-
-
[原创]java 无感hook实现(修改jdk)
-
2023-9-24 11:06
-
背景
1 | 工作需要,需要修改一个java的程序逻辑,之前都是用的frida修改的,但是现在的工作场景,重视效率,所以frida这种重工具被pass了,只能重新选其他工具,初始的时候是想用java本身的一些修改工具的,上网发现了很多。比如cglib,javaassist,asm,byte buddy等; |
java本身hook工具的限制
1 2 3 4 5 6 7 8 9 10 11 | 但是发现,这些都不符合我的应用场景,首先,我这个应用的jar包本身是加密的,需要加载的过程中在自定义的classloader中进行解密才能得到最终的dex文件,而这些工具大多都是通过调用默认的classloader来加载的,直接就会检测当前dex文件不符合文件格式而报错;有一些可以绕过的,又只能修改未加载的dex;后来redefineClass绕过了,发现他只能修改部分逻辑,而我要修改的变量是一个private的,redefineClass不能修改函数的签名,即不能增加一个方法来操作这个private变量;再后来我又绕过了,可以修改了,但是又发现我的判断条件位于上一层,而这个类的实例中所有变量都无法判断我要执行的修改逻辑。。。。越看问题越多,要修改的逻辑也越多;同时程序中本身会打印日志,我修改了字节码,那他的日志中打印的行数也会有问题。。。。感觉爆炸了,最后想到通过修改jdk来实现java逻辑的修改。 |
jdk修改:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | 为了修改这个,大概了解了下一个实例在内存中的分布以及jdk的实现。首先想到jdk的类的实现,主要通过两个类来实现,一个是oopDesc,一个是Klass;我是这么理解的,Klass代表一个类的结构,oopDesc代表一个类的实例的结构;这样把实现和实例分离开来,多个类的实例oopDesc也只需要指向同一个Klass结构,这样可以大幅节省空间;我计划的实现hook修改某个实例的大致流程如下:1、在实例初始化的时候获取这个实例的地址2、通过实例指向的Klass结构,找到我想修改的这个变量或方法的偏移地址3、根据偏移,获取我想要的变量地址4、在需要修改的地方,修改之前获取的变量地址中的内存数据。下面一步步来解决:1、我想修改的是某个实例,那么就在某个实例开始的地方来hook他。实例初始化的流程大概是:->加载一个类,也就是把dex解析为一个klass类,存储在内存中->根据klass分配一个指定大小的内存空间->初始化这个内存空间为一个Oop结构->根据Klass的定义,初始化成员变量这里,我是在第二步获取的空间,反正实现就行,后续没跟了。我是用的openjdk17,修改了位于instanceKlass.cpp的allocate_instance函数,其中的oop返回之后,根据函数的入参获取当前的klass 的name,判断是否是自己需要的klass,来定位最终的oop的内存空间 |
1 2 3 4 | 看到这里的判断逻辑,为什么我加了个长度判断,而不是直接精准匹配某个字符串,是因为这里jdk有个问题,我同样新建一个a.b.c.d的类,他这里klass的名字,有的时候是"a.b.c.d",有的时候"a.b.c.d ",tmd多了一个" ",搞了我好久!2、找偏移,硬核可以直接jdk里面找,我反正就该一个类,所以简单点,通过开启java的配置启动项PrintFieldLayout来设置打印的,可以得到如下的内容:  |
这里就是Person在内存中的实例,打个比方,我要修改的是b变量,位于20偏移处,这里是10进制,不是16进制
1 2 3 | 3、根据偏移地址找到数据。这里借助了工具jhsdb,我从官网下载的jdk里面编译出来的,都是不带这个工具的,正好还下载了graal jdk,他里面是携带的。jhsdb启动后注入进程,看看上面这个变量的内存分布: |
1 2 3 4 5 6 7 | 上面是实例的结构,我们想要的b,发现并不是oop的地址加上20,那这里是为什么呢? 因为我想要获取的是一个AtomicInteger类的实例,而不是简单的int实例,存储的是指向相应的实例oop的指针,而非简单的一个int数据。 再看看下面内存的16进制分布吧 ,20的16进制是0x14,我们偏移一加,得到是0x8adade24,这里我取了四字节,是因为这里jdk采用了一个叫压缩指针的方式来存储实际的oop数据,直接使用0x8adade24 * 8 = 0x456d6f120,就是我要去的实例地址,然后再取这个AtomicInteger的数据的偏移,即可得到实际我要改的那个b的地址; 4 、在最终要修改的时候修改。这里就是我程序的逻辑了,各不一样了 |
总结
1 2 | 这个就是最终的流程了,优势就是不改java逻辑,java程序无法感知应该这个markdown不会插图呀。。。算了,也懒得插了 |
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
最后于 2023-9-24 11:11
被hackdaliu编辑
,原因: 不会贴图
|
|
|---|---|
