dumpclass

    渗透测试 lz520520 1年前 (2022-10-07) 998次浏览

    运行时通过class获取jar包路径

    ·

    dumpclass

    有时候需要dump运行时内存,有些class实在找不到jar包位置(可能是动态代理生成的),或者内存马之类的。
    找到一个现成的项目https://github.com/hengyunabc/dumpclass,而且支持多个classloader场景。
    如果直接java -jar调用,会因为调用的是jre,而jre没有sa-jdi.jar而报错,所以可以找到java.exe的绝对路径,使用绝对路径,如下则可成功。

    dumpclass

    补充

    想要查看一些被增强过的类的字节码,或者一些AOP框架的生成类,就需要dump出运行时的Java进程里的字节码。
    从运行的java进程里dump出运行中的类的class文件的方法:

    1. 用agent attatch 到进程,然后利用Instrumentation和ClassFileTransformer就可以获取到类的字节码了。
    2. 用sd-jdi.jar里的工具。sd-jdi.jar里自带的的sun.jvm.hotspot.tools.jcore.ClassDump就可以把类的class内容dump到文件里。

    ClassDump里可以设置两个System properties:

    1. sun.jvm.hotspot.tools.jcore.filter Filter的类名
    2. sun.jvm.hotspot.tools.jcore.outputDir 输出的目录

    sd-jdi.jar 里有一个sun.jvm.hotspot.tools.jcore.PackageNameFilter,可以指定Dump哪些包里的类。PackageNameFilter里有一个System property可以指定过滤哪些包:sun.jvm.hotspot.tools.jcore.PackageNameFilter.pkgList。

    可以通过这样子的命令来使用:

    使用起来比较麻烦。在sa-jdi.jar里,还有一个图形化的工具HSDB,也可以用来查看运行的的字节码。sudo java -classpath "$JAVA_HOME/lib/sa-jdi.jar" sun.jvm.hotspot.HSDB

    https://blog.csdn.net/rednaxelafx/article/details/83678946


    Security , 版权所有丨如未注明 , 均为原创丨
    转载请注明原文链接:dumpclass
    喜欢 (10)