Java 反序列化漏洞 学习笔记

最新推荐文章于 2024-12-25 23:46:45 发布
原创 最新推荐文章于 2024-12-25 23:46:45 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

Java 反序列化漏洞 学习笔记

前言

Java的反序列化漏洞我感觉应该是比较常见而且危害较大的漏洞,而Java 反序列化技术大量应用于 JRMI( Java远程方法调用 ) , JMX( Java管理扩展 ) , JMS( Java消息服务 ) 中,因此 Java RMI 服务也算是 Java 反序列化漏洞的高发地 ,而前面也学过了Java RMI相关的知识,今天就来学一下Java 反序列化漏洞相关原理

什么是 Java 序列化 / 反序列化

Java 序列化就是把一个 Java Object 变成一个二进制字节数组 , 即 byte[] .

Java 反序列化就是把一个二进制字节数组(byte[]) 变回 Java 对象 , 即 Java Object .

Java 序列化/反序列化的目的无非就是用于 " 数据存储 " 或 " 数据传输 " .

实现反序列化需要满足的条件

Serializable

如果一个类要实现序列化操作 , 则必须实现 Serializable 接口

Serializable是一个空接口,接口中没有方法和属性字段 , 仅用于标识序列化的语义 , 代表该类可以进行序列化/反序列化操作 .

在序列化或反序列化过程中需要进行特殊处理的类要实现下面三个方法:
在这里插入图片描述
这里在额外说一下serialVersionUID 属性,每个可序列化的类在序列化时都会关联一个版本号 , 这个版本号就是 serialVersionUID 属性

在反序列化过程中会根据这个版本号来判断序列化对象的发送者和接收着是否有与该序列化/反序列化过程兼容的类 .( 简单的说就是序列化过程和反序列化过程都需要被序列化的类 , 通过 serialVersionUID 属性来判断这两个类的版本是否相同 , 是否是同一个类 ) . 如果不相同 , 则会抛出 InvalidClassException 异常

serialVersionUID 属性必须通过 static final long 修饰符来修饰 .

如果可序列化的类未声明 serialVersionUID 属性 , 则 Java 序列化时会根据类的各种信息来计算默认的 serialVersionUID 值 . 但是 Oracle 官方文档强烈建议所有可序列化的类都显示声明 serialVersionUID 值 .

Externalizable

不仅可以通过继承 Serializable 接口来标识某个类是可序列化的,事实上 , 还可以通过Externalizable 接口,该继承了 Serializable 接口

public interface Externalizable extends java.io.Serializable

通过 Externalizable 接口实现序列化和反序列化操作会相对麻烦一点 , 因为我们需要手动编写 writeExternal()方法和readExternal()方法 , 这两个方法将取代定制好的 writeObject()方法和 readObject()方法 .

那什么时候会使用 Externalizable 接口呢 ?

当我们仅需要序列化类中的某个属性 , 此时就可以通过 Externalizable 接口中的 writeExternal() 方法来指定想要序列化的属性 . 同理 , 如果想让某个属性被反序列化 , 通过 readExternal() 方法来指定该属性就可以了.

此外 , Externalizable 序列化/反序列化还有一些其他特性 , 比如 readExternal() 方法在反序列化时会调用默认构造函数 , 实现 Externalizable 接口的类必须要提供一个 Public 修饰的无参构造函数等等

Externalizable 与 Serializable 一文中 , 简单的总结了 Serializable 和 Externalizable 两个接口的区别及优劣 .

在这里插入图片描述
因此一般还是使用Serializable

关于writeObject() 与 readObject()

上面也说过了,在最简单的情况下 , 开发人员会使用 Serializable 类来实现序列化与反序列化 . 即使是使用Externalizable类该类也是继承自Serializable,而Serializable类的序列化与反序列化离不开 writeObject() 和 readObject() 两个方法.

在这里插入图片描述
从官方文档可以看出 , 在序列化和反序列化时需要实现上述两个方法 , 这两个方法的参数是ObjectOutputStream和ObjectInputStream类型的 . 下面来简单介绍下这个两个类 .

java.io.ObjectOutputStream和writeObject()

