反序列化分析

已于 2023-04-27 16:13:43 修改
阅读量69 收藏
点赞数
文章标签: java
于 2023-04-27 16:10:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68090416/article/details/130390889
版权

序列化:内存信息被分成小块设置编号 ——>存到硬盘

反序列化:组装成对象恢复到内存中  <——硬盘保存Java对象的字节

条件

在Java类中,必须要实现java.io.ObjectOutputStream 和java.io.ObjectIutputStream来现实序列化反序列化的功能。一个类想要实现序列化和反序列化,必须要实现 java.io.Serializable 或java.io.Externalizable 接口

反序列化漏洞

如果被序列化的类重写了writeObjectreadObject方法,Java就会委托这两个重写的方法来进行序列化和反序列化。正是因为这个特性才导致反序列化漏洞出现:在反序列化一个类时,如果这个类重写了readObject方法,程序将会调用这个重写的方法,如果重写的readObject方法存在恶意程序,将会对应用程序造成危害。

反序列化

先对某个对象进行反序列化,看一下重写readObject()触发反序列化漏洞

 那么我们重写了readObject()就可以利用反序列化漏洞,原因是什么呢?

先看java.io.ObjectOutputStream#readObject()

readObject()方法调用readObject0()反序列化

readObject0()是以字节方式去读取

进入readOrdinaryObject()

先检查标记是否为Object   然后调用readClassDesc()获取类描述符

根据获取的内容判断类是否实现了Externalizable()接口,如果实现了该接口则调用readExternalData()       如果没有实现Externalizable(),则调用readSerialData()方法

 在readSerialData()方法中,通过类描述符获取序列化对象的数据布局

进行判断是否重写了readObject()方法,如果重写了,就是用invokReadObject()调用对象里重写的readObject()方法

如果没有就执行默认的反序列化方法

 至此,执行到invokReadObject()方法,就会调用重写的readObject()方法,如果重写的readObject()里边有危险函数那么这个危险函数就会执行。

