前言
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。
大致内容如下:
-
序列化和反序列化示例
-
序列化数据组成解构
-
反序列化漏洞形成原理
序列化和反序列化
序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。
反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节序列转化成对象。
可序列化的类必须继承 java.io.Serializable;序列化机制使对象得以脱离程序之外独立存在。
示列:
Employ.java
import java.io.Serializable; //该类必须实现java.io.Serializable public class Employ implements Serializable { public String name; public int age; }
test.java
import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectOutputStream; public class test { public static void main(String[] args) { //将e转化为字节序列存储于/tmp/1.ser Employ e = new Employ(); e.name = "zhangyida"; e.age = 15; try { FileOutputStream fops = new FileOutputStream("/tmp/1.ser"); ObjectOutputStream obos = new ObjectOutputStream(fops); obos.writeObject(e); obos.close(); System.out.prin