有很长一段时间没写文章了，也很久没搞Java相关的漏洞研究了，因为工作需要，忙碌了好一段时间的后端开发，都有点落下安全相关的研究了，实属堕落。

最近研究了一下多个业内使用的RASP实现，对于RASP又有了更加深入的了解，其中，RASP的类加载机制，我个人觉得应该是RASP中最核心的地方，也是最容易出BUG的地方了。对于这个RASP比较核心的类加载机制，我在这篇文章中，将会以OpenRASP为基础例子，去对其原理进行讲解，并给出与之不同的实现，分析出各自实现的优劣点。

通过这篇文章，大伙应该能理解到OpenRASP的类加载设计，更甚者可能会想到其它更好的设计，希望大家可以多多交流，互相进步。

最近，我的朋友“老嗨”，他参加了一个某云举办的号称可能史上最强的使用了AI技术的Webshell检测系统挑战赛…因为我没什么时间去搞这个，所以，我把我珍藏多年，姿势比较多的JSP Webshell发给了老嗨，老嗨跟我说，全部bypass了，但最后的结果非常惨烈，有被抢了的，有的因为没适配windows导致降级的，也有因为裁判机使用了openjdk亦或者他根本不会java瞎配的classpath导致不能运行的，惨惨。

一、class

ReflectUtil

sun.reflect.misc.ReflectUtil

1

ReflectUtil.forName("java.lang.String")

一、invoke

Method.invoke

1
2

Method method = Threedr3am.class.getMethod("a");
method.invoke(null);

1、漏洞简述

当使用tomcat时，如果使用了tomcat提供的session持久化功能，如果存在文件上传功能，恶意请求者通过一个流程，将能发起一个恶意请求造成服务端远程命令执行。