java反序列化原理-Demo(一)

最新推荐文章于 2022-11-03 10:43:12 发布
最新推荐文章于 2022-11-03 10:43:12 发布
阅读量88 收藏
点赞数
原文链接:http://blog.51cto.com/13770310/2159203
版权

java反序列化原理-Demo(一)

0x00 什么是java序列化和反序列?

Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。
Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。

0x01 java反序列漏洞原理分析

首先先定义一个user类需继承Serializable

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

}

编写一个测试类,生成一个user对象,将其序列化后的字节保存在硬盘上,然后再读取被序列化后的字节,将其反序列化后输入user的name属性

package test;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class test1 {
    public static void main(String[] args) {
        try {
            FileOutputStream out =new FileOutputStream("d:/1.bin");
            ObjectOutputStream obj_out = new ObjectOutputStream(out);
            user u = new user();
            u.setName("test");
            obj_out.writeObject(u);

            //利用readobject方法还原user对象
            FileInputStream in = new FileInputStream("d:/1.bin");
            ObjectInputStream ins = new ObjectInputStream(in);
            user u1 = (user)ins.readObject(); 

            System.err.println(u1.getName());
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

    }
}

运行后输出name属性:test
java反序列化原理-Demo(一)

为了构造一个反序列化漏洞,需要重写user的readObjec方法,在改方法中弹出计算器:
重写readObjec后的user类:

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException {
        in.defaultReadObject();
        Runtime.getRuntime().exec("calc.exe");
    }
}

java反序列化原理-Demo(一)

再次运行测试类,发现计算器已经弹出:
java反序列化原理-Demo(一)

