反序列化之URLDNS

最新推荐文章于 2024-05-22 11:39:08 发布
最新推荐文章于 2024-05-22 11:39:08 发布
阅读量422 收藏
点赞数
分类专栏: 笔记 文章标签: java jar java-ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BaiScorpio/article/details/125251557
版权

文章目录

什么是序列化?

序列化:把对象转化为可传输的字节序列过程称为序列化
反序列化:把字节序列还原为对象的过程称为反序列化

序列化的流程

1.生成class类实例对象;
2.创建OutputStream对象;
3.OutputStream对象调用writeObject方法序列化类实例对象,作为类实例对象序列化后的输出流。可插入自定义数据,写入的对象放在序列化流的objectAnnotation中;
4.创建ObjectInputStream对象;
5.ObjectInputStream对象使用readObject方法对反序列化.

代码实现

想要被序列化的类只需要implements Serializable接口就可以了,这个接口是一个标记接口,不包括任何方法,只要在类定义中实现该方法就可以了
但是如果想在序列化中自己定制一些操作,可以为你的类添加如下两个类:
private void writeObject(ObjectOutputStream stream) throws IOException;
private void readObject(ObjectInputStream stream)throws IOException,ClassNotFoundException;
这样在你的类序列化的时候将会调用wirteObject方法,反序列化的时候会调用readObject方法。
还有另外一个技巧,在这两个方法内部,可以调用defaultWriteObject()或者defaultReadObject()方法来执行默认的操作。
在反序列化过程中如果开发者重写了readObject方法那么Java会优先使用这个重写的方法,所以如果开发者书写不当的话就会导致命令执行

一个序列化和反序列化的例子
package serialize;
import java.io.*;

class SerializeClass implements Serializable
{
    String test = "这是序列化类";

    private void writeObject(ObjectOutputStream stream) throws IOException

    {
        System.out.println("正在执行序列化");
        stream.defaultWriteObject();
        stream.writeObject("This is a object");

    }

    private void readObject(ObjectInputStream stream) throws IOException,ClassNotFoundException
    {
        System.out.println("正在执行反序列化");
        stream.defaultReadObject();
        String message = (String) stream.readObject();
        System.out.println(message);
    }

    public void print()

    {
        System.out.println(test);
    }

}

public class baserialize {

    public static void serialize() throws Exception

    {
        serialize.SerializeClass ob = new serialize.SerializeClass();
        FileOutputStream fileOut = new FileOutputStream(new File("ser1.ser"));
        ObjectOutputStream obOut = new ObjectOutputStream(fileOut);
        obOut.writeObject(ob);
        obOut.close();
        fileOut.close();
    }

