【创宇小课堂】Java反射

admin 2021年9月26日09:00:50代码审计评论36 views15401字阅读51分20秒阅读模式

Author:d4m1ts


什么是反射



反射就是Reflection,Java的反射是指程序在运行期可以拿到一个对象的所有信息。即Java反射机制是在运行状态时,对于任意一个类,都能够获取到这个类的所有属性和方法,对于任意一个对象,都能够调用它的任意一个方法和属性(包括私有的方法和属性),这种动态获取的信息以及动态调用对象的方法的功能就称为java语言的反射机制。


class(包括interface)的本质是数据类型(Type)


而class是由JVM在执行过程中动态加载的。JVM在第一次读取到一种class类型时,将其加载进内存。


每加载一种class,JVM就为其创建一个Class类型的实例,并关联起来。注意:这里的Class类型是一个名叫Class的class。

public final class Class {
   private Class() {}

}


以String类为例,当JVM加载String类时,它首先读取String.class文件到内存,然后,为String类创建一个Class实例并关联起来:

Class cls = new Class(String);


这个Class实例是JVM内部创建的,如果我们查看JDK源码,可以发现Class类的构造方法是private,只有JVM能创建Class实例,我们自己的Java程序是无法创建Class实例的。


所以,JVM持有的每个Class实例都指向一个数据类型(class或interface)


一般情况下,我们使用某个类时必定知道它是什么类,是用来做什么的。于是我们直接对这个类进行实例化,之后使用这个类对象进行操作。

HelloWorld helloworld = new HelloWorld(); //直接初始化,"正射"
helloworld.sayHello(4);


上面这样子进行类对象的初始化,我们可以理解为"正"。


而反射则是一开始并不知道我要初始化的类对象是什么,自然也无法使用new关键字来创建对象了。


这时候,我们使用JDK提供的反射API进行反射调用:

Class class = Class.forName("com.reflect.ReflectTest");
Method method = class.getMethod("sayhello", string.class);

Constructor constructor = class.getConstructor();

Object object = constructor.newInstance();

method.invoke(object, "Bob");


上面两段代码的执行结果,其实是完全一样的。但是其思路完全不一样,第一段代码在未运行时就已经确定了要运行的类(ReflectTest),而第二段代码则是在运行时通过字符串值才得知要运行的类(com.reflect.ReflectTest)。



所以说什么是反射?



JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。


要想解剖一个类,必须先要获取到该类的字节码文件对象。而解剖使用的就是Class类中的方法.所以先要获取到每一个字节码文件对应的Class类型的对象.


以上的总结就是什么是反射


反射就是把java类中的各种成分映射成一个个的Java对象


例如:一个类有:成员变量、方法、构造方法、包等等信息,利用反射技术可以对一个类进行解剖,把个个组成部分映射成一个个对象。(其实:一个类中这些成员方法、构造方法、在加入类中都有一个类来描述)


如图是类的正常加载过程:反射的原理在与class对象。

熟悉一下加载的时候:Class对象的由来是将class文件读入内存,并为之创建一个Class对象。


由于JVM为每个加载的class创建了对应的Class实例,并在实例中保存了该class的所有信息,包括类名、包名、父类、实现的接口、所有方法、字段等,因此,如果获取了某个Class实例,我们就可以通过这个Class实例获取到该实例对应的class的所有信息。

这种通过Class实例获取class信息的方法称为反射(Reflection)。



Java反射机制



Java反射(Reflection)是Java非常重要的动态特性,通过使用反射我们不仅可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。Java反射机制是Java语言的动态性的重要体现,也是Java的各种框架底层实现的灵魂。


反射的优点:

  • 可扩展性 :应用程序可以利用全限定名创建可扩展对象的实例,来使用来自外部的用户自定义类。

  • 类浏览器和可视化开发环境 :一个类浏览器需要可以枚举类的成员。可视化开发环境(如 IDE)可以从利用反射中可用的类型信息中受益,以帮助程序员编写正确的代码。

  • 调试器和测试工具 :调试器需要能够检查一个类里的私有成员。测试工具可以利用反射来自动地调用类里定义的可被发现的 API 定义,以确保一组测试中有较高的代码覆盖率。


反射的缺点:

尽管反射非常强大,但也不能滥用。如果一个功能可以不用反射完成,那么最好就不用。在我们使用反射技术时,下面几条内容应该牢记于心。

  • 性能开销 :反射涉及了动态类型的解析,所以 JVM 无法对这些代码进行优化。因此,反射操作的效率要比那些非反射操作低得多。我们应该避免在经常被执行的代码或对性能要求很高的程序中使用反射。

