Python跨语言调用java

今天为什么讲python调用java程序？

最近在做关于漏洞组件版本检测的事情， 这在大型的互联网公司比较常见。

互联网公司为了防止代码上线后出现安全问题或者bug，一般会有自动化源码审计的步骤，尽可能在上线前发现问题及时修改。

源码审计的过程中发现0day，还是相对困难的，但是及时发现代码是否依赖有漏洞的组件还是很容易的，因此一般首先开刀的是审计代码中是否依赖一些已知漏洞的组件，提前剔除。

其实这个功能不难实现，主要是进行版本比较，判断依赖的组件版本是否在受影响的范围内。

（友情提示：想要安卓逆向教程的，见文末）

版本比较引发的思考

最近在做的是pip和maven的版本，一个是python，一个是java。在做pip 包版本比较的时候，主要是用到了packaging包，通过里面的version.parse方法即可完成。

from
 packaging.version 
import
 parse

current_version = parse(
'1.0.1'
)

affect_min_version = parse(
"1.0.0"
)

affect_max_version = parse(
"2.0.0"
)


print(current_version>affect_min_version and current_version<affect_max_version)
 

针对maven包的版本检测也是通过同样的方式进行比较，暂时没有出现什么问题。

但是我也有担忧，毕竟是两种语言的包，版本管理的方式不一定一样。万一python 中的version.parse不适用，该怎么办呢？

正是基于这样的思考，才有了这篇文章，版本的比较方式还是原生的好，使用python的方式不如使用java自身的方式。

python调用java

maven版本比较

首先在依赖中引用maven-artifact：

<dependency>
 
<groupId>org.apache.maven</groupId>
 
<artifactId>maven-artifact</artifactId>
 
<version>3.6.3</version>
 
</dependency>
 

接着通过调用DefaultArtifactVersion类中的compareTo方法进行比较，返回值小于0代表小于，大于0代表大于，等于0 代表等于。

import org.apache.maven.artifact.versioning.DefaultArtifactVersion;

 
publicvoid compareTo() {
 
DefaultArtifactVersion version1 = newDefaultArtifactVersion("1.1.14");
 
DefaultArtifactVersion version2 = newDefaultArtifactVersion("1.2.7");
 
int res = version1.compareTo(version2);
 
    logger.info("res={}", res);
 
}
 

跨语言调用

我是用Python实现了整体框架，用来适配各种语言包的版本比较，maven包的比较只是其中一个功能，因此开始考虑 python如何调用jar包中的函数。github中总是有奇特的项目，jpype实现了python和java之间的联通。

centos安装 java

使用jpype的前提是需要安装java环境。

(1) 下载java压缩包

Java下载路径: https://www.oracle.com/java/technologies/javase-jdk8-downloads.html,选择x64版本

wget https://download.oracle.com/otn/java/jdk/8u241-b07/1f5b5a70bf22433b84d0e960903adac8/jdk-8u241-linux-x64.tar.gz?AuthParam=1584783645_a2bd6d5f6a340d3b42fe49c1df552219 -o jdk-8u241-linux-x64.tar.gz

(2) 安装

1.创建安装目录

mkdir /usr/local/java/

2.解压至安装目录

tar -zxvf jdk-8u241-linux-x64.tar.gz -C /usr/local/java/

3.设置环境变量

打开文件

vim /etc/profile

在末尾添加:

export JAVA_HOME=/usr/local/java/jdk1.8.0_171
 
export JRE_HOME=${JAVA_HOME}/jre
 
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
 
export PATH=${JAVA_HOME}/bin:$PATH
 

使环境变量生效

source /etc/profile

安装jpype并下载 maven-artifact包

在centos中安装jpype很简单，命令如下(没写错)：

pip install jpype1

下载org.apache.maven.maven-artifact.jar：

jpype调用jar包

jpype的原理是在python进程中嵌入了java虚拟机，并与虚拟机进行通信。

import os
import jpype
 
def init_jvm():
 
    jar_path = os.path.join(os.path.abspath('.'), 'maven-artifact-3.6.3.jar')
 
    jpype.startJVM(jpype.getDefaultJVMPath(), "-ea", "-Djava.class.path=%s"% jar_path, convertStrings=False)
 


 
def cmp(ver1,ver2):


 
VerCls= jpype.JClass('org.apache.maven.artifact.versioning.DefaultArtifactVersion')
 


 
    v1  = VerCls(ver1)
 
    v2 = VerCls(ver2)
 


 
    res = v1.compareTo(v2)
 
VerCls= None
 
    v1 = None
 
    v2=None
 
return res
 
def shutdowm():
 
try:
 
        jpype.shutdownJVM()
 
except:
 
pass


 
if __name__=="__main__":
 
    init_jvm()
 
print(cmp("3.0.0","3.0.0.1.0-alpha"))
 
    shutdowm()
 

代码说明如下：

1. init_jvm函数中的 jpype.startJVM用来启动java虚拟机，-Djava.class.path 用来指定我们要调用的jar包。
2. 在cmp中，jpype.JClass用来引用DefaultArtifactVersion类，通过实例化并调用compareTo实现版本号的比较。
3. jpype.shutdownJVM()是主动关闭java虚拟机，释放资源。