只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可执行任意命令

0x02 总结

产生反序列化漏洞的前提是必须重写继承了Serializable类的readObjec方法

参考连接:
http://www.freebuf.com/vuls/170344.html

转载于:https://blog.51cto.com/13770310/2159203

weixin_34341117
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA序列漏洞基础原理
洋洋的小黑屋
05-11 1571
JAVA序列漏洞基础原理 1.1 什么是序列序列Java序列是指把Java对象转换为字节序列的过程; Java序列是指把字节序列恢复为Java对象的过程; 1.2 为什么要序列 对象不只是存储在内存中,它还需要在传输网络中进行传输,并且保存起来之后下次再加载出来,这时候就需要序列技术。 Java序列技术就是把对象转换成一串由二进制字节组成的数组,然后将这二进制数据...
java序列_java序列原理-Demo(一)
weixin_39531378的博客
02-12 116
java序列原理-Demo(一)0x00 什么是java序列序列Java 序列是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列Java 序列是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于序列...
java 序列序列的实现原理
weixin_42052662的博客
08-15 96
java 序列序列的实现原理 老是听说序列序列,就是不知道到底什么是序列,什么是序列?今天就在网上搜索学习一下,这一搜不要紧,发现自己曾经用过,竟然不知道那就是JDK类库中序列序列的API。 什么是序列? –1--java序列是指把java对象转换为字节序列的过程,而java序列是指把字节序列恢复为java对象的过程 –2--序列:对象序列的最主要的用处就是...
java序列原理,java序列的工作原理
weixin_34739699的博客
03-15 122
据我所知,没有调用Object的序列类的构造函数,而是第一个非序列构造函数的no-arg构造函数.现在考虑以下代码public class SerializeDemo implements Serializable {private String name;int age; //default 0public SerializeDemo(String name, boolean setA...
JAVA序列机制
bingobird
01-11 213
最近看了下JAVA序列机制,发现它还是比想像中的要兼容些。不过还是有一些陷阱,跨语言跨平台的协议才是王道。 序列过程如下图:  几个关键点: 1.ObjectStreamClass的matchFields方法:此处会比较本地与序列数据流中对象字段,对本地不存在的字段做过滤标识;如果本地存在同名但类型不同,则抛错。 2.readOrdinaryObject的处理:会调用Obje...
成百上千个Java 源码DEMO 4(1-4是独立压缩包)
03-29
密钥 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列保存...
成百上千个Java 源码DEMO 3(1-4是独立压缩包)
03-29
密钥 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列保存...
积分管理系统java源码-study:学习
06-06
实现序列和编解码 拆包粘包的实现 互聊 群聊 心跳 线程池的使用 自定义线程池 Mysql BinLog 原理: 数据库为了主从复制结构和容灾,都会有一份提交日志 (commit log),通过解析这份日志, 理论上说可以获取到每次...
Java创建对象的四种方法.doc
09-30
Java 语言中创建对象的四种方式是:用 new 语句创建对象、运用射手段、调用对象的 clone() 方法和运用序列手段。下面我们将详细阐述每种方法的实现原理和代码示例。 1. 用 new 语句创建对象 这是最常见的...
java射深入剖析(推荐)
09-01
Java射的应用场景广泛,如框架开发(如Spring、Hibernate)、动态代理、代码生成工具(如JPA的实体生成)、序列/序列、测试工具等。然而,射也会带来性能损失,因为它是运行时的动态操作,且可能破坏封装...
JAVA序列序列的底层实现原理解析
08-25
主要介绍了JAVA序列序列的底层实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java序列原理-Demo(二)
weixin_34203426的博客
08-14 90
java序列原理-Demo(二) 0x00 测试代码以及运行结果 测试代码: package test; import java.io.ByteArrayInputStream; import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.ObjectInputStream; import ...
Java 序列原理与基础,URLDNS攻击链分析
weixin_49248030的博客
11-03 677
序列是指将对象转为字节流,其目的是便于对象在内存、文件、数据库或者网络之间传递。序列则是序列的逆过程,即字节流转为对象的过程,通常是程序将内存、文件、数据库或者网络传递的字节流还原成对象。在 Java 原生的API 中,序列的过程由 ObjectOutputStream 类的 writeObject()方法实现,序列过程由 ObjectInputStream 类的 readObject()方法实现。
java序列原理_Java 序列序列的底层原理
weixin_36051235的博客
02-27 1369
序列序列序列是通过某种算法将存储于内存中的对象转换成可以用于持久存储或者通信的形式的过程序列是将这种被持久存储或者通信的数据通过对应解析算法还原成对象的过程,它是序列的逆向操作为什么需要序列前端请求后端接口数据的时候,后端需要返回 JSON 数据,这就是后端将 Java 堆中的对象序列为了 JSON 数据传给前端,前端可以根据自身需求直接使用或者将其序列为 JS 对象R...
JAVA序列漏洞原理分析
qq_37019068的博客
10-12 6278
序列漏洞原理分析 从序列序列说起 什么是序列序列? 简单来讲,序列就是把对象转换为字节序列(即可以存储或传输的形式)的过程,而序列则是他的逆操作,即把一个字节序列还原为对象的过程。 这两个操作一般用于对象的保存和网络传输对象的字节序列等场景。 举个例子:在很多应用中,需要对某些对象进行序列,让它们离开内存空间,入住物理硬盘,以便减轻内存压力或便于长期保存。抑或是在高并发的环境下将一些对象序列后保存,等到需要时调出,可减轻服务器的压力 Java中的序列序列Java
Java对象的序列序列原理
Devil丶LY
07-25 403
一、前言 本人java小白一枚,从零开始学习java有关的内容,本篇权当一个学习记录的过程,如果有什么不对的地方,欢迎各位留言。 二、什么是序列序列 (1)序列:把Java对象转换为字节序列的过程。 (2)序列:把字节序列恢复为Java对象的过程。 三、为什么要进行序列序列 (1)持久对象:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件夹中 在很多应用中,需要对某些对象进行序列,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的Session对象
超详细:Java 序列漏洞的原理分析
CG国斌的博客
09-28 3409
世界上有三件事最难: - 把别人的钱装进自己的口袋里 - 把自己的想法装进别人的脑袋里 - 让自己的代码运行在别人的服务器上
(渗透学习)理解java序列漏洞原理---层序渐进
yang1234567898的博客
12-31 4222
1、为什么要序列? 因为只有字节数据才能进行存储和传输,所以为了使对象(如class类)能够存储、传输,就需要将对象转成字节的形式 存储:不需要的时候就序列对象后的数据存入磁盘,需要的时候就序列还原对象进行调用 传输:当A想要用B的对象时,那么A需要将对象进行序列传输给B,B接收之后进行序列还原调用 2、如何序列序列? 要求:只有实现了Serializable接口的对象才能被序列,否则抛出异常,如: class MyObject implements Serializ
干货来袭!java序列序列原理
m0_58591044的博客
07-05 88
第一阶段:架构师筑基必备技能 我觉得,但凡是个成年人应该都清楚扎实的基本功对自己的工作帮助有多重要。从各大招聘网站的招聘要求来看,第一条都明确说明需要扎实的Java基础。因此,一般笔试以及面试的第一轮,对基础的考察是比较多的。 其实我发现有很多开发几年了,基础知识都不扎实,比如说,简单地介绍一下Java8有哪些新特性吗,或者你比较擅长的新特性有哪些?要么回答的不完整,要么就是回答的牛头不对马嘴。 配套学习文档 大厂必问并发编程: JVM深入拆解: 网络编程与高效IO: MySQL进阶: 面试必问数据
Java射实现序列原理
最新发布
03-30
Java射实现序列原理是利用Java射机制动态创建对象并设置属性值。在序列的过程中,首先读取序列数据,并解析出对象的类名、属性名和属性值等信息。然后根据类名使用射机制动态创建对象,再通过射...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值