java反序列化入门_Java安全之反序列化(一)--基础篇

最新推荐文章于 2024-05-17 14:42:20 发布
最新推荐文章于 2024-05-17 14:42:20 发布
阅读量431 收藏
点赞数
文章标签: java反序列化入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42393272/article/details/114829498
版权

接下来执行序列化操作操作,将对象写入文件:

packagefanxuliehua;importjava.io.FileOutputStream;importjava.io.IOException;importjava.io.ObjectOutputStream;importjava.lang.reflect.Constructor;importjava.lang.reflect.Field;importjava.lang.reflect.Method;public classMain {public static voidmain(String [] args)

{

Employee e= newEmployee();

e.name= "小鬼";

e.address= "成都";

e.SSN= 2333;

e.number= 110;try{

FileOutputStream fileOut=

new FileOutputStream("D:\\/employee.ser");//序列化文件路径

ObjectOutputStream out = newObjectOutputStream(fileOut);

out.writeObject(e);//序列化写入对象

out.close();

fileOut.close();

}catch(IOException i)

{

i.printStackTrace();

}

}

}

然后我们去打开这个employee.ser文件看看

452f3b4ccea06f941f41e60b081f9641.png

aced 0005是16进制流中java序列化对象的标志,通常会在TCP流量中出现,如果是base64传输java序列化对象的标志则是rO0AB开头(aced0005经过base64编码的结果)或者是YWNlZCA开头(fastjson的POC中就可以看见这种base64编码方式),如果是字节码数据,则数据有可能是sr java.xxx.xxx 的样子。

接下来恢复这个对象:

packagefanxuliehua;importjava.io.FileInputStream;importjava.io.IOException;importjava.io.ObjectInputStream;public classMain {public static voidmain(String [] args)

{

Employee e= null;try{

FileInputStream fileIn= new FileInputStream("D:\\/employee.ser");

ObjectInputStream in= newObjectInputStream(fileIn);

e= (Employee) in.readObject();//readObject是从文件中读取对象的方法

in.close();

fileIn.close();

}catch(IOException i)

{

i.printStackTrace();return;

}catch(ClassNotFoundException c)

{

c.printStackTrace();return;

}

System.out.println("Deserialized Employee...");

System.out.println("Name: " +e.name);

System.out.println("Address: " +e.address);

System.out.println("SSN: " +e.SS

最低0.47元/天 解锁文章
星刊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Java反序列化]—Shiro反序列化(一)
snowlyzz的博客
12-05 7630
shiro -550 反序列化(一)
序列化与反序列化 - Java基础
Archie_Could的博客
08-22 7145
知识的广度来自知识的深度,学习如果不成体系那是多可怕的一件事儿,希望我们在未来的学习道路上坚守初心,不要给自己留下遗憾,以自己喜欢的方式生活,做自己喜欢做的事,宠爱自己,做一个独一无二的自己! 对于文章中出现的任何错误请大家批评指出,会及时做出修改! 有任何想要讨论和学习的问题可联系我:cittaksana@qq.com 序列化与反序列化 - Java基础一、序列化简介二、序列化的使用三、自定义序列化功能3.1 transient关键字的使用3.2 writeObject方法的使用3.3 readO.
shiro反序列化漏洞简述
xianyu9w的博客
03-24 1611
在一些面试以及攻防对抗中,总会碰到shiro反序列化的命令执行,于是给大家简单的科普一下。 Apache Shiro是一款开源企业常见JAVA安全框架,此框架提供了RememberMe的功能,这是很多网站都具备的,例如你登录了一个网站,关掉浏览器再次打开网站时,网站会保留你的登录信息情况。 首先,shiro处理cookie的流程是先得到rememberMe的cookie值,然后Base64解码,AES加密,最后反序列化。但是AES的密钥是硬编码的,攻击者可以通过构造payload造成反序列化的命令执行。
漏洞复现——shiro反序列化
小林说安全的博客
05-22 5294
漏洞复现——shiro反序列化
常见流量特征
最新发布
admin的博客
05-17 927
1、特殊关键字:SQL关键字,如SELECT, WHERE, ORDER BY, UNION, UPDATE,DELETE,INSERT等,这些通常用于构建或修改查询系统函数,如USER(), @@VERSION(在MySQL中),这些可能用于获取数据库版本或当前用户等敏感信息特定数据库的函数或特性,如information_schema(用于获取数据库结构信息)、extractvalue(XML相关函数,有时用于绕过某些过滤)、floor(在盲注中用于产生条件差异)等。
shiro反序列化漏洞的原理和复现
热门推荐
LJH1999ZN的博客
03-31 1万+
一、shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 二、shiro的身份认证工作流程 通过前端传入的值, 获取rememberMe cookie base64加密 AES加密 (对称加解密) 反序列化 三、shiro反序列化漏洞原理 AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6409
shiro反序列化漏洞
初识Java反序列化
m0_71563599的博客
06-04 1574
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
java 常用序列化和反序列化框架使用demo
07-16
将介绍几个常用的Java序列化和反序列化框架,并通过示例代码进行演示。 1. **Java标准序列化**: Java标准序列化通过实现`Serializable`接口来标记类可序列化。要序列化一个对象,可以使用`ObjectOutputStream...
hessian学习基础——序列化和反序列化
05-26
本文将深入探讨Hessian框架的基础知识,它是一个高效的二进制序列化协议,广泛应用于Java和.NET之间跨语言通信。通过学习Hessian,我们可以更有效地处理数据传输,提高应用性能。 首先,让我们理解什么是序列化。...
Java工程师成神之路(基础).zip
08-15
Java工程师成神之路(基础)》是阿里云开发者社区历经五年精心打造的一部Java学习宝典,旨在为Java初学者提供一个全面且深入的知识框架。这本书详细讲解了Java编程语言的基础概念、语法和核心特性,是每一位志在...
新手指南-序列化之三.docx
12-07
新手指南将深入讲解序列化的几个关键点,包括简单类、派生类、同源聚集类和异源聚集类的序列化。 首先,我们来看**序列化一个简单类**。一个简单类没有父类,也不包含其他类的实例。以`Point`类为例,它有两个...
Java_game_russia-Block.zip_java 俄罗斯方块 课程设计
09-19
文章将围绕“Java_game_russia-Block.zip”这一项目,详细介绍一个基于Java实现的网络版俄罗斯方块游戏的课程设计,以及其背后涉及的重要知识点。 首先,让我们理解项目的背景。这个课程设计旨在构建一个网络...
JAVA反序列化基础
qq_44029310的博客
08-05 939
本文包括:java序列化和反序列化基础知识和案例演示,案例包括转化为文件字符输出流并保存成文件的方式和通过ByteArrayOutputStream保存为字节数组的方式进行序列化和反序列化,使用Binary工具查看序列化后的文件和数据含义解释。......
java反序列化基础知识笔记
qq_43936524的博客
05-08 576
文章目录parse(),parseObject()的区别 parse(),parseObject()的区别
shiro反序列化
weixin_48776804的博客
05-12 1万+
shiro反序列化
Shiro反序列化漏洞【详细解析】
weixin_47536169的博客
09-01 1万+
Shiro是什么东西 Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 原理解释https://www.freebu...
Java反序列化基础入门
cike_y
03-28 653
Java反序列化入门笔记
Java编程:自定义序列化-Externalizable接口解析
"这资料主要涉及Java编程中的`Externalizable`接口和`RandomAccessFile`类,是Java PPT课程的一部分。`Externalizable`接口允许程序员自定义对象序列化和反序列化的具体过程,而`RandomAccessFile`类用于对文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值