Java中的Unsafe在安全领域的使用总结和复现(实例详解)

2023年6月10日下午5:53 • JavaScript

下面是详细的解答。

Java中的Unsafe在安全领域的使用总结和复现(实例详解)

什么是Unsafe

Unsafe是Java中提供的一个类，它提供了直接操作其内存的方法。虽然该类被标记为不稳定的，但是Unsafe在Java中广泛使用，特别是在JDK内部（例如Java Collections、Java Concurrent包）中。

在安全领域中的使用总结

Unsafe提供了一种直接操作内存的方式，这是Java语言本身无法提供的。这种能力使得Unsafe在很多地方都不断地被使用，但是同时也隐藏了一些安全隐患。以下是在安全领域中Unsafe的使用总结：

序列化反序列化绕过：Unsafe可用于序列化反序列化绕过，攻击者可以通过Unsafe实现对已序列化的对象进行修改或创建伪造的序列化数据。
指针的滥用：Java中没有指针，但是Unsafe提供了类似指针的操作，攻击者可以通过Unsafe的指针操作对系统堆栈进行访问，从而获取敏感数据或执行恶意代码。
内存破坏：Unsafe中提供了直接操作内存的方法，攻击者可以通过误用这些方法，例如修改非法地址、越界访问等，导致内存破坏，从而危害系统安全。

实例详解

下面给出两个实例，说明Unsafe在安全领域中的使用。

实例1：局部变量的修改

下面这个示例展示了通过Unsafe修改局部变量的值，使代码逻辑发生变化。假设我们有一个函数，接收一个参数num，并返回这个参数的平方值：

public static int power(int num) {
    return num * num;
}

我们发现这个函数有一个问题：如果传入的参数为负数，函数将返回负数的平方值，并且这会导致逻辑上的错误。现在我们想通过Unsafe修改num的值，使其永远为正数，从而修复这个函数：

public static int power(int num) {
    sun.misc.Unsafe unsafe = sun.misc.Unsafe.getUnsafe();
    long offset = unsafe.objectFieldOffset(TestUnSafe.class.getDeclaredFields()[0]);
    int cmp=0;
    unsafe.compareAndSwapInt(this, offset, cmp, 1);
    return num * num;
}

在这个代码中，我们使用了Unsafe的compareAndSwapInt方法，将num的值组合上一个任意的数字（在这个例子中，我们选的数字是1），并且使num的值变为正数。这个修改使得函数的逻辑变得正确。

实例2：对象的伪序列化

下面这个示例展示了如何使用Unsafe实现对象的伪序列化，攻击者可以利用这种伪序列化绕过反序列化的安全性检查：

import java.lang.reflect.Field;


public class TestUnSafe {

    private static void serialize(Object obj) throws Exception {
        Field[] fields = obj.getClass().getDeclaredFields();
        for (Field field : fields) {
            field.setAccessible(true);
            System.out.println(field.getName() + ":" + field.get(obj));
        }
    }

    private static Object deSerialize(Class<?> clazz) throws Exception {
        Object obj = clazz.newInstance();

        Field[] fields = clazz.getDeclaredFields();
        for (Field field : fields) {
            field.setAccessible(true);
            if (field.getName().equals("name")) {
                field.set(obj, "hack"); //通过修改字段name，实现伪反序列化
            }
        }
        return obj;
    }

    public static void main(String[] args) throws Exception {
        User u = new User("huahua");
        serialize(u);
        User nu = (User)deSerialize(User.class);
        serialize(nu);
    }

    static class User{
        String name;
        public User(String name) {
            this.name = name;
        }
    }
}

在这个示例中，我们定义了一个User类，其中包含一个name字段。首先，我们通过serialize方法将一个User对象序列化为多个字段（在这个例子中，只有一个字段）。然后，我们通过deSerialize方法反序列化一个User对象。在这个方法中，我们使用Unsafe修改了name字段的值，使其变为“hack”。最后，我们再次调用serialize方法，输出经过修改后的User对象的字段。

这个示例展示了如何使用Unsafe绕过Java的安全性检查，从而实现对象的伪序列化。攻击者可以使用这种方法获取到目标机器上的敏感数据，从而造成安全问题。