    public static void unserialize() throws Exception

    {
        FileInputStream fileOut = new FileInputStream("ser1.ser");
        ObjectInputSt
最低0.47元/天 解锁文章
白色的蝎子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 反序列化(二) URLDNS链分析
Vicl1fe的博客
03-24 718
前言
Java反序列化入门之URLDNS链1
08-03
本文将深入探讨Java反序列化的基本概念、相关方法、以及如何利用ysoserial工具进行漏洞利用,特别关注URLDNS链的原理和构建。 首先,Java反序列化是指将已序列化的对象数据恢复为原来的对象状态。在Java中,序列化...
URLDNS反序列化
遇事不决冲冲冲
01-28 4007
URLDNS URLDNS算是一条比较简单的利用链,这条链不依赖第三方库,它无法执行系统命令,成功利用的结果也只是实现服务器的一次url解析,主要用这条链来判断服务器是否存在反序列化。接下来就这条链的原理和poc进行分析。 原理分析 首先了解这一下这条链是怎样执行的,代码中最重要的三个类是HashMap,URL,URLStreamHandler。其中HashMap重写了readObject方法,URL类是里面有个hashCode()方法被HashMap的readObject()调用了,URLStreamHa
SerializationDumper下载与使用
c0529的博客
05-22 150
直接下载jar版本,从网址往下拖一下,不要用github加速,这个加速没半点p用的同时还会显示jar下载包失效。
Java反序列化URLDNS
m0_61572518的博客
04-14 2449
序列化代码: import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectOutputStream; import java.lang.reflect.Field; import java.net.URL; import java.util.HashMap; public class UrlDnsClient { public static void main(String[] args)
[JAVA反序列化] URLDNS
snowlyzz的博客
11-08 827
[Java反序列化]—URLDNS链 分析
java url dns_java urldns反序列化
weixin_34475062的博客
02-13 116
java反序列化urldns漏洞触发点在hashmapgadget chainHashMap.readObject() //首先呼叫hashmap的readobject方法HashMap.putVal() //在readObject()内执行了putval函数,putval函数内会计算key的hash,会呼叫hash()方法HashMap.hash() //呼叫hash()方法URL.hashCo...
URLDNS反序列化链学习.doc
07-09
URLDNS反序列化链学习】文档主要涉及的是Java中的一个安全问题,即URLDNS反序列化链。这是一种利用Java对象序列化机制进行攻击的技术,通常与代码注入和远程代码执行(RCE)漏洞相关。在这个特定的案例中,虽然不能...
109-Java反序列化之ysoserial URLDNS模块分析.pdf
09-20
Java 反序列化之 ysoserial URLDNS 模块分析 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,利用 ysoserial 工具可以对其进行攻击。ysoserial 是一个 Java 反序列化漏洞利用工具,提供了多种 payload,可以对...
S02-URLDNS反序列化构造链1
08-03
总的来说,`S02-URLDNS反序列化构造链1`是一个利用Java反序列化漏洞的实例,通过精心构造的序列化对象和`SilentURLStreamHandler`,可以在反序列化过程中触发DNS查询,这对于安全测试和漏洞探测具有重要意义。...
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具(Shiro-550)
03-18
Shiro反序列化检测工具 ShiroScan用于检测存在四郎反序列化漏洞的关键值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测...
SerializationDumper:一种以更易读的形式转储Java序列化流的工具
04-29
序列化转储器 一种转储和重建Java序列化流和Java RMI数据包内容的工具,其可读性更高。 该工具不会反序列化流(即,不实例化流中的对象),因此它不需要访问流*中使用的类。 开发该工具是为了在花费大量时间手动解码原始序列化流以调试代码之后,支持对Java反序列化漏洞的研究! 下载已构建并准备从此处运行的v1.11: : *有关更多详细信息,请参见下面的“限制”部分。 更新19/12/2018: SerializationDumper现在支持重建序列化流,因此您可以将Java序列化流转储到文本文件,修改十六进制或字符串值,然后将文本文件转换回二进制序列化流。 有关此示例,请参见下面的“”部分。 建造 运行build.sh或build.bat可以从最新资源中编译JAR。 用法 SerializationDumper可以在命令行上以十六进制编码的字节,文件中或包含原始序列化数据
Java反序列化-URLDNS学习
whojoe的博客
07-06 299
Java反序列化-URLDNS学习前言代码分析ysoserial中的利用方式参考文章 前言 在复现漏洞的时候经常使用dnslog来进行测试,当然有一定的局限性,只能在机器出网的时候才可以使用,并且在一些不知道利用链的情况下 使用urldns的利用链来进行打dnslog效果比较好,因为其没有诸多的限制 文章中如果有错误欢迎各位师傅斧正 代码 这里的代码是直接粘贴天下大木头师傅的,后面做学习分析 import java.io.*; import java.lang.reflect.Field; import j
URLDNS反序列化链分析
11-30 617
URLDNS反序列化链分析 这是正式学习的第一条java反序列化链,这条链也是java里面相对比较简单的链,拿来入门正好。 URLDNS这条链不依赖第三方库,这条链无法执行系统命令,成功利用的结果也只是实现服务器的一次url解析,可以用这条链来判断是否服务器是否存在反序列化。 ysoserial 说到java反序列化,就离不开ysoserial工具,这个工具可以帮助生成反序列化payload。ysoserial入口为ysoserial.GeneratePayload类,当然这是正常用法。 这里只看URLDN
[JAVA反序列化初学]URLDNS反序列化链分析
GX233的博客
03-05 4081
1. URLDNS链的应用 2. 使用idea和ysoserial来进行调试 3. 分析ysoserial的payload URLDNS链的应用 URLDNS链只能用来证明反序列化的入口以及判断目标是否可以出网,使用dnslog来判断反序列化漏洞存在,并且目标能够出网。 下面先看洞再看payload。 使用idea和ysosesial来进行调试 在本地布置好ysoserial之后,使用idea打开URLDNS,修改main函数用来调试。 把原本的PayloadRunner.run函数注释掉。 //
[Java反序列化]URLDNS链学习
feng的博客
08-13 733
前言 经过前期的铺垫,终于要开始了Java反序列化链的学习。 按照P神的说法,还是别那么急就从CC链入手,先从这个简单的URLDNS学起,之后再学习CC链。 因为是第一次接触Java反序列化,可能思路和想法之类的可能有不对的地方,也正常叭,就像我看着自己一开始写的文章一样,很多地方理解也都不太对,经过慢慢的学习就会慢慢进步的。 ysoserial的URLDNS 下载链接: https://github.com/frohoff/ysoserial 我对于使用也是没太懂,不过现在还是学习嘛。原来pom.xm
通过URLDNS来入门java反序列化
weixin_44502336的博客
10-26 1070
URLDNS链复现
Java代码审计:Java反序列化入门之URLDNS
god_Zeo的安全博客
08-19 1259
0x00 前言 自学Java 代码审计,主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学篇。 之前研究了,但是没有整理好,因为有hvv任务,所以推迟了一些,现在赶紧整理发出来。 0x01 Java反序列化介绍 Java反序列化漏洞的产生原因: 简单的说就是,在于开发者在重写 readObject 方法的时候,写入了漏洞代码。 序列化和反序列
Javaweb安全——反序列化漏洞-URLDNS
weixin_43610673的博客
05-21 491
反序列化- URLDNS链 之前学过一遍Java反序列化漏洞,不过那次是从cc链入手的,当时也看了好久,各种调试才搞明白。这次从调用简单的URLDNS链开始从新捋一遍。 本文SDK为1.8 8u211 URLDNS ysoserial中一个利用链,其触发的结果是一次DNS请求。可用于确认是否存在反序列化漏洞,因为整条链均用Java内置的类构造,对第三方库没有依赖。 先来看看ysoserial当中的实现代码 public class URLDNS implements ObjectPayload<Obj
序列化和反序列化url参数
最新发布
05-23
在Web开发中,序列化和反序列化URL参数可以让我们更方便地传递复杂数据结构。 序列化URL参数:将数据结构(如JSON对象)转换为URL参数字符串的过程。通常使用encodeURIComponent()函数来编码字符串。 反序列化URL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值