Java反序列化入门和内置序列化示例

已于 2022-08-13 19:09:57 修改
阅读量578 收藏
点赞数
分类专栏: Java安全 文章标签: java 网络安全
于 2022-08-12 21:20:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42974824/article/details/126311656
版权

序列化由来

在网络上传递信息,通常用到一些格式化数据,例如Json、XML等。但是大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整形、浮点型、字符串、布尔等。如果开发者希望在传输数据的时候直接传输一个对象,就需要扩展基础的JSON(XML)语法。

比如Jsackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象;亦或者如RMI,直接使用Java等语言内置的序列化方法,将一个对象转换成一串二进制数据进行传输。

不管是Jackson、Fastjson还是编程语言内置的序列化方法,一旦涉及到序列化与反序列化数据,就可能会涉及到安全问题。

一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。即序列化是指把一个Java对象变成二进制内容,本质上就是一个byte[]数组。序列化后可以把byte[]保存到文件中,或者把byte[]通过网络传输到远程,这样,就相当于把Java对象存储到文件或者通过网络传输出去了。

将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,即把一个二进制内容(也就是byte[]数组)变回Java对象

安全性

因为Java的序列化机制可以导致一个实例能直接从byte[]数组创建,而不经过构造方法,因此,它存在一定的安全隐患。一个精心构造的byte[]数组被反序列化后可以执行特定的Java代码,从而导致严重的安全漏洞。

实际上,Java本身提供的基于对象的序列化和反序列化机制既存在安全性问题,也存在兼容性问题。更好的序列化方法是通过JSON这样的通用数据结构来实现,只输出基本类型(包括String)的内容,而不存储任何与代码相关的信息。

反序列化漏洞的攻击流程

  1. 客户端构造payload(有效载荷),并进行一层层的封装,完成最后的exp(exploit-利用代码)
  2. exp发送到服务端,进入一个服务端自主重写(也可能是也有组件重写)的readobject函数,它会反序列化恢复我们构造的exp去形成一个恶意的数据格式exp_1(剥去第一层)
  3. 这个恶意数据exp_1在接下来的处理流程(可能是在自主重写的readobject中、也可能是在外面的逻辑中),会执行一个exp_1这个恶意数据类的一个方法,在方法中会根据exp_1的内容进行函处理,从而一层层地剥去(或者说变形、解析)我们exp_1变成exp_2、exp_3…
  4. 最后在一个可执行任意命令的函数中执行最后的payload,完成远程代码执行。

那么以上大概可以分成三个主要部分:

  1. payload:需要让服务端执行的语句:比如说弹计算器还是执行远程访问等;
  2. 反序列化利用链:服务端中存在的反序列化利用链,会一层层拨开我们的exp,最后执行payload。(如commons-collections利用链)
  3. 重写readObject:服务端中存在的可以与我们漏洞链相接的并且可以从外部访问的readObject函数重写点

Java内置的序列化

Java内置的序列化方法readObject是将十六进制数据流转为对象的方法,更倾向于解决“反序列化时如何还原一个完整对象”。

Java在序列化时一个对象,将会调用这个对象中的 writeObject方法,参数类型是ObjectOutputStream ,开发者可以将任何内容写入这个stream中;反序列化时,会调用readObject,开发者也可以从中读取出前面写入的内容,并进行处理。

每个对象都可以重写自己的writeObjectreadObject方法。

Person person = new Person("杜子腾", 15);

try {
    FileOutputStream fileOutputStream = new FileOutputStream("D:\\person.ser");
    ObjectOutputStream outputStream = new ObjectOutputStream(fileOutputStream);
    outputStream.writeObject(person);//序列化
    outputStream.close();
    fileOutputStream.close();
} catch (Exception e) {
    e.printStackTrace();
}

try {
    FileInputStream fileInputStream = new FileInputStream("D:\\person.ser");
    ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
    objectInputStream.readObject();//反序列化
    objectInputStream.close();
    fileInputStream.close();
} catch (Exception e) {
    e.printStackTrace();
}

工具:SerializationDumper可以查看序列化的数据、ysoserial可以生成反序列化利用数据。

利用链

利用链也叫“gadget chains”,我们通常称为gadget。它连接的是从触发位置开始到执行命令的位置结束,在PHP里面可能是_desctructeval。gadget就是一种生成POC的方法。

