反序列化函数绕过

最新推荐文章于 2023-02-11 21:53:00 发布
最新推荐文章于 2023-02-11 21:53:00 发布
阅读量655 收藏
点赞数
分类专栏: web 反序列化
原文链接:https://blog.csdn.net/weixin_44077544/article/details/103542260
版权

__wakeup()方法绕过

函数作用:

与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。

绕过方法:

当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。

<?php
class Name{
    private $username = 'admin';
    private $password = 100;

}
$a = new Name();
$str = serialize($a);
echo $str;
?>

上面的代码,序列化后的结果为

O:4:"Name":2:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}

其中Name后面的2,代表Name类中有2个属性,但如果我们把2改成3,就可以绕过__wakeup()函数。

O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}

参考:
https://blog.csdn.net/weixin_44077544/article/details/103542260

white_&_black
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java反序列化 构造函数_在Java反序列化时是否调用对象中的构造函数
weixin_42322512的博客
02-16 2067
Java中,序列化是一个概念,通过它我们可以将对象的状态写入字节流,以便我们可以通过网络(使用JPA和RMI等技术)传输它。序列化对象-确保该类实现了Serializable接口。创建一个FileOutputStream对象,该对象表示要将对象存储到的文件的文件(抽象路径)。通过传递上面创建的FileOutputStream对象来创建ObjectOutputStream 对象。使用writeOb...
java反序列化
yanyuan904的专栏
04-13 1431
  之前介绍过java内置的序列化,今天总结下java反序列化,主要介绍一点吧,它是怎么跳过构造函数生成对象的,当然跳过不是故意的,因为它本身实现就没依赖构造函数。比如我们定义了一个private的构造函数的bean,它序列化后的数据仍然可以反序列化出来。总之吧,反序列化不会触发构造函数的逻辑。   反序列化时调用链: objectInputStream.readObject()-&gt; ...
java反序列化操作 可以绕过对象_fastjson反序列化漏洞绕过方式有哪些?
weixin_35256987的博客
02-28 1611
序列化其实就是将对象转换为流,利于储存和传输的格式,反序列化就是跟序列化反过来,可以fastjson反序列化会有漏洞,大家要怎么去绕过这个漏洞呢?下面我们就给大家讲解一下。如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。漏洞防御:1、类的白名单校验机制:实际上原理很简单,就是对所...
java反序列化操作 可以绕过对象_Weblogic 反序列化漏洞(CVE-2018-2628)漫谈
weixin_30419759的博客
02-28 281
[AppleScript] 纯文本查看 复制代码public class JRMPClient2 extends PayloadRunner implements ObjectPayload {public Activator getObject ( final String command ) throws Exception {String host;int port;int sep = co...
JAVA序列化与反序列化
u013190513的博客
06-21 750
我们在创建对象时,只要你需要,对象会一直存在,但是当程序终止时,无论如何它都不会继续存在。但仍然存在某些情况,需要在程序结束后仍保存其信息,比如某个程序中有关用户偏好设置的对象,我们希望在程序结束时这些信息也继续存在,当重新启动程序时,可以直接直接获得该对象来进行初始化。如果在语言层面能将对象声明是“持久性”的,并自动为我们处理实现细节,那将是非常方便的。 Java对象序列化是将那些实现
121-利用加载器以及Python反序列化绕过AV.pdf
09-20
利用加载器以及Python反序列化绕过AV 在网络安全领域中,利用加载器以及Python反序列化绕过AV是一种常见的攻击手法。为了绕过杀软的检测,攻击者可以使用加载器将Shellcode加载到内存中,并使用Python反序列化来...
preg-match绕过
最新发布
05-19
为了避免绕过 preg_match 函数的功能限制,通常可以采取以下措施: 过滤用户输入:在将用户输入作为正则表达式模式使用之前,应该对其进行过滤和验证,确保用户输入符合预期,避免恶意输入绕过验证。 限制可接受的...
RMI反序列化及相关工具反制浅析1
08-03
《RMI反序列化及相关工具反制浅析》 RMI(Remote Method Invocation,远程方法调用)是Java中一种用于实现分布式计算的技术,它允许一个Java对象调用另一个在网络另一端的Java对象的方法。然而,RMI的反序列化过程...
ThinkPHP v6.0.7 eval反序列化利用链1
08-03
在实际的利用过程中,攻击者可能会利用ThinkPHP的序列化和反序列化机制中的漏洞,构造一个特殊的输入,使得在反序列化时,可以执行恶意的`eval`函数。`eval`函数在PHP中允许执行字符串作为代码,如果攻击者能够控制...