文章如有错误或者不足之处,欢迎指正

 参考链接:java中的序列化与反序列化及其源码分析(特别详细)_qq_36744284的博客-CSDN博客

萧睿596
关注
01-JAVA反序列化-入门
Curry_live的博客
09-02 1307
JAVA反序列化漏洞原理与利用链构造基础知识
TP5.0.xRCE&5.0.24反序列化分析1
08-03
【标题】:“TP5.0.x RCE & 5.0.24 反序列化分析1” 在本文中,我们将深入探讨ThinkPHP 5.0.x版本,特别是5.0.24版本中的反序列化漏洞及其分析。ThinkPHP是一个广泛使用的PHP框架,其在开发过程中的一些特性可能...
java如何将序列化对象_Java 序列化 对象序列化和反序列化
weixin_39988888的博客
02-16 377
Java 序列化 对象序列化和反序列化@author ixenos对象序列化是什么1、对象序列化就是把一个对象的状态转化成一个字节流。我们可以把这样的字节流存储为一个文件,作为对这个对象的复制(深拷贝);在一些分布式应用中,我们还可以把对象的字节流发送到网络上的其他计算机。反序列化是把流结构的对象恢复为其原有形式2、Java平台允许我们在内存中创建可复用的Java对象,但一般情况下,只有当JVM处...
Java反序列化漏洞详解(易懂)
最新发布
weixin_63350467的博客
07-15 1727
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
JDK中反序列化对象的过程(ObjectInputStream#readObject)
田麦
06-10 1476
         此处,对象描述信息即ObjectStreamClass的实例 1、java ObjectInputStream#readObject的时候,先从输入流读入对象,读取对象信息,如果在读取过程中出现异常,则通过markDependency处理;处理完后还会调用注册进来的callback   2、读取对象的过程,先读取对象,然后再java.io.ObjectInputStre...
java readobject源码解读和反序列化分析
热门推荐
一个码农的笔记
06-10 3万+
首先看java.io.readobject函数: public final Object readObject() throws IOException, ClassNotFoundException { if (enableOverride) { return readObjectOverride(); } // if nested read, passHandle contains handle of en
序列化与反序列化
qq_45537062的博客
05-28 247
序列化和反序列化
Java安全之SnakeYaml反序列化分析.doc
07-08
【SnakeYaml反序列化分析】 SnakeYaml是一款流行的Java库,用于解析和生成YAML格式的数据。YAML(YAML Ain't Markup Language)是一种人类可读的数据序列化语言,常用于配置文件和数据交换。它比XML和properties...
深入分析Java的序列化与反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
C#中datatable序列化与反序列化实例分析
09-04
然而,在某些场景下,我们可能需要将 `DataTable` 对象转换为字符串(序列化)以便于传输或存储,然后再从字符串恢复(反序列化)。本篇文章将详细讲解如何在C#中实现 `DataTable` 的序列化和反序列化。 首先,让...
对象的序列化和反序列化
知何似
03-23 205
对象的序列化和反序列化序列化的基本操作及transientArrayLIst源码中的transient序列化中子父类构造函数问题 对象的序列化,反序列化 对象序列化,就是将Object转换成byte序列,反之叫对象的反序列化 序列化流(ObjectOutputStream),是过滤流----writeObject 反序列化流(ObjectInputStream)—readObject ...
java反序列化
lijiayou_jiayou的博客
09-08 191
1.需要有一个可以提交序列化字节流的地方2.有可以被利用的类3.类序列化后,类实例已不再关注,我们的重点是执行了readObject方法。
序列化和反序列化
heyanfeng22的专栏
06-04 2531
序列化和反序列化什么是序列化序列化高阶认识jdk序列化serialVersionUID 的作用Transient 关键字绕开 transient 机制的办法序列化小结分布式架构下常见序列化技术了解序列化的发展简单了解各种序列化技术json序列化框架Hessian 序列化框架Avro 序列化kyro 序列化框架Protobuf 序列化框架序列化技术的选型 什么是序列化 序列化:就是把对象从对象形式变...
(专题)序列化与反序列化
m0_59619191的博客
10-08 417
1.概念解析及解释 序列化:指把堆内存中的Java对象数据,通过某种方式把对象存储到磁盘文件中或者传递给其他网络的节点(在网络上传输) 反序列化:把磁盘文件中的对象数据或者把网络节点上的对象数据,恢复成Java对象的过程. 为什么要用序列化: 在主方法中,我们可以调用序列化把一个类传入到文件中,不仅可以使用对象的属性,还可以调用其具体的方法,并且与其他方法调用时不冲突 2.操作方法 ObjectOutputStream: 通过writeObject方法...
"java对象序列化与对象反序列化"深入详解
F7ANTY的专栏
05-11 487
将对象转换为字节流保存起来,并在以后还原这个对象,这种机制叫做对象序列化。 【比如内存里面有Person这样一个对象,这个对象已经new出来了,接下来我把这个对象保存到文件里面,因为内存里面的东西一旦java虚拟机关闭了就都没有了,所以保存到文件里面,保存到文件之后,等到下一次java虚拟机再次起来之后,我再把这个Person对象从文件里面读取回来,再加载到内存中。这就是序列化】  • 将一个对
java基础--序列化与反序列化
zyer
05-04 542
Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。 将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。 Java 提供了两个类 java.io.ObjectOutputStream 和 java.io.ObjectInputStream 来实现序列化和反序列化的功能,其中 ObjectInputS
利用特殊反序列化组件攻击原生反序列化入口
zkaqlaoniao的博客
10-20 322
所谓特殊反序列化,就是指自实现了序列化/反序列化逻辑的组件,本文主要讨论以下三种FastJsonJackson(SpringBoot原生环境自带)ROME(其实并不是特殊反序列化组件,但因为它也经常出现在toString利用链中,故放到一起讨论)
fastjson反序列化分析
09-08
Fastjson是一个高性能的Java JSON库,可以将JSON字符串与Java对象之间进行相互转换。在反序列化方面,Fastjson提供了多种方式来实现。 首先,最常见的方式是将JSON字符串直接反序列化Java对象。你可以使用`JSON.parseObject()`方法来实现这一操作。该方法接受两个参数:要解析的JSON字符串和目标Java类的Class对象。示例代码如下: ```java String jsonString = "{\"name\":\"John\",\"age\":30}"; User user = JSON.parseObject(jsonString, User.class); ``` 在上述代码中,我们将一个包含"name"和"age"属性的JSON字符串反序列化为一个名为User的Java对象。 除了直接反序列化外,Fastjson还支持将JSON字符串反序列化为泛型类型。你可以使用`TypeReference`类来指定具体的泛型类型。示例代码如下: ```java String jsonString = "[{\"name\":\"John\",\"age\":30},{\"name\":\"Jane\",\"age\":25}]"; List<User> userList = JSON.parseObject(jsonString, new TypeReference<List<User>>() {}); ``` 在上述代码中,我们将一个包含多个User对象的JSON数组反序列化为一个List<User>对象。 此外,Fastjson还支持将JSON字符串反序列化为JSONObject对象,该对象提供了一系列操作JSON数据的方法。你可以使用`JSON.parseObject()`方法,并传入`Feature.OrderedField`参数来实现。示例代码如下: ```java String jsonString = "{\"name\":\"John\",\"age\":30}"; JSONObject jsonObject = JSON.parseObject(jsonString, Feature.OrderedField); ``` 总的来说,Fastjson提供了灵活且高效的反序列化方式,可以满足各种不同的需求。以上只是一些常用的示例,你可以根据具体情况选择适合的方法来实现反序列化操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值