参考:
原理总结
- 使用com.sun.org.apache.bcel.internal.util.ClassLoader加载BCEL格式的字节码
- 自定义ClassLoader,在findClass方法中硬编码类的字节码的base64,然后loadClass
- 利用new ScriptEngineManager().getEngineByName(“nashorn”)#eval执行任意代码
- 使用URLClassLoader加载远程jar包然后loadClass(依赖出网)
- jdk自带的javac动态编译代码,代码可以被加密以规避检测
- 使用特殊的类加载器jdk.nashorn.internal.runtime.ScriptLoader
- 使用内部类绕检测java.lang.ProcessImpl
- 使用内部类绕检测java.lang.ProcessBuilder
- 使用sun.reflect.MethodAccessor#invoke绕过对java.lang.reflect.Method#invoke的检测
- 利用java的spi机制在不出网的情况下URLClassLoader加载base64编码后的jar包(临时目录)
- 使用TemplatesImpl绕过对ClassLoader的检测
- 重写ObjectInputStream的resolveClass的方法,然后对其readObject实现RCE