JAVA序列化与反序列化(从开发的角度详细讲解)

已于 2023-09-15 11:21:22 修改
阅读量107 收藏 1
点赞数 1
文章标签: java 开发语言
于 2023-09-15 11:19:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68064663/article/details/132868122
版权

目录

一.简介

二.序列化和反序列化的流程

三.反序列化利用链

一.简介

序列化:对象转换成字节流

反序列化:字节流转换成对象

使用语言:这样长的代码要发送有很多空格,缩进的东西,ctrl+V发送不好用,无法模拟这些东西,所以用序列化技术,把代码段封装起来,封装字节流,封装的过程叫做序列化,存储在文件中,通过反序列化操作还原文件中的内容

序列化反序列化协议:JAVA内置的writeObject()/readObject()

二.序列化和反序列化的流程

obj在序列化的时候会把他写入到ser.txt里面去,这里对UserDemo进行序列化操作

ser.txt就是对象u序列化后的字符流数据

把ser.txt反序列化,内容还原,读取filename,将他readObject()还原内容

三.反序列化利用链

(1) 被序列化类的readObject直接调用危险方法

要序列化UserDemo,他里面有readObject函数,先调用正确的readObject再命令执行,调用计算器

序列化的时候序列化UserDemo

反序列化的时候弹出计算器,执行readObject的时候,调用了重写的序列化中的readObject,即UserDemo里面的readObject方法,而不是本身自带的方法


 

(2) 反序列化后输出对象,导致构造函数/静态代码块等类加载隐式执行,如ToString()

函数中写入调用计算器的功能

先序列化,然后反序列化,反序列化的对象是obj,然后输出他

弹出计算器

因为对obj对象进行输出默认调用原始对象的toString方法

(3) 入口参数中包含可控类,该类有危险方法,readObject时调用

HashMap专门做浏览器访问和DNS解析的事情的

序列化对象hash来源于自带类HashMap

*Gadget Chain:
HashMap.read0bject()调用自带的readObject()
HashMap.putVal()
HashMap. hash()
URL.hashCode()DNS的访问

调试:

跟进:

跟进:

跟进:

hashCode 执行结果触发访问DNS请求如果这里是执行命令的话就是RCE漏洞


在ObjectOutputStream中进行序列化操作的时候,会判断被序列化的对象是否自己重写了writeObject方法,如果重写了,就会调用被序列化对象自己的writeObject方法,如果没有重写,才会调用默认的序列化方法。read0bject本来在ObjectInputSteam这里,HashMap也有readObject方法,反序列化readObject方法调用HashMap里面的read0bject。

 