  • 安全限制 :使用反射技术要求程序必须在一个没有安全限制的环境中运行。如果一个程序必须在有安全限制的环境中运行,如 Applet,那么这就是个问题了。

  • 内部暴露 :由于反射允许代码执行一些在正常情况下不被允许的操作(比如访问私有的属性和方法),所以使用反射可能会导致意料之外的副作用,这可能导致代码功能失调并破坏可移植性。反射代码破坏了抽象性,因此当平台发生改变的时候,代码的行为就有可能也随着变化。



获取Class对象



Java反射操作的是java.lang.Class对象,所以我们需要先想办法获取到Class对象,通常我们有如下几种方式获取一个类的Class对象:


方法一

直接通过一个class的静态变量class获取:

Class cls = String.class;


方法二

如果我们有一个实例变量,可以通过该实例变量提供的getClass()方法获取:

String s = "Hello";
Class cls = s.getClass();


方法三

如果知道一个class的完整类名,可以通过静态方法Class.forName()获取:

Class cls = Class.forName("java.lang.String");


方法四

利用classLoader

Class cls = ClassLoader.getSystemClassLoader().loadClass("java.lang.Runtime")

获取数组类型的Class对象需要注意,要使用Java类型的描述符,如下:

Class<?> doubleArray = Class.forName("[D");
//相当于double[].class

Class<?> cStringArray = Class.forName("[[Ljava.lang.String;");

//相当于String[][].class


获取Runtime类Class对象代码片段:

String className     = "java.lang.Runtime";
Class  runtimeClass1 = Class.forName(className);

Class  runtimeClass2 = java.lang.Runtime.class;

Class  runtimeClass3 = ClassLoader.getSystemClassLoader().loadClass(className);


通过以上任意一种方式就可以获取java.lang.Runtime类的Class对象了。

反射调用内部类的时候需要使用$来代替.,如com.reflect.ReflectTest类有一个叫做Hello的内部类,那么调用的时候就应该将类名写成:com.reflect.ReflectTest$Hello。



反射java.lang.Runtime



java.lang.Runtime有一个exec方法可以执行本地命令,所以在很多的payload中我们都能看到反射调用Runtime类来执行本地系统命令,学习如何反射Runtime类也能让我们理解反射的一些基础用法。


不使用反射执行本地命令代码片段:

// 输出命令执行结果
System.out.println(IOUtils.toString(Runtime.getRuntime().exec("whoami").getInputStream(), "UTF-8"));


如上可以看到,我们可以使用一行代码完成本地命令执行操作,但是如果使用反射就会比较麻烦了,我们不得不需要间接性的调用Runtime的exec方法。


反射Runtime执行本地命令代码:

package com.Reflect;

import org.apache.commons.io.IOUtils;


import java.io.IOException;

import java.io.InputStream;

import java.lang.reflect.Constructor;

import java.lang.reflect.InvocationTargetException;

import java.lang.reflect.Method;

public class ReflectTest {

   public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, IOException {

// 获取Runtime类对象

       Class runtimeClass1 = Class.forName("java.lang.Runtime");

// 获取构造方法

       String cmd = "whoami";

       Constructor constructor = runtimeClass1.getDeclaredConstructor();

       constructor.setAccessible(true);

// 创建Runtime类示例,等价于 Runtime rt = new Runtime();

       Object runtimeInstance = constructor.newInstance();

// 获取Runtime的exec(String cmd)方法

       Method runtimeMethod = runtimeClass1.getMethod("exec", String.class);

// 调用exec方法,等价于 rt.exec(cmd);

       Process process = (Process) runtimeMethod.invoke(runtimeInstance, cmd);

// 获取命令执行结果

       InputStream in = process.getInputStream();

// 输出命令执行结果

       System.out.println(IOUtils.toString(in, "UTF-8"));

   }

}


【创宇小课堂】Java反射


反射调用Runtime实现本地命令执行的流程如下:


  1. 反射获取Runtime类对象(Class.forName("java.lang.Runtime"))。

  2. 使用Runtime类的Class对象获取Runtime类的无参数构造方法(getDeclaredConstructor()),因为Runtime的构造方法是private的我们无法直接调用,所以我们需要通过反射去修改方法的访问权限(constructor.setAccessible(true))。

  3. 获取Runtime类的exec(String)方法(runtimeClass1.getMethod("exec", String.class);)。

  4. 调用exec(String)方法(runtimeMethod.invoke(runtimeInstance, cmd))。


另一种方式反射执行命令(调用Runtime类的getRuntime方法,获取Runtime类对象)


