java反序列化漏洞原理研习,java基础面试笔试题

最新推荐文章于 2024-09-29 09:37:20 发布
最新推荐文章于 2024-09-29 09:37:20 发布
阅读量844 收藏
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccc_ccc8/article/details/89506528
版权


我总结出了很多互联网公司的面试题及答案,并整理成了文档,以及各种学习的进阶学习资料,免费分享给大家。
扫描二维码或搜索下图红色VX号,加VX好友,拉你进【程序员面试学习交流群】免费领取。也欢迎各位一起在群里探讨技术。

 

零、Java反序列化漏洞

 

java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢,组里多位大佬对反序列化漏洞都有颇深的研究,借此机会,努力学习,作为狼群中的哈士奇希望成功的继续伪装下去,不被识破,哈哈哈哈!!!

参考文档:感谢所有参考文献的作者:

1、https://www.cnblogs.com/bencakes/p/6139477.html

2、https://www.cnblogs.com/ssooking/p/5875215.html

3、https://www.cnblogs.com/xdp-gacl/p/3777987.html

一、Java的序列化与反序列化:

在这里我们直接自己定义一个类,然后对这个类的对象(一个实例)进行序列化和发序列化测试。

 

 1 //引入必要的java包文件

 2 import java.io.*;

 3 

 4 //创建测试类,注意要继承Serializable接口

 5 class serialdemo implements Serializable{

 6     public static int number;

 7     public serialdemo(int inputnum) {

 8         this.number = inputnum;

 9     }

10 } 

11 

12 //主类

13 public class test{

14     //测试主类

15     public static void main(String[] args) throws IOException, ClassNotFoundException {

16         //主函数入口

17         serialdemo object = new serialdemo(100);

18         FileOutputStream fileoutputstream = new FileOutputStream("serail.ser");//创建文件写入对象

19         ObjectOutputStream outputstream = new ObjectOutputStream(fileoutputstream);//创建类型序列化通道对象

20         outputstream.writeObject(object);//把类对象(实例)序列化进入文件

21         outputstream.close();

22         FileInputStream fileinputstream = new FileInputStream("serail.ser");//从文件读取对象

23         ObjectInputStream inputstream = new ObjectInputStream(fileinputstream);//对象反序列化

24         // 通过反序列化恢复对象obj

25         serialdemo object2 = (serialdemo)inputstream.readObject();

26         System.out.println("反序列化后的对象的值:");

27         System.out.println(object2.number);

28         inputstream.close();

29     }

30 }

 

既然自己定义的类都可以了,那么默认的java存在的数据类型的实例当然也都可以啦~运行结果如下:

 

1 └─[$]> java test

2 反序列化后的对象的值:

3 100

 

二、对java序列化的详解:

1、api定位:

 

1 /*

2 java.io.ObjectOutputStream  ->   writeObject()

3 java.io.ObjectInputStream    ->    readObject()

4 序列化把对象序列化成字节流

5 反序列化读取字节流反序列化对象

6 */

 

2、实现Serializable和Externalizable接口的类才能序列化与反序列化。

3、java的反射机制:

 

/*

在java运行状态中

1.对于任何一个类,都能判断对象所属的类;

2.对于任何一个类,都能获取其所有的属性和方法;

3.对于任何一个对象,都能调用任意一个方法和属性;

*/

 

三、反序列化的漏洞原理概述:

1、由于很多站点或者RMI仓库等接口处存在java的反序列化功能,攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至getshell等等。

2、Apache Commons Collections

这是开源小组Apache研发的一个Collections收集器框架,提供诸如list、set、queue等功能对象。这个框架中有一个接口,其中有一个实现该接口的类可以通过调用java的反射机制来调用任意函数,这个接口类是InvokerTransformer。这个架构的广泛

