java反序列化原理-Demo(一)

最新推荐文章于 2024-07-15 21:55:17 发布
最新推荐文章于 2024-07-15 21:55:17 发布
阅读量105 收藏
点赞数
原文链接:http://blog.51cto.com/13770310/2159203
版权

java反序列化原理-Demo(一)

0x00 什么是java序列化和反序列?

Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。
Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。

0x01 java反序列漏洞原理分析

首先先定义一个user类需继承Serializable

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

}

编写一个测试类,生成一个user对象,将其序列化后的字节保存在硬盘上,然后再读取被序列化后的字节,将其反序列化后输入user的name属性

package test;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class test1 {
    public static void main(String[] args) {
        try {
            FileOutputStream out =new FileOutputStream("d:/1.bin");
            ObjectOutputStream obj_out = new ObjectOutputStream(out);
            user u = new user();
            u.setName("test");
            obj_out.writeObject(u);

            //利用readobject方法还原user对象
            FileInputStream in = new FileInputStream("d:/1.bin");
            ObjectInputStream ins = new ObjectInputStream(in);
            user u1 = (user)ins.readObject(); 

            System.err.println(u1.getName());
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

    }
}

运行后输出name属性:test
java反序列化原理-Demo(一)

为了构造一个反序列化漏洞,需要重写user的readObjec方法,在改方法中弹出计算器:
重写readObjec后的user类:

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException {
        in.defaultReadObject();
        Runtime.getRuntime().exec("calc.exe");
    }
}

java反序列化原理-Demo(一)

再次运行测试类,发现计算器已经弹出:
java反序列化原理-Demo(一)