ObjectOutputStream 类会将支持 java.io.Serializable 接口的 Java对象( 包括部分图形对象 ) 的原始数据类型写入 OutputStr
最低0.47元/天 解锁文章
java.sql.SQLNonTransientConnectionException: SQL非瞬态连接异常的正确解决方法
wbajsjhhhhh的博客
04-27 5349
java.sql.SQLNonTransientConnectionException: SQL非瞬态连接异常的正确解决方法
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3522
java反序列化参考
反序列化漏洞学习笔记(一)
cc777777777的博客
04-15 242
1
java反序列化基础知识笔记
qq_43936524的博客
05-08 835
文章目录parse(),parseObject()的区别 parse(),parseObject()的区别
从零开始的JAVA反序列化漏洞学习(一)
qq_31028197的博客
12-04 3351
前言: 大概是决定复现CVE,第一个拿cve-2016-4437试试,但是之前没接触过JAVA,在历经磨难安装好IDEA maven和依赖环境,跟着各位师傅的教程调试源代码发现大佬们的教程都是跟到 可以控制传入readObject()的反序列化就没了,再细查便是什么CC4,CC3.1之类看上去很深奥的东西。深感基础不足,从头开始学JAVA的各种机制,如有疏漏不足请在评论中指出。 利用Java反射执行代码 Java反序列化是离不开Java的反射机制的,反射机制离不开Object类和Class类,关于反射已经
java中的序列化和反序列化学习笔记
07-27 1036
需要序列化的Person类: package cn.itcast_07; import java.io.Serializable; /* * NotSerializableException:未序列化异常 * * 类通过实现 java.io.Serializable 接口以启用其序列化功能。未实现此接口的类将无法使其任何状态序列化或反序列化。 * 该接口居然没有任何方法,类似于这种
java序列化漏洞_Java 序列化和反序列化漏洞知多少
weixin_29863401的博客
02-16 442
Java反序列化漏洞简介便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。下面是将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复问题在于,如果Java应用对用户输入,即不可信数据做...
Java漏洞学习笔记 反序列化漏洞.zip
11-25
Java学习漏洞Java漏洞学习代码及笔记项目TODO剩余代码完善漏洞使用和分析笔记准备中目前文章分析地址在每个包下package-info.javaJava反序列化Java 应用程序Java类加载shiro资本分析weblogic缓存分析快三平台jackson...
No.28 笔记 | 反序列化漏洞学习总结
最新发布
聚焦网络安全,以多元语言优势汲取知识,分享生动有趣的学习与技术心得。
12-25 1127
序列化:将对象转换为字节流,便于在内存、文件、数据库中存储,保证对象完整性与可传递性。例如,把一个包含用户信息(姓名、年龄等)的对象序列化为字节流后,可以方便地进行存储或传输。反序列化:是序列化的逆过程,依据字节流中的对象状态及描述信息重建对象。比如,从存储介质中读取字节流并还原为原始对象。应用场景:广泛应用于远程和进程间通信(RPC/IPC)、连线协议、Web服务、消息代理、缓存/持久性存储区、数据库、缓存服务器、文件系统、HTTP cookie、HTML表单参数、API身份验证令牌等场景。
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 571
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
漏洞复现】Shiro 反序列化漏洞
2301_80115097的博客
11-08 2729
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
java反序列化漏洞POP查找_Java反序列化漏洞:在受限环境中从漏洞发现到获取反向Shell...
weixin_40006963的博客
03-08 316
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言Java反序列化漏洞可以说是Java安全的一块心病,近年来更是在安全界“出尽风头”。其实说到Java反序列化的问题,早在2015年年初的在AppSecCali大会上,两名安全研究人员Chris Frohoff和Gabriel Lawrence发表了一篇题为《Marshalli...
Java序列化和反序列化--jdk的序列化和反序列化方式
学来所记,记来所思,思来所写
09-22 454
基本概念 序列化:把存储在内存中的数据,转换为可传输数据流的过程,以便进行网络传输或者保存到本地 反序列化:把流中的数据,转换成对象的形式 原因:在服务之间调用,或者rpc之间调用时,对象是如何进行传输的,那么就是通过序列化转变为可以传输的流,进行交互。 基本案例 实体类都是User 工具类为SerialUtilpublic class SerialUtil { public <T> byte[] serialize(T obj){ ByteArrayOutpu
java object对象序列化,java对象序列化readObject / defaultReadObject
weixin_39997253的博客
03-13 337
defaultReadObject()调用默认的反序列化机制,并在Serializable类上定义readObject()方法时使用.换句话说,当您具有自定义反序列化逻辑时,您仍然可以返回到默认序列化,这将反序列化非静态非瞬态字段.例如:public class SomeClass implements Serializable {private String fld1;private int f...
深入剖析 Java 反序列化漏洞(下
Purpletaro的专栏
02-16 398
简介: 在上篇文章中,小编有详细的介绍了序列化和反序列化的玩法,以及一些常见的坑点。 但是,高端的玩家往往不会仅限于此,熟悉接口开发的同学一定知道,能将数据对象很轻松的实现多平台之间的通信、对象持久化存储,序列化和反序列化是一种非常有效的手段,例如如下应用场景,对象必须 100% 实现序列化。 DUBBO:对象传输必须要实现序列化 RMI:Java 的一组拥护开发分布式应用程序 API,实现了不同操作系统之间程序的方法调用,RMI 的传输 100% 基于反序列化Java RMI 的默认端口是 1099 .
Object类、JAVA反射机制、Annotation功能
苦逼的程序猿☺
07-28 1394
Object类简介java.lang.Object public class Object 类Object 是类层次结构的根类。每个类都使用 Object 作为超类。所有对象(包括数组)都实现这个类的方法。方法摘要 public final Class<?> getClass()返回此 Object 的运行时类。返回的 Class 对象是由所表示类的 static synchronized 方
java基础--反序列化漏洞原理
zyer
05-04 4920
原理 根据上篇文章可以了解到,一个类想要实现序列化和反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化和反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化和反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
清晰易懂java反序列化漏洞简介
weixin_56606020的博客
03-16 7960
Java反序列化漏洞 序列化与反序列化: 序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要反序列化 序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程 反序列化即逆过程,由字节流还原成对象 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。 作用: 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2.在网络上传送对象的字节序列。 应用场景: 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物..
JAVA序列化和反序列化漏洞详解(小白必看)
weixin_61638307的博客
03-11 872
Java序列化:将Java对象通过writeObject()方法转换为字节流并写入磁盘中。Java反序列化:将字节流通过readObject()方法读取出来并转换为对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值