似锦c
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
01-JAVA反序列化-入门
Curry_live的博客
09-02 1297
JAVA反序列化漏洞原理与利用链构造基础知识
Java序列化反序列化
YYniannian的博客
07-29 580
序列化反序列化的过程其实是有漏洞的,因为从序列化反序列化是有中间过程的,如果被别人拿到了中间字节流,然后加以伪造或者篡改,反序列化出来的对象会有一定风险。可以重写readObject()方法,加以限制...
java反序列化
lijiayou_jiayou的博客
09-08 173
1.需要有一个可以提交序列化字节流的地方2.有可以被利用的类3.类序列化后,类实例已不再关注,我们的重点是执行了readObject方法。
JAVA代码审计之java反序列化
知识分享官
09-23 376
序列化数据结构可以了解到包含了类的名称及serialVersionUID 的ObjectStreamClass描述符在序列化对象流的前面位置,且在 readObject反序列化时首先会调用resolveClass读取反序列化的 类名,所以这里通过重写ObjectInputStream对象的 resolveClass方法即可实现对反序列化类的校验。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期 的对象,在此过程中执行构造的任意代码。
JAVA反序列化(还是不太懂)
m0_48907714的博客
04-25 3334
JAVA反序列化 函数 序列化writeObject 反序列化readObject() 序列化反序列化 序列化 将对象的状态信息转换为可以存储或者传输的过程 。在序列化期间,对象将其当前状态写入到临时或持久性存储区 反序列化从存储区读取数据,比起能够将其还原为对象的过程 演示 一、序列化反序列化 在写反序列化时报错readObject()函数不存在,所以本人只弄成了序列化 直接上java代码 首先需要一个User类,这个就不上传代码了,我的代码会在桌面的1.txt文件中写入序列化后内容 impor
Java序列化反序列化的实例分析讲解
08-26
Java序列化是将Java对象转换为字节流的过程,以便持久化存储或在网络间传输。这一过程的关键在于,对象必须实现`java.io.Serializable`接口,表明它可以被序列化。`Serializable`接口本身没有任何方法和变量,它仅仅...
java中对象的序列化反序列化深入讲解
08-26
Java中的对象序列化反序列化Java标准库提供的用于持久化对象状态的重要特性。对象序列化是指将Java对象转换为字节序列的过程,而反序列化则是将这些字节序列恢复为原始对象的过程。这一过程对于数据的存储、网络...
面试题:Java序列化反序列化
JAVAQXQ的博客
07-29 470
Externalizable继承自Serializable接口需要我们重写writeExternal()与readExternal()方法,这是强制性的实现Externalizable接口的类必须要提供一个public的无参的构造器,因为反序列化的时候需要反射创建对象Externalizable接口实现序列化,性能稍微比继承自Serializable接口好一点首先我们定义一个对象类ExUser//注意,必须加上pulic无参构造器}}}}}}}}...
序列化反序列化的参考demo
01-17
在编程领域,序列化反序列化...序列化反序列化在实际开发中具有广泛的应用,但同时也需要注意其潜在的安全风险,如反序列化漏洞。因此,在设计和使用时,务必对输入数据进行严格的校验和过滤,以确保系统的安全性。
Java反序列化代码执行案例分析
weixin_44700621的博客
06-05 823
Java序列化反序列化案例学习,并基于反射机制实现远程弹shell
Java反序列化漏洞分析
qq_51453285的博客
06-10 1125
Java反序列化漏洞(Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
Java 反序列化原理与基础,URLDNS攻击链分析
weixin_49248030的博客
11-03 733
序列化是指将对象转化为字节流,其目的是便于对象在内存、文件、数据库或者网络之间传递。反序列化则是序列化的逆过程,即字节流转化为对象的过程,通常是程序将内存、文件、数据库或者网络传递的字节流还原成对象。在 Java 原生的API 中,序列化的过程由 ObjectOutputStream 类的 writeObject()方法实现,反序列化过程由 ObjectInputStream 类的 readObject()方法实现。
Java反序列化看这一篇就够了
最新发布
saber的博客
03-12 1861
本文介绍了Java中的序列化反序列化机制。Java序列化是指将Java对象转换为字节序列的过程,以便存储在文件中或在网络上传输;而Java反序列化是指将字节序列恢复为Java对象的过程。序列化反序列化的过程中,需要使用 ObjectOutputStream 和 ObjectInputStream 类来实现。文章还提到了序列化的原因,如远程过程调用和传输数据时需要将数据序列化为二进制形式。
java序列化之writeObject 和readObject
深海微澜
06-05 8418
什么是序列化反序列化序列化:将对象转化为字节的过程称为序列化过程。 反序列化:将字节转化为对象的过程称为反序列化序列化主要应用于网络传输和数据存储的场景。在java中,只有类实现了java.io.serializable接口,该类才能被序列化。 示例Demo1.java: package com.example.demo; import java.io.*; public class Demo1 { public static class Person implements S
java基础--反序列化漏洞原理
zyer
05-04 4532
原理 根据上篇文章可以了解到,一个类想要实现序列化反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
关于Java中使用Serializable中readObject和readObject调用的问题
weixin_30484247的博客
06-22 926
我们都知道,序列化不会自动保存static和transient变量,因此我们若要保存它们,则需要通过writeObject()和readObject()去手动读写。(01) 通过writeObject()方法,写入要保存的变量。writeObject的原始定义是在ObjectOutputStream.java中,我们按照如下示例覆盖即可: private void writeObject(Obj...
深入了解序列化writeObject、readObject、readResolve
lebronchen的博客
08-08 9387
说到Java序列化,大多数人都知道使用ObjectOutputStream将对象写成二进制流,再使用ObjectInputStream将二进制流写成文件实现序列化反序列化。今天这篇文章将深入分析一下序列化。 1.Serializable 通常我们序列化一个对象的目的是为了可以再序列化回来,使用场景有很多,比如说: - 把对象保存到文件中,然后可以再恢复 - 使用网络IO传递一个对象 ...
Java对象序列化反序列化详解:实战与原理
以下是对Java对象序列化深入讲解的关键知识点: 1. **什么是Java对象序列化** - Java对象序列化是指在JVM(Java虚拟机)中将对象转换为可存储的数据,如字节流,以便于在程序关闭后还能恢复对象的状态。这使得对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值