Java反序列化漏洞

最新推荐文章于 2024-03-15 23:44:27 发布
最新推荐文章于 2024-03-15 23:44:27 发布
阅读量62 收藏
点赞数
文章标签: java 开发语言 php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63842243/article/details/134558001
版权

Java序列化与反序列化

  • 序列化是将对象的状态转换为字节流的过程,通常用于对象的持久化、网络传输或进程间通信。通过实现 Serializable 接口,类表明其对象的状态可以被序列化,而不需要开发人员手动实现序列化的细节。

Java序列化与反序列化方法

序列化:
ObjectOutputStream --> writeObject()
反序列化: 
ObjectInputStream --> readObject()

Java序列化与反序列化函数示例

  • 这里创建了两个类,一个用来模拟readObject函数重写,在示例中把重写部分注释掉了,一个用来执行序列化与反序列化

Person(readObject函数重写)

import java.io.Serializable;
public class Person implements Serializable {
    public int age;
    public String name;public class Person implements Serializable {
        public int age;
        public String name;
        }

Test(代码执行)

import java.io.*;

public class Test {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        Person p=new Person();
        p.age=18;
        p.name="xiu";

        serialize(p,"byy.bin");


        System.out.println("反序列化结果:" + deserialize("byy.bin"));
    }

    public static void serialize(Object obj, String filePath) throws IOException {
        try (FileOutputStream fileOut = new FileOutputStream(filePath);
             ObjectOutputStream objectOut = new ObjectOutputStream(fileOut)) {
            objectOut.writeObject(obj);
        }
    }

    public static Object deserialize(String filePath) throws IOException, ClassNotFoundException {
        try (FileInputStream fileIn = new FileInputStream(filePath);
             ObjectInputStream objectIn = new ObjectInputStream(fileIn)) {
            return objectIn.readObject();
        }
    }

  • 运行代码
    在这里插入图片描述

  • 代码结果如图

Java反序列化漏洞

  • 反序列化漏洞的主要问题在于,当使用ObjectInputStream来反序列化对象时,它会尝试重新构建对象,并调用对象的私有方法、字段初始化等,它可能会定义到一个危险函数,从而对服务器本身造成危害。
举例代码
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class Person implements Serializable {
    public int age;
    public String name;

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        Runtime.getRuntime().exec("calc");
        // 默认的反序列化操作
        in.defaultReadObject();
    }
}
  • 这是对上面Person函数进行了修改,其中对readObject函数进行了重写
Runtime.getRuntime()
  • Runtime.getRuntime() 是 Java 中用于获取运行时对象的方法。Runtime 类提供了与运行时环境相关的一些信息和操作,例如执行系统命令、获取处理器数量等。
  • Runtime.getRuntime().exec("calc")就是要执行系统命令弹出计算器。
    执行代码:
    在这里插入图片描述

反序列化漏洞总结

  • 反序列化漏洞常见的有PHP和Java反序列化漏洞

  • php 由于自身魔术方法在反序列化过程中自动调用,魔术方法包含恶意代码产生链式调用执行到危险函数的位置

  • Java反序列化漏洞,由于开发者重写了readobject方法,实现了链式调用,调用到了危险函数的位置

正人君子yy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
序列化和反序列化原理解析及ObjectOutputStream出现EOF异常分析解决
m0_48333563的博客
09-26 1006
序列化和反序列化原理解析和demo演示,ObjectOutputStream出现EOF异常源码分析和解决。
java反序列化漏洞(入门)
xiaoheizi的博客
07-02 774
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。运行反序列化代码,可以看到序列化的数据被还原了。
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3128
java反序列化参考
Java代码审计安全篇-反序列化漏洞
最新发布
m0_63138919的博客
03-15 1326
​ 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 ​
清晰易懂java反序列化漏洞简介
weixin_56606020的博客
03-16 7727
Java反序列化漏洞 序列化与反序列化: 序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要反序列化 序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程 反序列化即逆过程,由字节流还原成对象 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。 作用: 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2.在网络上传送对象的字节序列。 应用场景: 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物..
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞分析
abg49988的博客
10-15 1392
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
Lib之过?Java反序列化漏洞通用利用分析
weixin_34259159的博客
11-14 442
2019独角兽企业重金招聘Python工程师标准>>> ...
java反序列化漏洞分析
qq_51577576的博客
01-17 1147
一、java 反序列化漏洞原理 我们需要保存某一个对象的某一一个时间的状态信息,进行一些操作,比如利用反序列化将程序运行的对象状态以二进制形式储存在文件系统中,然后可以在另外一个程序中对序列化后的对象状态数据进行反序列化操作回复对象,可以有效的实现多平台之间的通信,对象持久化储存。 什么是序列化和反序列化 序列化 (Serialization): 将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。 反序列化: 从存储区中读取该数据,并将其还
(38)【JAVA反序列化漏洞】简介、原理、工具、环境、靶场、思路
04-23 3769
【专题】JAVA反序列化
Java 安全之反序列化漏洞
hl1293348082的专栏
03-30 7991
1.序列化与反序列化: 序列化与反序列化对于 Java 程序员来说,应该不算陌生了,序列化与反序列化简单来说就是 Java 对象与数据之间的相互转化。 那么对于完全面向对象的 Java 语言来说为什么要有序列化机制? 实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
JAVA反序列化漏洞浅析
谢公子的博客
12-20 9411
目录 反序列化漏洞 序列化和反序列化 JAVA WEB中的序列化和反序列化 对象序列化和反序列范例 JAVA中执行系统命令 重写readObject()方法 Apache Commons Collections 反序列化漏洞payload JAVA Web反序列化漏洞的挖掘和利用 由于本人并非JAVA程序员,所以对JAVA方面的知识不是很懂,仅仅是能看懂而已。本文参照几位大佬...
java反序列化漏洞研究必备知识
ATpiu的博客
03-01 323
背景 近来正好有时间研究java反序列漏洞,在此记录下java反序列化漏洞研究需要的基础知识。对于纯java小白来说,如果上来不了解java语法和一些基础特性,很难上来就说去分析java反序列化漏洞链和调试分析,因此掌握java的基本语法是十分必要的。本篇介绍的java反序列化漏洞必备知识主要包括如下内容,后续会不断补充: 1. java接口和继承 2. java class类和object类 3...
JAVA反序列化漏洞完整过程分析与调试
adrninistrat0r的博客
03-03 1772
1. 前言 2016年发在乌云知识库,重新发出来纪念一下。 关于JAVA的Apache Commons Collections组件反序列漏洞的分析文章已经有很多了,当我看完很多分析文章后,发现JAVA反序列漏洞的一些要点与细节未被详细描述,还需要继续分析之后才能更进一步理解并掌握这个漏洞。 上述的要点与细节包括: 1.为什么需要使用JAVA反射机制 2.为什么需要利用sun.reflect.an...
JAVA反序列化漏洞
KHOST的博客
05-11 560
Part 1 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值