南

什么是Java agent技术?
Java代理(Java agent)是一种Java技术,它允许开发人员在运行时以某种方式修改或增强Java应用程序的行为。Java代理通过在Java虚拟机(JVM)启动时以"代理"(agent)的形式加载到JVM中,以监视、修改或甚至完全改变目标应用程序的行为。
Java agent 可以做什么?
  • 1. 安全监控和审计:
    通过Java代理,可以在应用程序中注入代码以监视其行为并记录关键事件。这可以用于安全审计目的,以确保应用程序不受到恶意行为或违规操作的影响。
  • 2. 安全验证和授权:
    Java代理可以拦截对受保护资源的访问,并执行安全验证和授权操作。通过代理,可以实现访问控制策略,确保只有经过授权的用户或系统可以访问特定资源。
  • 3. 安全加固:
    通过Java代理,可以对应用程序进行安全加固,例如实时检测和防御攻击,包括代码注入、SQL注入、跨站点脚本攻击等。代理可以拦截请求,并根据安全策略进行处理,从而提高应用程序的安全性。
  • 4. 加密和解密:
    Java代理可以用于实现端到端的数据加密和解密,保护敏感数据在传输过程中的安全性。代理可以拦截数据流,对数据进行加密或解密操作,以确保数据在传输过程中不会被窃取或篡改。
  • 5. 安全日志记录:
    Java代理可以用于记录应用程序的安全日志,包括用户操作、异常事件、安全警报等。通过代理,可以将安全日志发送到中央日志服务器进行集中管理和分析,以便及时发现和应对安全威胁。

静态Agent使用
创建Maven项目,写一个类PreMainTraceAgent,使用Maven编译并打成jar包。

  1. package com.example;

  3. import java.lang.instrument.ClassFileTransformer;
  4. import java.lang.instrument.IllegalClassFormatException;
  5. import java.lang.instrument.Instrumentation;
  6. import java.security.ProtectionDomain;

  8. public class PreMainTraceAgent {

  10. public static void premain(String agentArgs, Instrumentation inst) {
  11. System.out.println("agentArgs : " + agentArgs);
  12. inst.addTransformer(new DefineTransformer(), true);
  13. }

  15. static class DefineTransformer implements ClassFileTransformer {
  16. static int counts=0;
  17. @Override
  18. public byte[] transform(
  19. ClassLoader loader,
  20. String className,
  21. Class<?> classBeingRedefined,
  22. ProtectionDomain protectionDomain,
  23. byte[] classfileBuffer
  24. ) throws IllegalClassFormatException {
  25. System.out.println("premain load Class:" + className);
  26. System.out.println("filter "+(counts++)+" class");
  27. return classfileBuffer;
  28. }
  29. }
  30. }
复制代码


打成jar包之后我们要注意META-INF目录下的MSNIFEST.MF文件,MANIFEST.MF 文件是 Java 归档文件(如 JAR 文件)的一部分,用于描述归档文件的元数据信息和配置。它通常位于归档文件的根目录下。



一些常见的属性我们需要了解
  • 1. Manifest-Version: 描述了 MANIFEST.MF 文件的版本。
  • 2. Created-By: 描述了创建该归档文件的工具名称和版本。
  • 3. Main-Class: 描述了可执行 JAR 文件的入口类(Main类),当您执行 JAR
    文件时,Java虚拟机会自动寻找并执行该类中的main方法。
  • 4. Class-Path: 描述了归档文件中包含的依赖项 JAR 文件的路径,以便 Java
    虚拟机在运行时能够找到并加载这些依赖项。

在构建和部署 Java 应用程序时,MANIFEST.MF 文件可以帮助指定各种元数据信息,使得应用程序可以更好地被管理和执行。例如,当您创建一个可执行的 JAR 文件时,通过指定 Main-Class 属性,可以告诉 Java 虚拟机该 JAR 文件的入口点是哪个类。
另外创建一个项目,写一个主函数,内容随意,配置虚拟机选项。这里-javaagent:后面跟上上面项目jar包的绝对路径



运行结果如图:


可以看到premain方法中的代码成功的执行在了Main函数之前。这种使用premain方法在Main函数前执行的也被成为静态agent
动态Agent使用
首先是被代理部分(单独的项目)

  1. package com.example;

  3. import java.lang.instrument.ClassFileTransformer;
  4. import java.lang.instrument.IllegalClassFormatException;
  5. import java.lang.instrument.Instrumentation;
  6. import java.security.ProtectionDomain;