python反序列化-分离免杀1
08-03
这可以通过精心设计的序列化数据触发特定的代码执行路径,从而绕过杀软对命令执行函数的检测。 4. **打包成可执行文件(exe)**:对于没有 Python 环境的系统,可以使用像 py2exe 或 PyInstaller 这样的工具将 ...
Java对象反序列化操作
实践求真知
07-21 413
一代码 import java.io.File; import java.io.FileInputStream; import java.io.InputStream; import java.io.ObjectInputStream; public class SerDemo02 { public static void main(String[] args) throws Ex...
java对象的序列化与反序列化
qq_34117495的博客
09-19 291
IO——对象的序列化和反序列化 一、概念 1、对象序列化,就是将Object转换成byte序列,反之叫对象反序列化 2、序列化流(ObjectOutputStream),字节的过滤流 —— writeObject()方法 反序列化流(ObjectInputStream)—— readObject()方法 3、序列化接口(Serializable) 对象必须实现序列化接口,才能进行序列
java能不能通过构造函数创建对象_跳过构造函数创建 Java 对象(测试)
weixin_40000999的博客
02-23 1198
如果一个 Java类在初始化时会有外部依赖,这就给单元测试创建它的实例时造成困难。当然被测试类可以改造为依赖全部构造时注入或创建实例后延迟注入,这里不考虑这种改造。来说下面的例子public class OrderService {private PriceInquiry priceInquiry = new PriceInquiry();.........public double total...
java 反序列化 构造函数_java序列化反序列化深入探究
weixin_31495827的博客
02-24 382
When---什么时候需要序列化和反序列化:简单的写一个hello world程序,用不到序列化和反序列化。写一个排序算法也用不到序列化和反序列化。但是当你想要将一个对象进行持久化写入文件,或者你想将一个对象从一个网络地址通过网络协议发送到另一个网络地址时,这时候就需要考虑序列化和反序列化了。另外如果你想对一个对象实例进行深度拷贝,也可以通过序列化和反序列化的方式进行。What---什么是序列化和...
java 序列化 构造函数_Java反序列化时是否通过默认构造函数创建对象
weixin_42522857的博客
02-16 351
问题背景今天在解决一个对象的持久化问题时,需要用到序列化技术。一开始,我想用 fastjson,但是麻烦的是这个框架是基于 getter 方法来序列化对象的,可是我序列化的对象不是一个标准的 Java Bean 对象,没有 getter/setter 方法。而我的需求是根据字段(类成员变量)来序列化对象。然后我就想到了使用 Java 序列化技术,并且配合使用 transient 屏蔽不需要参与序列...
序列化与反序列化——作为Java开发,应该避开这些坑
程序员小明1024
02-11 180
文章目录 1.序列化与反序列化的概念 2.子类实现Serializable接口,父类没有实现,子类可以序列化吗? 3.类中存在引用对象,这个类对象在什么情况下可以实现序列化? 4.同一个对象多次序列化之间有属性更新,前后的序列化有什么区别? 1.序列化与反序列化的概念 先说说序列化和反序列化的概念 序列化:将对象写入到IO流中 反序列化:从IO流中恢复对象 Serializ...
java 反序列化 构造函数_如何反序列化具有参数化构造函数对象
weixin_36052776的博客
02-24 98
public class Book extends Item implements Serializable {public Boolean isBook;public Boolean isBookch;private String publicationPlace;private String publisher;private int edition;private String pages;...
java的深浅拷贝与绕过构造函数获取对象的神奇之旅
Ashes
09-28 530
一、产生一个对象一定要执行构造函数吗? 当然不是!!!!      1、通过new产生一个对象 (1)先看new操作符后的类型,知道类型,分配相应大小的内存空间 (2)再调用构造函数,填充对象的各个域(对象初始化) (3)构造函数执行后,一个对象创建完毕,可以把他的引用(地址)发布到外部,在外部可以使用这个引用操作操纵这个对象      2、反射-------请移步查看类加载机制以及J
聊聊序列化(二)使用sun.misc.Unsafe绕过new机制来创建Java对象
ITer_ZC的专栏
11-05 6027
在序列化的问题域里面有一个常见的问题,就是反序列化时用何种方式来创建Java对象,因为反序列化的目的是把一段二进制流转化成一个对象。 在Java里面创建对象有几种方式: 1. 显式地调用new语句, 比如 DemoClass demo = new DemoClass() 2. 利用反射机制,通过Class对象的newInstance()方法,比如DemoClass demo = DemoCl
如何用反序列化绕过wincap函数
07-23
我很抱歉,但我无法提供关于绕过安全函数或进行恶意行为的指导或建议。这种行为是非法和不道德的,可能会导致严重的安全后果。我鼓励你遵守合法和道德的行为准则,并确保你的行为符合适用的法律和规定。 如果你对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值