java反序列化

于 2024-08-03 06:45:00 发布
阅读量250 收藏 2
点赞数 5
分类专栏: # owasp top10 # CTF+靶场 文章标签: java 开发语言 网络安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/140880304
版权

🎼个人主页:金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

免责声明:本文仅做分享~

目录

JAVA

java的反序列化

 类要能序列化满足的条件:

反序列化漏洞利用条件:

例:

java反序列化总结:

JAVA

java基础
java是一门编程语言
纯粹的 面向对象

类和类的方法
都存放在包,package中

java的web基于servlet   --定义路由 ,

...

java的反序列化

序列化     类实例->字节流
反序列化   字节流->类实例
 
序列化    writeObject
反序列化  readObject
--自动调用

 类要能序列化满足的条件:

1 实现java.io.Serializeble 接口
2 该类的所有属性必须都是可序列化,如果有一个属性是不可序列化的,那么这个属性必须注明是短暂的.

反序列化漏洞利用条件:

1 有反序列化接口,能够提交序列化的数据,会自动调用对应类的readObject方法.
2 有可以利用的类, readObject通过跳板,最终可以实现文件读取、写入或者执行.

例:

# 类
package com.ctf.entity;

public class User implements Serializable {
    private static final long serialVersionUID = -3254536114659397781L;
    private String username;
    public User(String username) {
        this.username = username;
    }

    public String getName(){
        return this.username;
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        Runtime.getRuntime().exec(this.username);
    }
}

 //user = (User) objectInputStream.readUnshared();
---------------------------------------------------------------------------

+
    
public class BaseUser implements Serializable {
    private static final long serialVersionUID = -9058183616471264199L;
    public String secret=null;

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        Runtime.getRuntime().exec(this.secret);
    }
    
}

 user = (User) objectInputStream.readUnshared();


 当不允许反序列化漏洞的类,可以反序列化子类,也可以反序列化父类.

 User  
 BaseUser  readObject 
//反序列化父类
user = (User) safeObjectInputStream.readUnshared();
//强转

java反序列化总结:

1 需要有1个提交反序列化字节流的地方.
2 有可以被利用的类,存在 readObject 方法.
3 类反序列化后,类实例已不再关注,我们重点是执行了readObject方法.

金灰
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
初识Java反序列化
m0_71563599的博客
06-04 1582
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
java反序列化的原理_Java 序列化和反序列化的底层原理
weixin_36051235的博客
02-27 1401
序列化和反序列化序列化是通过某种算法将存储于内存中的对象转换成可以用于持久化存储或者通信的形式的过程反序列化是将这种被持久化存储或者通信的数据通过对应解析算法还原成对象的过程,它是序列化的逆向操作为什么需要序列化前端请求后端接口数据的时候,后端需要返回 JSON 数据,这就是后端将 Java 堆中的对象序列化为了 JSON 数据传给前端,前端可以根据自身需求直接使用或者将其反序列化为 JS 对象R...
Java反序列化
buffedon的博客
09-05 4190
Java反序列化Java反序列化概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列化与反序列化代码参考文章 Java反序列化概念 在说反序列化之前,先说说序列化 序列化就是将对象转化为字节流,利于存储和被引用 反序列化与序列化恰恰相反,是将字节流转化为对象 序列化的格式:json序列化,xml序列化,二进制序列化,SOAP序列化 序列化调用的函数 序列化:java.io.ObjectOutputStream 类中的 writeObject() 实现 Serializable 和 Externaliz
java反序列化基础
qq_63928796的博客
02-22 1708
Java序列化就是指把Java对象转换为字节序列的过程​ Java反序列化就是指把字节序列恢复为Java对象的过程。序列化:对象 -> 字符串反序列化:字符串 -> 对象。
java反序列化耗时_java序列化方式性能比较
weixin_39631755的博客
03-08 1209
有一个很不错的工具http://github.com/eishay/jvm-serializers/,可以用它来评测各种流行的java序列化反序列化工具,使用上也很简单。想试试该工具的,下载源码后参考起README操作即可。而我更关心的是,是各种工具的性能对比,以作选择的一个衡量标准,也就是http://github.com/eishay/jvm-serializers/wiki的 图示和数据...
Java反序列化看这一篇就够了
最新发布
saber的博客
03-12 1670
本文介绍了Java中的序列化和反序列化机制。Java序列化是指将Java对象转换为字节序列的过程,以便存储在文件中或在网络上传输;而Java反序列化是指将字节序列恢复为Java对象的过程。序列化和反序列化的过程中,需要使用 ObjectOutputStream 和 ObjectInputStream 类来实现。文章还提到了序列化的原因,如远程过程调用和传输数据时需要将数据序列化为二进制形式。
Java反序列化—Fastjson基础
..
01-06 7401
最近摆烂了很久,来学习一下fastjson Fastjson 是 Alibaba 开发Java 语言编写的高性能 JSON 库,用于将数据在 JSON 和 Java Object 之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString 将 Java 对象转换为 json 对象,序列化的过程。JSON.parseObject/JSON.parse 将 json 对象重新变回 Java 对象;反序列化的过程所以可以简单的把 json 理解成是一个字符串。
java安全(五)java反序列化
weixin_45694388的博客
04-09 6330
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java语言内置的序列化方法,将一个对象转化成一串二进制
Java反序列化触发方式
weixin_42974824的博客
08-25 1191
Java反序列化触发方式
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java反序列化利用程序UI版Beta1.1.rar
07-20
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于将对象的状态转换为字节流,以便可以存储或在网络上传输。而反序列化则将这个字节...
Java反序列化工具.zip
05-31
Java反序列化是一种将之前序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方法。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络传输中将对象从一个系统传输到另一个...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
java反序列化利用工具
07-06
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。在Java中,这一过程涉及到`java.io.ObjectInputStream`类,它能够读取由`java.io.ObjectOutputStream`写入的字节...
Java反序列化攻击
01-21
Java 反序列化攻击漏洞由FoxGlove 的近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。  由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,...
java反序列化利用程序UI版Beta1.1.zip
11-24
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。然而,这个过程也可能带来安全风险,因为恶意用户可以构造特殊的序列化数据来执行任意代码,这就是所谓的Java反序...
java反序列化 ysoserial|ysoserial-master-ff59523eb6-1.jar
12-10
帮助理解java反序列化漏洞的工具,一般还需配套工具:SerializationDumper-v1.13、DeserLab以及抓包分析工具
Java反序列化回显解决方案.docx
12-19
Java反序列化回显解决方案 Java反序列化回显解决方案是指在Java中,使用反序列化来执行命令,导致RCE(Remote Code Execution)的解决方案。该解决方案主要涉及到Java反序列化机制和ClassLoader的使用。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值