  8. public class AgentMain {
  9. public static void agentmain(String agentArgs, Instrumentation
  10. instrumentation) {
  11. instrumentation.addTransformer(new MyTransformer(),true);

  13. }
  14. public static class MyTransformer implements ClassFileTransformer {
  15. static int count = 0;

  17. @Override
  18. public byte[] transform(
  19. ClassLoader loader,
  20. String className,
  21. Class<?> classBeingRedefined,
  22. ProtectionDomain protectionDomain,
  23. byte[] classfileBuffer) throws IllegalClassFormatException {
  24. System.out.println("hello world");//这里就是我们能看到的输出。
  25. return classfileBuffer;
  26. }
  27. }
  28. }
复制代码


接下来就是使用Maven打成jar包
默认情况下META-INFMANIFEST.MF文件中有这些内容
Manifest-Version: 1.0
Created-By: Maven JAR Plugin 3.3.0
Build-Jdk-Spec: 11
但是这些是不够的,我们需要指出被代理的类。
Manifest-Version: 1.0
Agent-Class: com.example.AgentMain
Can-Redefine-Classes: true
Can-Retransform-Classes: true
  • 1. Agent-Class:指定了代理的入口类。这个属性告诉 Java


  • 虚拟机代理应该从哪个类的 premainagentmain 方法开始执行。premain 方法用于静态代理(在 JVM 启动时加载),而 agentmain 方法用于动态代理(在 JVM 运行时加载)。代理的入口类必须包含其中一个方法。
  • 2. Can-Redefine-Classes:指定了代理是否可以重新定义类。如果设置为
    true,代理将允许重新定义已经加载的类,这意味着你可以修改已经加载的类的字节码。这对于某些代理操作,如热代码替换,非常有用。
  • 3. Can-Retransform-Classes:指定了代理是否可以重新转换类。如果设置为
    true,代理将允许重新转换已经加载的类,这意味着你可以多次修改已经加载的类的字节码。这对于一些特定的代理操作也是非常有用的,如 AOP(面向切面编程)。

因为是动态加载所以我们不需要在虚拟机启动选项中指定jar包的路径。
接下来写主程序的测试类

  1. package org.example;

  3. import com.sun.tools.attach.VirtualMachine;

  5. import java.io.File;
  6. import java.lang.management.ManagementFactory;

  8. public class TestMain {
  9. public static void main(String[] args) {
  10. String agentJarPath =
  11. "C:Users86186DesktopstudyJavauntitledtargetuntitled-1.0-SNAPSHOT.jar";
  12. File agentJarFile = new File(agentJarPath);
  13. if (!agentJarFile.exists()) {
  14. System.err.println("Agent JAR file not found.");
  15. return;
  16. }
  17. String name = ManagementFactory.getRuntimeMXBean().getName();
  18. String pid = name.split("@")[0];

  20. if (pid == null) {
  21. System.err.println("Unable to find process ID.");
  22. return;
  23. }
  24. String targetClassName = "AgentMain";
  25. try {
  26. VirtualMachine vm = VirtualMachine.attach(pid);
  27. vm.loadAgent(agentJarPath,targetClassName);
  28. vm.detach();
  29. } catch (Exception e) {
  30. e.printStackTrace();
  31. }
  32. }

  34. }
复制代码


这里在获取进程号的时候会因为版本的不同而出现错误,java9以下默认是正常的,java9以上会出现报错,我们需要在虚拟机启动参数中加上-Djdk.attach.allowAttachSelf=true。


运行结果:


为什么结果中有多个helloworld
这里有讲一下为什么我们在代码中之用了一次sout,但是在结果中却出现了多个helloworld。
MyTransformer类中的transform方法中的输出语句只会在类被加载时执行一次,但是它会对每个类文件调用一次。由于一个类可能会由多个ClassLoader加载,或者同一个ClassLoader可能会加载多次,因此会导致多次输出。
这种情况通常在Java应用程序中使用了多个ClassLoader时发生,例如Web应用程序中的热部署或者OSGi环境中。每次类被加载,transform方法都会被调用一次,因此会看到多次输出。
我们可以修改一下代码做测试,这里我在每个helloworld后添加了被加载类的名字



修改后的输出结果:


实战示例:修改目标虚拟机中执行的程序第一步
首先我们写出我们正在执行的程序:循环打印helloworld。

  1. package org.example;