调用Runtime类的getRuntime方法,获取Runtime类对象,而不是通过构造方法获取

package com.Reflect;
import org.apache.commons.io.IOUtils;

import java.io.IOException;


import java.io.InputStream;

import java.lang.reflect.InvocationTargetException;

public class ReflectTest {

   public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, IOException {

       // 获取Runtime类对象

       Class runtimeclass = Class.forName("java.lang.Runtime");

       // 要执行的命令

       String cmd = "whoami";

       // 获取Runtime的exec方法

       Object runtime = runtimeclass.getMethod("getRuntime").invoke(runtimeclass);

       // 反射调用exec方法

       Process process = (Process) runtimeclass.getMethod("exec", String.class).invoke(runtime, cmd);

       // 获取命令执行结果

       InputStream in = process.getInputStream();

       // 输出命令执行结果

       System.out.println(IOUtils.toString(in, "UTF-8"));

   }

}



访问字段



对任意的一个Object实例,只要我们获取了它的Class,就可以获取它的一切信息。

我们先看看如何通过Class实例获取字段信息。


获取字段的一些信息

import java.util.Arrays;
public class Test{

   public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException {


       Class ot = OtherTest.class;

       System.out.println(Arrays.toString(ot.getFields()));    // 获取所有public的field(包括父类)

       System.out.println(Arrays.toString(ot.getDeclaredFields()));    // 获取当前类的所有field(不包括父类)

       System.out.println(ot.getField("a"));   // 根据字段名获取某个 public 的field(包括父类)

       System.out.println(ot.getDeclaredField("b")); // 根据字段名获取当前类的某个field(不包括父类)

       System.out.println(ot.getField("a").getName()); // 字段名称

       System.out.println(ot.getField("a").getType()); // 字段类型,也是一个Class实例

       System.out.println(ot.getField("a").getModifiers()); // 修饰符

   }

}

class OtherTest extends emmTest{

   public int a = 5;

   private int b;

}

class emmTest {

   public float cc;

}

[public int OtherTest.a, public float emmTest.cc]

[public int OtherTest.a, private int OtherTest.b]

public int OtherTest.a

private int OtherTest.b

a

int

1


获取字段的值


先获取Class实例,再获取Field实例,然后,用Field.get(Object)获取指定实例的指定字段的值。

package org.example;
import java.lang.reflect.Field;

public class App {


   public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException {

       OtherTest ot = new OtherTest("haha");

       Class cls = ot.getClass();

       Field f = cls.getDeclaredField("name");

       f.setAccessible(true);  // 设置访问权限,一律为true,不然不能访问 private 的

       Object value = f.get(ot);   // 从对象ot中获取值,因为所有的同类型class共用一个Class,所以获取内容要选定对象

       System.out.println(value);

   }

}

class OtherTest {

   private String name;

   public OtherTest(String name) {

       this.name = name;

   }

}

// 输出 haha


反射是一种非常规的用法,使用反射,首先代码非常繁琐,其次,它更多地是给工具或者底层框架来使用,目的是在不知道目标实例任何信息的情况下,获取特定字段的值。


此外,setAccessible(true)可能会失败。如果JVM运行期存在SecurityManager,那么它会根据规则进行检查,有可能阻止setAccessible(true)。例如,某个SecurityManager可能不允许对java和javax开头的package的类调用setAccessible(true),这样可以保证JVM核心库的安全。


修改字段的值

package org.example;
import java.lang.reflect.Field;

public class App {


   public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException {

       OtherTest ot = new OtherTest("haha");

       Class cls = ot.getClass();

       Field f = cls.getDeclaredField("name");

       f.setAccessible(true);  // 设置访问权限,一律为true,不然不能访问 private 的

       f.set(ot, "modify");    // 反射修改值

       System.out.println(ot.getName());

   }

}

class OtherTest {

   private String name;

   public OtherTest(String name) {

       this.name = name;

   }

   public String getName() {

       return name;

   }

}


小结

Java的反射API提供的Field类封装了字段的所有信息:


  1. 通过Class实例的方法可以获取Field实例:getField(),getFields(),getDeclaredField(),getDeclaredFields();

  2. 通过Field实例可以获取字段信息:getName(),getType(),getModifiers();

  3. 通过Field实例可以读取或设置某个对象的字段,如果存在访问限制,要首先调用setAccessible(true)来访问非public字段。

  4. 通过反射读写字段是一种非常规方法,它会破坏对象的封装。



调用方法(‼️)



