声明

出品|先知社区(ID:LeeH）

以下内容，来自先知社区的LeeH作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任何责任。

前言

java-object-searcher作为一款java内存对象搜索工具，能够快速定位在内存中关键变量在内存中的具体位置

不仅能够快速找到特定的中间的回显方法，更能够定位到我们自定义的任何关键词路径，我们这篇就详细的看看这个工具的具体实现原理

使用方法

根据readme的描述，可以直接在github下载源码，之后使用maven打包成jar包

可以选择将其添加在目标项目中的classpath中

又或者是直接将该jar包添加在JDK的ext目录下，在加载JDK包的同时加载这个jar到classpath

    我们直接对readme中的案例进行调试分析

//设置搜索类型包含Request关键字的对象List<Keyword> keys = new ArrayList<>();keys.add(new Keyword.Builder().setField_type("Request").build());//定义黑名单List<Blacklist> blacklists = new ArrayList<>();blacklists.add(new Blacklist.Builder().setField_type("java.io.File").build());//新建一个广度优先搜索Thread.currentThread()的搜索器SearchRequstByBFS searcher = new SearchRequstByBFS(Thread.currentThread(),keys);// 设置黑名单searcher.setBlacklists(blacklists);//打开调试模式,会生成log日志searcher.setIs_debug(true);//挖掘深度为20searcher.setMax_search_depth(20);//设置报告保存位置searcher.setReport_save_path("D:\\apache-tomcat-7.0.94\\bin");searcher.searchObject();

实现原理

首先我们看看项目结构

entity

在entity包下定义了三个类Blacklist / Keyword / NodeT

Blacklist

其中Blacklist类，顾名思义，就是一个黑名单类

我们可以注意到他的构造方法传入的是一个内部静态类对象

作者建立这个黑名单的目的就是减少搜索的对象数量，凭借着经验，可以将完全不可能存在有目标对象的对象添加进入黑名单中，大大的减少对象搜索的数量，加快寻找的速度

比如

- java.lang.Byte- java.lang.Short- java.lang.Integer- java.lang.Long- java.lang.Float- java.lang.Boolean- java.lang.String- java.lang.Class- java.lang.Character- java.io.File....

这些基本的数据类型，可以果断的添加进入黑名单加快速度

Keyword

而对于Keyword类，和Blacklist类具有类似的结构

设置该类的目的，主要是设置我们需要寻找的对象的信息，什么名称？什么值？什么样的类型？

NodeT

对于这个类同样具有相同的数据结构

其中chain属性记录的是这个利用链，而field_name记录的是当前的节点的名称， 而field_object记录的就是当前节点的类对象

而最重要的就是Interger类型的属性current_dep-th，这个用来记录当前节点相比较于入口的深度，用来和之后在搜索器中会提到的最大搜索深度进行比较

searcher

在这个包下，定义的是三个搜索器

普通的版本：JavaObjectSearcher

采用广度优先算法进行搜索:SearchRequest-ByBFS

采用深度优先算法进行搜索:SearchRequest-ByDFS

SearchRequestByBFS

我们首先看看常用的采用广度优先算法的搜索器，在创建一个搜索器的时候，传入的是一个target目标对象和一个List<Keyword>列表

在进行赋值之后

设置黑名单

首先是判断搜索深度，之后就是搜索对象是否为null，再然后就是调用CheckUtil.isSysType判断该对象是不是系统类型

如果没有匹配过，在将目标对象添加进入该属性中之后调用了MatchUtil.matchObject方法进行匹配

通过获取对应的Keyword类对象的信息，如果存在有对应的field_name / field_value / field_type描述，将会调用对应的isIn方法进行匹配

如果没有匹配到，将会返回false

以至于在最后的while判断语句中返回了true，继续进行下一个Keyword对象的匹配

当然，如果这里能够匹配成功的话，返回的是true，将会进入if语句中

而如果目标对应是一个Class类对象，且其不是Object类

如果是，将会将其深度加一，之后获取所有的元素生成对应的NodeT对象之后添加进入q这个队列的末尾

后面同样也有着是否是Map对象的判断和处理

在这样的处理之后，就能够将该层的所有属性生成对应的NodeT对象放置在q这个队列中等待进行匹配

最后进入了最外层的while死循环

他这里主要是处理匹配每次都只是取出头部第一个来进行首先匹配来达到广度优先算法的实现

SearchRequestByDFS

这个搜索器和上面搜索器在实现方面没有很大的区别，主要就是算法的实现

在上个搜索器中主要是定义了一个队列q，其中存放了一个个NodeT对象来存储节点信息，每次在进行目标匹配的时候总是取出队列中的首部结点，通过这样的设计思路，达到了广度优先算法的实现

而对于SearchRequestByDFS这种基于深度优先算法的实现，并没有定义一个队列来进行存储，而是采用，即时匹配的原则进行实现

具体点来看看，主要是在searchObject方法的实现上有所不同，在这个搜索器中有两个重载方法

主要看看有参方法的实现

直接获取其中的所有values，依次调用searchObject方法进行匹配，这里就会一直向内嵌套，直到将一个value对象匹配到底，或者是到达最大搜索深度才会截至继续匹配下一个value值

如果目标对象是数组对象

尝试搜索

//设置搜索类型包含Request关键字的对象List<Keyword> keys = new ArrayList<>();keys.add(new Keyword.Builder().setField_type("Request").build());List<Blacklist> blacklists = new ArrayList<>();blacklists.add(new Blacklist.Builder().setField_type("java.io.File").build());SearchRequstByBFS searcher = new SearchRequstByBFS(Thread.currentThread(),keys);searcher.setBlacklists(blacklists);searcher.setIs_debug(true);searcher.setMax_search_depth(10);searcher.setReport_save_path("xx");searcher.searchObject();

我这里的环境是springboot 2.5.0的环境

在运行搜索器之后得到结果

参考

https://github.com/c0ny1/java-object-searcher

欢迎关注长白山攻防实验室公众号

定期更新优质文章分享