  3. import static java.lang.Thread.sleep;

  5. public class Main {
  6. public static void main(String[] args) throws InterruptedException {
  7. while(true) {
  8. hello();
  9. sleep(1500);
  10. }
  11. }
  12. public static void hello(){
  13. System.out.println("Hello World!");
  14. }
  15. }
复制代码




第二步
准备我们的agentmain和ClassFileTransformer实现类。

  1. package com.example;

  3. import java.lang.instrument.ClassFileTransformer;
  4. import java.lang.instrument.IllegalClassFormatException;
  5. import java.lang.instrument.Instrumentation;
  6. import java.lang.instrument.UnmodifiableClassException;
  7. import java.security.ProtectionDomain;

  9. public class AgentMain {
  10. public static void agentmain(String agentArgs, Instrumentation
  11. instrumentation) throws UnmodifiableClassException {
  12. Class [] classes = instrumentation.getAllLoadedClasses();

  14. //获取目标JVM加载的全部类
  15. for(Class cls : classes){

  17. if (cls.getName().equals("org.example.Main")){

  19. instrumentation.addTransformer(new HackTransform(),true);
  20. instrumentation.retransformClasses(cls);
  21. }
  22. // System.out.println(cls.getName());
  23. }

  25. }

  27. }

  29. package com.example;

  31. import javassist.ClassClassPath;
  32. import javassist.ClassPool;
  33. import javassist.CtClass;
  34. import javassist.CtMethod;

  36. import java.io.IOException;
  37. import java.lang.instrument.ClassFileTransformer;
  38. import java.lang.instrument.IllegalClassFormatException;
  39. import java.security.ProtectionDomain;

  41. public class HackTransform implements ClassFileTransformer {

  43. @Override
  44. public byte[] transform(ClassLoader loader, String className,
  45. Class<?> classBeingRedefined, ProtectionDomain protectionDomain,
  46. byte[] classfileBuffer) throws IllegalClassFormatException {
  47. if (className.equals("org/example/Main")) {
  48. try {
  49. System.out.println(className);

  51. ClassPool classPool = ClassPool.getDefault();


  54. if (classBeingRedefined != null) {
  55. ClassClassPath ccp = new ClassClassPath(classBeingRedefined);
  56. classPool.insertClassPath(ccp);
  57. }

  59. CtClass ctClass = classPool.get("org.example.Main");
  60. System.out.println(ctClass);


  63. CtMethod ctMethod = ctClass.getDeclaredMethod("hello");

  65. //设置方法体
  66. String body = "{System.out.println("[+]Hacker!!");}";
  67. ctMethod.setBody(body);
  68. ctClass.defrost();

  70. return ctClass.toBytecode();

  72. } catch (Exception e) {
  73. e.printStackTrace();
  74. }
  75. }

  77. return null;
  78. }
  79. }
复制代码


第三步
把第二步中的两个类打成jar包。并修改其中MANIFEST.MF中的内容。



MANIFEST.MF中的内容
Manifest-Version: 1.0Agent-Class: com.example.AgentMainCan-Redefine-Classes: trueCan-Retransform-Classes: true
第四步
写我们的注入代码

  1. package org.example;

  3. import com.sun.tools.attach.*;

  5. import java.io.IOException;
  6. import java.util.List;

  8. public class inject {

  10. public static void main(String[] args) throws IOException,
  11. AttachNotSupportedException, AgentLoadException,
  12. AgentInitializationException {
  13. //调用VirtualMachine.list()获取正在运行的JVM列表
  14. List<VirtualMachineDescriptor> list = VirtualMachine.list();
  15. for (VirtualMachineDescriptor vmd : list) {
  16. System.out.println(vmd.displayName());

  18. if (vmd.displayName().equals("org.example.Main")) {

  20. //连接指定JVM
  21. VirtualMachine virtualMachine = VirtualMachine.attach(vmd.id());
  22. String agentJarPath =
  23. "C:Users86186DesktopstudyJavauntitledtargetuntitled-1.0-SNAPSHOT.jar";
  24. //加载Agent
  25. virtualMachine.loadAgent(agentJarPath,"com.example.AgentMain");
  26. //断开JVM连接
  27. virtualMachine.detach();
  28. }

  30. }

  32. }
  33. }
复制代码


第五步
执行即可(先运行主java程序,后运行注入程序)







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 22:44 , Processed in 0.013397 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表