获取方法


通过Class实例获取所有Method信息。Class类提供了以下几个方法来获取Method

import java.util.Arrays;

public class Test{
   public static void main(String[] args) throws NoSuchMethodException {

       Class<OtherTest> cls = OtherTest.class; // Class cls = ot.getClass();


       System.out.println(Arrays.toString(cls.getMethods()));  // 获取所有public的Method(包括父类)

       System.out.println(Arrays.toString(cls.getDeclaredMethods()));  // 获取当前类的所有Method(不包括父类)

       System.out.println(cls.getMethod("echoEver", String.class));    // 获取某个public的Method(包括父类) //.getMethod(方法名,这个方法的参数类型)

       System.out.println(cls.getDeclaredMethod("echoEver", String.class));    // 获取当前类的某个Method(不包括父类)

   }

}

class OtherTest{

   public void echoEver(String thing){

       System.out.println(thing);

   }

}

// =====

/*

[public void org.example.OtherTest.echoEver(java.lang.String), public final void java.lang.Object.wait(long,int) throws java.lang.InterruptedException, public final native void java.lang.Object.wait(long) throws java.lang.InterruptedException, public final void java.lang.Object.wait() throws java.lang.InterruptedException, public boolean java.lang.Object.equals(java.lang.Object), public java.lang.String java.lang.Object.toString(), public native int java.lang.Object.hashCode(), public final native java.lang.Class java.lang.Object.getClass(), public final native void java.lang.Object.notify(), public final native void java.lang.Object.notifyAll()]

[public void org.example.OtherTest.echoEver(java.lang.String)]

public void org.example.OtherTest.echoEver(java.lang.String)

public void org.example.OtherTest.echoEver(java.lang.String)

*/


调用方法

  • 获取Class实例

  • 反射获取方法

  • invoke调用方法

package org.example;

import java.lang.reflect.InvocationTargetException;


import java.lang.reflect.Method;

public class App {

   public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException {

       OtherTest ot = new OtherTest();

       Class cls = ot.getClass();

       Method echoEver = cls.getDeclaredMethod("echoEver", String.class);

       echoEver.setAccessible(true);

       echoEver.invoke(ot,"test"); // 第一个参数是调用该方法的对象,第二个参数是一个可变长参数,是这个方法的需要传入的参数

   }

}

class OtherTest{

   private void echoEver(String thing){

       System.out.println(thing);

   }

}


小结

Java的反射API提供的Method对象封装了方法的所有信息:


  1. 通过Class实例的方法可以获取Method实例:getMethod(),getMethods(),getDeclaredMethod(),getDeclaredMethods();

  2. 通过Method实例可以获取方法信息:getName(),getReturnType(),getParameterTypes(),getModifiers();

  3. 通过Method实例可以调用某个对象的方法:Object invoke(Object instance, Object... parameters);

  4. 通过设置setAccessible(true)来访问非public方法;

  5. 通过反射调用方法时,仍然遵循多态原则。


调用构造方法



举例

我们通常使用new操作符创建新的实例:

Person p = new Person();


如果通过反射来创建新的实例,可以调用Class提供的newInstance()方法:

Person p = Person.class.newInstance();


调用Class.newInstance()的局限是,它只能调用该类的public无参数构造方法。如果构造方法带有参数,或者不是public,就无法直接通过Class.newInstance()来调用。


为了调用任意的构造方法,Java的反射API提供了Constructor对象,它包含一个构造方法的所有信息,可以创建一个实例。Constructor对象和Method非常类似不同之处仅在于它是一个构造方法,并且,调用结果总是返回实例

package org.example;
import java.lang.reflect.Constructor;

import java.lang.reflect.InvocationTargetException;


import java.util.Arrays;

public class App {

   public static void main(String[] args) throws NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException {

       Class<Integer> cls = Integer.class;

       System.out.println(cls.getName());

       System.out.println(Arrays.toString(cls.getConstructors()));

       

       // Integer.class.getConstructor(int.class);

       Constructor<Integer> cons1 = cls.getConstructor(int.class);

       Integer int1 = cons1.newInstance(123);

       System.out.println(int1);

       Constructor<Integer> cons2 = cls.getConstructor(String.class);

       System.out.println(cons2.newInstance("456"));

   }

}

/*

java.lang.Integer

[public java.lang.Integer(int), public java.lang.Integer(java.lang.String) throws java.lang.NumberFormatException]

123

456

*/


通过Class实例获取Constructor的方法如下:


  • getConstructor(Class...):获取某个public的Constructor;

  • getDeclaredConstructor(Class...):获取某个Constructor;

  • getConstructors():获取所有public的Constructor;