只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可执行任意命令

0x02 总结

产生反序列化漏洞的前提是必须重写继承了Serializable类的readObjec方法

参考连接:
http://www.freebuf.com/vuls/170344.html

转载于:https://blog.51cto.com/13770310/2159203

weixin_34341117
关注
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1043
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
Protocol Buffers实现Java 序列化和反序列化
caox_nazi的博客
08-19 844
Protocol Buffers实现Java 序列化和反序列化 【1】背景原理:(1):.Google Protocol Buffer 的使用和原理(2):Protocol Buffer技术详解(Java实例) 【2】定义数据结构:(1).proto文件 (2)保存文件PersonMsg.proto(注意文件名和里面的message名不要一样) syntax = "proto2...
JAVA反序列化漏洞基础原理
洋洋的小黑屋
05-11 1613
JAVA反序列化漏洞基础原理 1.1 什么是序列化和反序列化Java序列化是指把Java对象转换为字节序列的过程; Java反序列化是指把字节序列恢复为Java对象的过程; 1.2 为什么要序列化 对象不只是存储在内存中,它还需要在传输网络中进行传输,并且保存起来之后下次再加载出来,这时候就需要序列化技术。 Java的序列化技术就是把对象转换成一串由二进制字节组成的数组,然后将这二进制数据...
java反序列化_java反序列化原理-Demo(一)
weixin_39531378的博客
02-12 136
java反序列化原理-Demo(一)0x00 什么是java序列化和反序列?Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列...
java 序列化和反序列化的实现原理
weixin_42052662的博客
08-15 116
java 序列化和反序列化的实现原理 老是听说序列化反序列化,就是不知道到底什么是序列化,什么是反序列化?今天就在网上搜索学习一下,这一搜不要紧,发现自己曾经用过,竟然不知道那就是JDK类库中序列化和反序列化的API。 什么是序列化? –1--java序列化是指把java对象转换为字节序列的过程,而java反序列化是指把字节序列恢复为java对象的过程 –2--序列化:对象序列化的最主要的用处就是...
java反序列化原理,java反序列化的工作原理
weixin_34739699的博客
03-15 153
据我所知,没有调用Object的序列化类的构造函数,而是第一个非序列化构造函数的no-arg构造函数.现在考虑以下代码public class SerializeDemo implements Serializable {private String name;int age; //default 0public SerializeDemo(String name, boolean setA...
JAVA反序列化机制
bingobird
01-11 251
最近看了下JAVA反序列化机制,发现它还是比想像中的要兼容些。不过还是有一些陷阱,跨语言跨平台的协议才是王道。 反序列化过程如下图:  几个关键点: 1.ObjectStreamClass的matchFields方法:此处会比较本地与序列化数据流中对象字段,对本地不存在的字段做过滤标识;如果本地存在同名但类型不同,则抛错。 2.readOrdinaryObject的处理:会调用Obje...
Java反序列化回显解决方案.docx
10-26
Java序列化是指将对象的状态信息转换为可以存储或传输的形式的过程。相反,反序列化则是在适当的时候把这个流转换回原对象的过程。当应用程序接收来自不受信任源的数据并进行反序列化时,可能触发安全漏洞。例如,...
Java-FFT-Demo.rar_fft_fft java_fft java实现_java fft_java fft sour
09-23
通过深入研究和实践Java-FFT-Demo,开发者不仅可以掌握FFT的基本原理,还能了解到如何在实际项目中高效地实现和应用这一算法。对于学习数字信号处理、音频处理、图像处理或通信系统等领域的程序员来说,这是一个非常...
java-reflex-demo:java反射基础
05-17
在`java-reflex-demo-master`这个项目中,可能会包含以下内容: - 一个或多个示例类,用于演示反射的基本用法。 - 主函数或测试类,其中包含了实际的反射操作代码,如创建对象、调用方法和访问字段。 - 可能还包括...
JAVA序列化和反序列化的底层实现原理解析
08-25
主要介绍了JAVA序列化和反序列化的底层实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java反序列化原理-Demo(二)
weixin_34203426的博客
08-14 106
java反序列化原理-Demo(二) 0x00 测试代码以及运行结果 测试代码: package test; import java.io.ByteArrayInputStream; import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.ObjectInputStream; import ...
Java 反序列化原理与基础,URLDNS攻击链分析
weixin_49248030的博客
11-03 776
​ 序列化是指将对象转化为字节流,其目的是便于对象在内存、文件、数据库或者网络之间传递。反序列化则是序列化的逆过程,即字节流转化为对象的过程,通常是程序将内存、文件、数据库或者网络传递的字节流还原成对象。在 Java 原生的API 中,序列化的过程由 ObjectOutputStream 类的 writeObject()方法实现,反序列化过程由 ObjectInputStream 类的 readObject()方法实现。
java反序列化原理_Java 序列化和反序列化的底层原理
weixin_36051235的博客
02-27 1477
序列化和反序列化序列化是通过某种算法将存储于内存中的对象转换成可以用于持久化存储或者通信的形式的过程反序列化是将这种被持久化存储或者通信的数据通过对应解析算法还原成对象的过程,它是序列化的逆向操作为什么需要序列化前端请求后端接口数据的时候,后端需要返回 JSON 数据,这就是后端将 Java 堆中的对象序列化为了 JSON 数据传给前端,前端可以根据自身需求直接使用或者将其反序列化为 JS 对象R...
JAVA反序列化漏洞原理分析
qq_37019068的博客
10-12 7110
反序列化漏洞原理分析 从序列化和反序列化说起 什么是序列化和反序列化? 简单来讲,序列化就是把对象转换为字节序列(即可以存储或传输的形式)的过程,而反序列化则是他的逆操作,即把一个字节序列还原为对象的过程。 这两个操作一般用于对象的保存和网络传输对象的字节序列等场景。 举个例子:在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便减轻内存压力或便于长期保存。抑或是在高并发的环境下将一些对象序列化后保存,等到需要时调出,可减轻服务器的压力 Java中的序列化和反序列化Java
Java对象的序列化和反序列化原理
Devil丶LY
07-25 448
一、前言 本人java小白一枚,从零开始学习java有关的内容,本篇权当一个学习记录的过程,如果有什么不对的地方,欢迎各位留言。 二、什么是序列化和反序列化 (1)序列化:把Java对象转换为字节序列的过程。 (2)反序列化:把字节序列恢复为Java对象的过程。 三、为什么要进行序列化和反序列化 (1)持久化对象:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件夹中 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的Session对象
超详细:Java 反序列化漏洞的原理分析
CG国斌的博客
09-28 3475
世界上有三件事最难: - 把别人的钱装进自己的口袋里 - 把自己的想法装进别人的脑袋里 - 让自己的代码运行在别人的服务器上
(渗透学习)理解java反序列化漏洞原理---层序渐进
yang1234567898的博客
12-31 4322
1、为什么要序列化? 因为只有字节数据才能进行存储和传输,所以为了使对象(如class类)能够存储、传输,就需要将对象转成字节的形式 存储:不需要的时候就序列化对象后的数据存入磁盘,需要的时候就反序列还原对象进行调用 传输:当A想要用B的对象时,那么A需要将对象进行序列化传输给B,B接收之后进行反序列化还原调用 2、如何序列化和反序列化? 要求:只有实现了Serializable接口的对象才能被序列化,否则抛出异常,如: class MyObject implements Serializ
Java中的序列化与反序列化
最新发布
yuiezt的专栏
07-15 3223
序列化(Serialization)与反序列化(Deserialization)是编程中常见的两个概念,它们主要涉及到将数据结构或对象状态转换为可以存储或传输的格式,以及将存储或传输的格式转换回原始的数据结构或对象状态的过程。这两个过程在数据持久化、网络通信、对象深拷贝等多个场景中发挥着重要作用。
Java进阶:排序算法与泛型实现图形化演示
它的工作原理是:第一次从待排序的数据元素中选出最小(或最大)的一个元素,存放在序列的起始位置,然后再从剩余的未排序元素中寻找到最小(大)元素,然后放到已排序的序列的末尾。以此类推,直到全部待排序的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值