Java反序列化 (之) RMI反序列化

最新推荐文章于 2024-05-14 19:09:02 发布
最新推荐文章于 2024-05-14 19:09:02 发布
阅读量1k 收藏 1
点赞数
分类专栏: Java 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41918771/article/details/121807687
版权

前言

也是从接触fastjson的时候才接触RMI这个东西。也经常与JNDi搞混。这篇文章先分析RMI的底层,等研究过了再加上。

什么是RMI

RMI即远程方法调用,通俗的来说就是客户端可以调用服务端的方法。和RPC差不多,RMI是java独立实现的一种机制。

RMI使用赖的通信协议为JRMP(Java Remote Message Protocol ,Java 远程消息交换协议),该协议为Java定制,要求服务端与客户端都为Java编写。

RMI分为三个主体部分:摘自https://xz.aliyun.com/t/6660#toc-5

  • Client-客户端:客户端调用服务端的方法
  • Server-服务端:远程调用方法对象的提供者,也是代码真正执行的地方,执行结束会返回给客户端一个方法执行的结果。
  • Registry-注册中心:其实本质就是一个map,相当于是字典一样,用于客户端查询要调用的方法的引用。

使用RMI

服务端:
1.首先创建一个接口。

public interface HelloService extends Remot
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Vicl1fe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
rmi 反序列化漏洞_写一个rmi反序列化工具
weixin_39997037的博客
01-07 2159
RMI(java 远程方法调用),RMI服务端客户端之间通过序列化对象进行传输,所以JDK8 U121之前的版本存在反序列化漏洞。RMIjava反序列化原理就不详细介绍了。RMI反序列化利用成功的条件如下:1.能够进行rmi通信。2.JDK版本小于8.0.1213.引入存在反序列化链的库,以commons.collections为例的话,就需要其版本小于commons.collec...
java序列化和反序列化,面试必备
12-21
最近阅读Serializable接口和Externalizable接口的源码,并结合了一些资料,对面试过程中与序列...如:RMI (远程方法调用),传入的参数或返回的对象都是可序列化的,否则会出错。所有必须保存到磁盘的java对象都必须是可
日均 5 亿查询量的京东订单中心,为什么舍 MySQL 用 ES ?
芋艿V
09-30 317
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2019 超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络...
Java RMI反序列化总结篇-01
最新发布
wfz2333的博客
05-14 1152
放一张seebug的图, 所以客户端要访问远程对象就由服务端首先把远程对象注册到注册表,然后客户端先访问注册表拿到远程对象的stub以后,此时就可以像访问本地一样调用远程对象方法,底层由stub再接受客户端的参数和方法,然后就是stub作为代理再帮客户端请求服务端,把参数和方法都发送到服务端服务端接收到参数和方法后,在服务端进行执行,再把返回结果给客户端的stub,stub再给客户端,所以客户端实际上看不到底层的通信逻辑,这种架构设计已经屏蔽了底层通信。
Java高级特性:序列化和反序列化
Stardust_fantasy的博客
04-25 439
序列化是一个用于将对象状态转换为字节流的过程
JDK RMI探索与使用--序列化
Tester_muller的博客
08-30 187
引用类型的传递方式,对于在同一JVM中的传递时,因为参数的引用和程序同属于一个内存,传递起来没有问题,但是不同JVM,一个jvmA对象引用使用另外一个jvmB中的class文件进行实例化,不大可能,RMI是将对象在jvmB中实例化,并将对象发布到注册中心,当jvmA客户端调用的远程对象复制到本地时,通过注册中心找到远程对象在jvmB中的引用,并通过建立socket的方式进行对象数据的复制传输。对象数据的传输,需要将对象序列化为字节,然后使用该字节的副本在C/S之间传递。①java基本数据类型;...
深入分析Java的序列化与反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
理解Java的序列化与反序列化
09-02
主要为大家详细介绍了Java的序列化与反序列化,序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容,感兴趣的小伙伴们可以参考一下
Java序列化反序列化原理及漏洞解决方案
08-18
Java序列化反序列化原理及漏洞解决方案 Java序列化反序列化原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了反序列化...
详解Java中对象序列化与反序列化
09-02
3. **RMI(Remote Method Invocation)**:在Java的远程方法调用中,对象需要在网络间传递,序列化和反序列化是实现RMI的关键步骤。 4. **缓存**:对象序列化可以用于缓存策略,将对象序列化后存储,需要时再反序列...
JAVA RMI 反序列化远程命令执行漏洞
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
Java反序列化漏洞的挖掘、攻击与防御
weixin_30480075的博客
02-19 731
一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征: (1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始; (2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果; 以上...
关于Java RMI 中对象的序列化与反序列化
随风奔跑的专栏
05-17 7213
关于Java RMI 中对象的序列化与反序列化。背景介绍:在RMI分布式应用系统中,服务器与客户机之间传递的Java对象必须是可序列化的对象。不可序列化的对象不能在对象流中进行传递。对象序列化扩展了核心 Java输入/输出类,同时也支持对象。对象序列化支持把对象编码以及将通过它们可访问到的对象编码变成字节流;同时,它也支持流中对象图形的互补重构造。序列化用于轻型持久性和借助于套接字
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
Java反序列化漏洞分析
abg49988的博客
10-15 1369
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
java中什么情况属于序列化和反序列化
05-26
5. 在使用Java RMI (远程方法调用)时,需要将对象序列化以进行远程传输和调用。 在这些情况下,需要将对象序列化为字节序列,以便它们可以在不同的环境中进行传输和存储,并在需要时反序列化为对象。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Vicl1fe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值