最低0.47元/天 解锁文章
ccc_ccc8
关注
专栏目录
Java面试超详细知识点!JAVA代码审计之Shiro反序列化漏洞分析
m0_58269520的博客
08-04 696
// 2. 调用ObjectInputStream对象的readObject()得到序列化的对象 ObjectInputStream ois = new ObjectInputStream(new FileInputStream(new File("d:/People.txt"))); People people1 = (People) ois.readObject(); System.out.println("people对象反序列化成功!"); Syste...
面试题Java序列化与反序列化
JAVAQXQ的博客
07-29 496
Externalizable继承自Serializable接口需要我们重写writeExternal()与readExternal()方法,这是强制性的实现Externalizable接口的类必须要提供一个public的无参的构造器,因为反序列化的时候需要反射创建对象Externalizable接口实现序列化,性能稍微比继承自Serializable接口好一点首先我们定义一个对象类ExUser//注意,必须加上pulic无参构造器}}}}}}}}...
Java反序列化漏洞详解
fengling59的专栏
12-26 3977
 Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。本文对于Java反序列化漏洞简述后,并对于Java反序列化的Poc进行详细解读。 Java反序列化漏洞简介 Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject
网络安全常见漏洞篇——反序列化漏洞
最新发布
ewii12567的博客
09-29 1712
要了解反序列化漏洞,首先我们得知道什么是序列化和反序列化,简单来说序列化:就是将对象转化为字符串进行存储;反序列化:就是将字符串转化为对象;反序列化漏洞:就是在反序列化过程中,如果恶意者可以对将要转换的字符串进行操控,从而达到任意代码执行的操作,就是反序列化漏洞反序列化漏洞的主要原理是应用程序在反序列化过程中没有对传入的数据进行足够的验证和过滤,导致攻击者可以利用构造的恶意序列化数据来执行任意代码或远程代码执行攻击。一般情况下,应用程序在接受到序列化数据后会使用反序列化操作将数据还原成对象。
Java 反序列化漏洞面试常见问题
薛定谔嘚喵博客
05-20 1106
注意:Java 反序列化数据开头包含两字节的魔术数字,这两个字节始终为十六进制的0xac 0xed,接下来是两字节的版本号这里为0x00 0x05。大多数反序列化漏洞造成RCE 攻击是没有回显的,利用dnslog 平台,在RCE 的时候构造DNS 请求,如果dnslog 平台能够收到DNS 请求,说明RCE 成功,也就验证了漏洞存在性。T3 协议有自己的流量特征。反序列化标志:T3 协议中每个反序列化数据包前面都带有fe 01 00 00,而后再加上Java 反序列化标志ac ed 00 05。
Java反序列化漏洞原理解析
ZHANGJNWEI的专栏
07-16 474
业务类实现java.io.Serializable接口才可被反序列化,而且必须所有属性是可序列化的,除了transient修饰的属性除外。 Java反射 Java中定义的一个类本身也是一个类对象,它们是java.lang.Class类的实例。类对象的特征包括 表示正在运行的 Java 应用程序中的类和接口 没有公共构造方法,由 Java 虚拟机自动构造 提供类本身的信息,比如有几种构造方法, 有多少属性,有哪些普通方法 所以先通过对象找到某个类对象,再由类对象确认类的方法和属性。 packag
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java之序列化和反序列化,tomcat常见面试题
m0_64384202的博客
12-18 618
6、Dubbo Serialization(阿里dubbo序列化) 7、FST(高性能、序列化速度大概是JDK的4-10倍,大小是JDK大小的1/3左右) 8、自定义协议进行序列化 序列化操作和反序列化操作 首先定义一个Person类,然后提供get和set方法,且要实现Serializable接口 class Person implements Serializable { private int id; private String name; public int getId() { return i
Java反序列化漏洞实现
weixin_34393428的博客
10-22 303
一、说明 以前去面试被问反序列化原理只是笼统地答在参数中注入一些代码当其反序列化时被执行,其实“一些代码”是什么代码“反序列化”时为什么就会被执行并不懂;反来在运营商做乙方经常会因为java反序列化漏洞要升级commons.collections或给中间件打补丁,前面说的两个问题还是不懂;今天又研究了番,也还不是很懂只是能弹计算器暂且先记一下。   二、序列化和反序列化 序列化和反序列化应该是...
反序列化漏洞-JAVA
acepanhuan的博客
02-22 682
反序列化漏洞-JAVA
fastjson反序列化漏洞,BAT大厂最爱问的网络安全核心面试百题详细解析
Python毕设源码程序王哥
04-15 692
​ 具体格式不变,同样是普通的fastjson格式的payload,但是里面引用的连接需要进行修改,同时,需要在hrader头中加入cmd: ifconfig等等命令。​ 在大部分情况下,可能没有做到如上面两种试验里这么顺利,遇到最多的问题就是class文件不读取或者读取了不执行,可以直接利用工具,进行一个帮助的回显。项目,启动一个RMI服务器,监听9999端口,并使其加载编译好的类文件TouchFile.class。编译成功后会多出一个target文件夹,其中便有我们需要的jar包。
反序列化漏洞
weixin_38368138的博客
01-02 1270
今天项目里面扫描静态告警,显示readObject()方法反序列化漏洞, // 打开一个文件输入流          FileInputStream fileIn = new FileInputStream("D:\\Task\\employee1.db");         // 建立对象输入流          ObjectInputStream in = new ObjectInputSt...
对于反序列化漏洞
weixin_62281892的博客
07-11 108
反序列化
Spring面试题100道
qq_40728028的博客
06-03 314
一、基本概念面试题集( Spring 相关概念梳理) 谈谈对 Spring IoC 的理解? 谈谈对 Spring DI 的理解? BeanFactory 接口和 ApplicationContext 接口不同点是什么? 请介绍你熟悉的 Spring 核心类,并说明有什么作用? 介绍一下 Spring 的事务的了解? 介绍一下 Spring 的事务实现方式? 解释 AOP 模块 Spring 的通知类型有哪些,请简单介绍一下? Spring 通知类型使用场景分别有哪些?
渗透测试之反序列化面试题
weixin_53832635的博客
08-21 227
渗透测试的反序列化一些面试题
Java反序列化漏洞原理
07-14
Java反序列化漏洞是一种安全漏洞,它利用了Java中的对象序列化和反序列化的机制。在Java中,对象可以通过序列化转换为字节流,然后再通过反序列化将字节流转换为对象。这个过程可以用来在网络上传输对象,或者将对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值