  • getDeclaredConstructors():获取所有Constructor。


注意Constructor总是当前类定义的构造方法,和父类无关,因此不存在多态的问题。

调用非public的Constructor时,必须首先通过setAccessible(true)设置允许访问。setAccessible(true)可能会失败。


小结

Constructor对象封装了构造方法的所有信息;


  1. 通过Class实例的方法可以获取Constructor实例:getConstructor(),getConstructors(),getDeclaredConstructor(),getDeclaredConstructors();

  2. 通过Constructor实例可以创建一个实例对象:newInstance(Object... parameters);通过设置setAccessible(true)来访问非public构造方法。



获取继承关系



获取父类class和interface

import java.util.Arrays;
public class Test{

   public static void main(String[] args) {


       OtherTest ot = new OtherTest("emm");

       Class cls = ot.getClass();

       System.out.println(cls.getSuperclass());    // 获取父类class

       System.out.println(Arrays.toString(cls.getInterfaces()));   // 获取接口

       System.out.println("".getClass().getSuperclass());  // 获取 String 的父类

   }

}

class OtherTest extends Emmm implements Aaa{

   private String name;

   public OtherTest(String name){

       this.name = name;

   }

   @Override

   public void echo() {

       System.out.println("666");

   }

}

class Emmm {

   private int aa;

}

interface Aaa{

   public void echo();

}

/*

class org.example.Emmm

[interface org.example.Aaa]

class java.lang.Object

*/


小结

通过Class对象可以获取继承关系:

  • Class getSuperclass():获取父类类型;

  • Class[] getInterfaces():获取当前类实现的所有接口。

  • 通过Class对象的isAssignableFrom()方法可以判断一个向上转型是否可以实现。


动态代理



有没有可能不编写实现类,直接在运行期创建某个interface的实例呢?


这是可能的,因为Java标准库提供了一种动态代理(Dynamic Proxy)的机制:可以在运行期动态创建某个interface的实例。


所谓动态代理,是和静态相对应的。我们来看静态代码怎么写:

// 创建接口
public interface Hello {

   void morning(String name);


}

// 实现接口Hello

public class HelloWorld implements Hello {

   public void morning(String name) {

       System.out.println("Good morning, " + name);

   }

}

// 创建实例,调用

public static void main(String[] args) {

   Hello hello = new HelloWorld();

   hello.morning("Bob");

}


动态如下 过程 ,不需要单独实现接口,而是动态实现接口。


过程

在运行期动态创建一个interface实例的方法如下:

  1. 定义一个InvocationHandler实例,它负责实现接口的方法调用

  2. 通过Proxy.newProxyInstance()创建interface实例,它需要3个参数:

    1. 使用的ClassLoader,通常就是接口类的ClassLoader;

    2. 需要实现的接口数组,至少需要传入一个接口进去;

    3. 用来处理接口方法调用的InvocationHandler实例。

  3. 将返回的Object强制转型为接口。

package org.example;
import java.lang.reflect.InvocationHandler;

import java.lang.reflect.Method;


import java.lang.reflect.Proxy;

public class App{

   public static void main(String[] args) {

       InvocationHandler handler = new InvocationHandler() {

           @Override

           public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

               System.out.println(method);

               System.out.println(args.length);

// 实现对应的方法

               if (method.getName().equals("echo")){

                   System.out.println(args[0]);

               }

               return null;

           }

       };

       Hello hello = (Hello) Proxy.newProxyInstance(Hello.class.getClassLoader(), new Class[]{Hello.class}, handler);

       hello.echo("9999");

   }

}

interface Hello{

   public void echo(String s);

}

/*

1

9999

*/


小结

Java标准库提供了动态代理功能,允许在运行期动态创建一个接口的实例;

动态代理是通过Proxy创建代理对象,然后将接口方法“代理”给InvocationHandler完成的。


Java反射机制总结



Java反射机制是Java动态性中最为重要的体现,利用反射机制我们可以轻松的实现Java类的动态调用。Java的大部分框架都是采用了反射机制来实现的(如:Spring MVC、ORM框架等),Java反射在编写漏洞利用代码、代码审计、绕过RASP方法限制等中起到了至关重要的作用。



参考文档

https://www.cnblogs.com/chanshuyi/p/head_first_of_reflection.html

https://www.bookstack.cn/read/anbai-inc-javaweb-sec/javase-Reflection-Reflection.md

本文始发于微信公众号(安全宇宙):【创宇小课堂】Java反射

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月26日09:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【创宇小课堂】Java反射 http://cn-sec.com/archives/550995.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: