Mobile wallpaper 1
Profile Image of the Author
0x0AB8
标签
1323 字
7 分钟
SecurityManager魔法
2024-06-04
Reverse
Java
/
逆向

SecurityManager#

曾经的我在某一次阅读Java代码的时候,发现了这一个神奇的东西。 让我有了很多圈米的Idea,本文介绍我是如何使用SecurityManager。 因为最近学习高版本Java时发现他要被删除了(555),想着用这个文章纪念纪念它。

我出生了!#

自Java 1.0问世以来,SecurityManager便成为了Java生态系统的一部分。在那个

以Applet为主导的时代,Applet的运行依赖于Web浏览器。用户在浏览含有Applet的网页时, 浏览器会负责下载Applet的字节码,并在用户计算机上运行。通过设置SecurityManager,可以防止Applet访问本地文件系统或网络等敏感资源。

截止今日,你依旧能在各种 第三方库/JDK 源码中看到SecurityManager的身影。 不巧的是SecurityManager在JDK17已经被标识弃用。当你使用它的时候会警告用户 未来版本将删除 SecurityManager

为了方便,本文章使用JDK1.8进行,且只介绍非正常用法

非正常用法#

这边只介绍 System.setSecurityManager 的用法,不对 -Djava.security.policy=/path/to/policy 进行讲解

System 中的 getProperty 函数

public static String getProperty(String key, String def) {
    checkKey(key);
    SecurityManager sm = getSecurityManager();
    if (sm != null) {
        sm.checkPropertyAccess(key); // 调用这个函数
    }
    return props.getProperty(key, def);
}

于是我突发奇想,checkPropertyAccess 是不是可以看作为一个钩子hook,可以通过checkPropertyAccess获得key,再通过 setProperty进行覆盖其 value

同理可以得到以下的使用方法

checkConnect#

  • 通过 Unsafe 修改String(不可变,但是Unsafe可以)的内容,达到对某些通信进行监听,建立中转。
static {
    try {
        // 通过反射获取
        Field f = Unsafe.class.getDeclaredField("theUnsafe");
        // private 2 public
        f.setAccessible(true);
        // static
        unsafe = (Unsafe) f.get(null);
    }catch (Exception e){
        e.printStackTrace();
    }
}


// 修改String 的 数值
public static void modify(String src, String to) {
    try {
        Field value = setAccessible(String.class.getDeclaredField("value"));
        set(src, value, value.get(to));
    } catch (Exception e) {
        throw new RuntimeException(e);
    }
}


// unsafe
public static void set(Object obj, Field field, Object value) throws Exception {
    unsafe.putObject(obj, unsafe.objectFieldOffset(field), value);
}




public static <T extends AccessibleObject> T setAccessible(T t) {
    t.setAccessible(true);
    return t;
}
  • 具体代码
public static sun.misc.Unsafe unsafe = null;


public static void main(String[] args) throws Throwable {
    ServerSocket ss = new ServerSocket(1145);


    System.setSecurityManager(new SecurityManager() {
        // 必须重写
        @Override
        public void checkPermission(Permission perm) {}


        @Override
        public void checkConnect(String host, int port) {
            modify(host,"172.17.209.50"); // 修改内容
            System.out.println("尝试连接 "+host + " " + port);
        }


        @Override
        public void checkConnect(String host, int port, Object context) {
            checkConnect(host,port);
        }


    });
    Socket socket = new Socket("127.0.0.1",1145);


    socket.close();
    System.out.println("end");
}

众所周知,Java想要加载使用其他语言编写的的必须使用 System.load or System.loadLibaray两个函数之一,通过查看他们的代码可知,同样会经过 SecurityManager 的审查,同理我们可以对传入的filename进行修改,即可达到 redirect load lib,再经此伪造同样的修改后的 dll 或者 so 文件。

  • 加载 dll 或者 so 的函数
synchronized void load0(Class<?> fromClass, String filename) {
    SecurityManager security = System.getSecurityManager();
    if (security != null) {
        security.checkLink(filename);
    }
    if (!(new File(filename).isAbsolute())) {
        throw new UnsatisfiedLinkError(
            "Expecting an absolute path of the library: " + filename);
    }
    ClassLoader.loadLibrary(fromClass, filename, true);
}
  • 实例代码
public static void main(String[] args) throws Throwable {


    System.setSecurityManager(new SecurityManager() {
        // 必须重写
        @Override
        public void checkPermission(Permission perm) {}


        @Override
        public void checkLink(String lib) {
            if (check(lib)) // 写你对加载的库进行判断
            {
                // 修改路径
                modify(lib,"redirect_libPath");
            }
        }
    });


    new Scanner(System.in).next();
    System.out.println("end");
}

checkPermission#

这个函数就已经包括了第三方库中的自定义 checkPermission 行为。

可以按照特定的情况来使用。

这边我们使用 setSecurityManager 来实例,实现禁止修改 安全管理器

  • 代码
public static void main(String[] args) throws Throwable {
    System.setSecurityManager(new SecurityManager() {
        // 必须重写
        @Override
        public void checkPermission(Permission perm) {
            if (perm.getName().equals("setSecurityManager")) throw new RuntimeException("禁止修改 SecurityManager ");
        }
    });
    System.out.println("设置安全管理器成功");


    // 进行第二次设置
    System.setSecurityManager(new SecurityManager());
    System.out.println("end");
}
  • 输出结果
设置安全管理器成功
Exception in thread "main" java.lang.RuntimeException: 禁止修改 SecurityManager
  at test.BeautifulMain$1.checkPermission(BeautifulMain.java:21)
  at java.lang.System.setSecurityManager0(System.java:300)
  at java.lang.System.setSecurityManager(System.java:291)
  at test.BeautifulMain.main(BeautifulMain.java:28)

绕过方法#

模拟以下函数的操作,删去 checkPermission 的操作

private static synchronized
void setSecurityManager0(final SecurityManager s) {
    SecurityManager sm = getSecurityManager();


    // ==================================================
    if (sm != null) {
        // ask the currently installed security manager if we
        // can replace it.
        sm.checkPermission(new RuntimePermission
                                    ("setSecurityManager"));
    }
    // ==================================================


    if ((s != null) && (s.getClass().getClassLoader() != null)) {
        // New security manager class is not on bootstrap classpath.
        // Cause policy to get initialized before we install the new
        // security manager, in order to prevent infinite loops when
        // trying to initialize the policy (which usually involves
        // accessing some security and/or system properties, which in turn
        // calls the installed security manager's checkPermission method
        // which will loop infinitely if there is a non-system class
        // (in this case: the new security manager class) on the stack).
        AccessController.doPrivileged(new PrivilegedAction<Object>() {
            public Object run() {
                s.getClass().getProtectionDomain().implies
                    (SecurityConstants.ALL_PERMISSION);
                return null;
            }
        });
    }
    // 设置安全管理器的变量
    security = s;
}


// 获取的安全管理器实例也是这个
public static SecurityManager getSecurityManager() {
    return security;
}
  • 实现方法

通过此函数 setSecurityManager(null); 即可将已设置的安全管理器关闭

public static void setSecurityManager(SecurityManager securityManager) {
    try {
        // 获取当前的安全管理器
        SecurityManager sm = System.getSecurityManager();


        // 检查权限
        if ((sm != null) && (sm.getClass().getClassLoader() != null)) {


            AccessController.doPrivileged((PrivilegedAction<Object>) () -> {
                sm.getClass().getProtectionDomain().implies(SecurityConstants.ALL_PERMISSION);
                return null;
            });
        }


        Method reflectionDataMethod = Class.class.getDeclaredMethod("reflectionData");
        reflectionDataMethod.setAccessible(true);


        Object reflectionData = reflectionDataMethod.invoke(System.class);


        Field[] res = null;
        if (reflectionData != null) {
            Field field = reflectionData.getClass().getDeclaredField("declaredFields");
            field.setAccessible(true);
            res = (Field[]) field.get(reflectionData);
        }


        if(res == null) {
            Method method = Class.class.getDeclaredMethod("getDeclaredFields0", boolean.class);
            method.setAccessible(true);
            res = (Field[]) method.invoke(System.class, false);
        }


        for(Field re : res) {
            if(re.getName().equals("security")) {
                re.setAccessible(true);
                re.set(null, securityManager);
            }
        }
    }catch (Exception e){
        e.printStackTrace();
    }
}

总结#

这些都是我关于SecurityManager学到的一些小玩意。

最近开始学习高版本的Java,在翻阅其源码的时候发现SecurityManager被打上了 @Deprecated。本想再靠它再圈一把!

SecurityManager魔法
https://blog.cutebaka.cloud/posts/scuritymanager/
作者
0x0AB8
发布于
2024-06-04
许可协议
CC BY-NC-SA 4.0

部分信息可能已经过时

GXCPC-2024-游记
你好笨啊喵
© 2025 0x0AB8. All Rights Reserved. / RSS / Atom / Sitemap
Powered by Astro & Mizuki  Version 7.6.5