杜子腾1
关注
专栏目录
Spring Boot进阶(46):解密Spring Boot和Jackson的完美结合:打造高效的JSON序列化方案
**My Coding Family**
06-15 1292
SpringBoot如何Jackson快速入门,一文教会你。
【go从入门到精通】go包,内置类型和初始化顺序
热门推荐
网易搬砖选手
03-02 5万+
go内置类型,包,包的初始化顺序精讲
java安全(五)java反序列化
weixin_45694388的博客
04-09 6395
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java等语言内置序列化方法,将一个对象转化成一串二进制
Java对象的序列化反序列化
刘成
09-18 189
一、序列化反序列化的概念把对象转换为字节序列的过程称为对象的序列化。    把字节序列恢复为对象的过程称为对象的反序列化。    对象的序列化主要有两种用途:   1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;   2) 在网络上传送对象的字节序列。在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的...
Java 反序列化
最新发布
sky123博客
09-09 1426
反序列化基础 Java序列化(Serialization)和反序列化(Deserialization)是将对象的状态转换为字节流并恢复的过程。这个过程使对象可以保存到文件、通过网络传输或保存到数据库中,并在稍后恢复成对象。 序列化(Serialization):将 Java 对象的状态转换为字节流的过程。这使得对象可以保存到文件、发送到其他 JVM 甚至通过网络传输。 反序列化(Deserialization):将字节流转换回 Java 对象的过程。这允许恢复先前序列化的对象状态。 序列化条件 要使
java反序列化_JAVA反序列化机制
weixin_34175388的博客
02-12 409
最近看了下JAVA反序列化机制,发现它还是比想像中的要兼容些。不过还是有一些陷阱,跨语言跨平台的协议才是王道。反序列化过程如下图:几个关键点:1.ObjectStreamClass的matchFields方法:此处会比较本地与序列化数据流中对象字段,对本地不存在的字段做过滤标识;如果本地存在同名但类型不同,则抛错。2.readOrdinaryObject的处理:会调用ObjectStreamCla...
Java反序列化学习
就爱喝酸奶的博客
07-22 3343
Java反序列化学习1.JAVA反射2.JAVA序列化反序列化3.漏洞分析3.1 Apache commons-collections3.1.1 ConstantTransformer3.1.2 InvokerTransformer3.1.3 ChainedTransformer3.1.4 TransformedMap.decorate()3.1.5 LazyMap3.2 构造POP3.2.1 ...
Java序列化反序列化
m0_73595522的博客
06-04 385
Java序列化反序列化
JS实现的JSON序列化操作简单示例
10-18
总结来说,JavaScript通过`JSON`对象提供的`stringify`和`parse`方法,能够帮助开发者轻松地完成JSON数据与JavaScript对象之间的序列化反序列化。了解这两个方法的用法以及在实际应用中可能遇到的细节问题,能显著...
java序列化原理与算法
11-28
Java序列化机制是Java语言中一项非常实用的功能,它极大地简化了对象在网络传输和持久化过程中的处理。通过深入了解序列化的原理和算法流程,开发者可以更好地利用这项技术解决实际问题。在未来的学习和工作中,掌握...
【进阶秘籍】:定制FastJson序列化反序列化技巧
!...# 1. FastJson简介与基本用法 FastJson是一个广泛使用的Java库,用于将对象转换成JSON格式字符串,以及将JSON格式的字符串转换成...本章节将带您初步认识FastJson,并介绍其基本的序列化反序列化用法。 ## 1.1 Fas
java开发小工具
08-03
NULL 博文链接:https://hyf20120411.iteye.com/blog/1983007
Java序列化和反序化
优秀的程序员不应该是CRUD
03-30 1023
一、什么是序列化反序列化 Java序列化就是指把Java对象转换为字节序列的过程 Java反序列化就是指把字节序列恢复为Java对象的过程。 二、为什么要把一个对象序列化 正常情况下,Java new出的对象,是保存在内存当中的,是不能持久化保存的,也不能直接在网络中传输,如何解决呢?就是把Java对象转换为byte字节数据,以字节的方式去实现持久化保存和网络传输。而反序列化,就是把须列化后的数据,重新恢复成内存中的Java对象。 总之,序列化,就是对一个Java对象的保存和重建的过程。 三、Java实现
java序列化反序列化详解_java序列化反序列化
m0_61041374的博客
04-07 427
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Java序列化反序列化(详解)
qq_62414755的博客
07-20 3万+
java序列化及可序列化讲解,代码清晰易懂。
java序列化反序列化详解
2401_83707780的博客
04-11 2300
如果默认的序列化机制不符合需求,可以通过实现和方法来自定义序列化反序列化的行为。Java序列化是一个复杂但强大的机制,允许开发者轻松地持久化和传输对象。虽然它对于简单的用途来说可能显得有些重,但它提供了一种标准方式来处理对象的深复制,以及对象状态的保存和恢复。正确使用Java序列化需要对其工作原理有深入的理解,尤其是在涉及版本控制和自定义序列化行为时。
Java序列化反序列化:对象与字节流的转换全面解析
Jz_Stu的博客
03-30 1863
Java开发中,序列化反序列化是一种核心机制,它们允许我们将复杂的Java对象序列化为一系列字节流,并将字节流反序列为对象,便于在网络传输、持久化存储或进程间通信时使用。本文将详细解释Java序列化反序列化的原理,通过实例演示如何进行对象与字节流的转换,并探讨为何需要使用序列化以及典型的应用场景。序列化反序列化Java中超级重要!它们能帮我们做啥呢?比如,在不同平台间通信时,序列化能将对象转成通用的字节流,让数据轻松传输,减少网络消耗,提升效率,还更稳定。
带你了解Java序列化(Serializable)与反序列化
陈哈哈的菜园子
03-25 2901
这篇可帮助你大体了解Java中的序列化(Serializable)。包括为什么需要它,如何工作,何时使用它,相关概念(serialVersionUID和transient)以及有关序列化反序列化的其他必要信息。本教程中的序列化示例保持简单,以帮助你理解要点。 目录1.为什么要进行Java序列化2.Java中的序列化如何工作2-1.什么是serialVersionUID常数2-2.什么是瞬时变...
初识Java反序列化
m0_71563599的博客
06-04 1639
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化反序列化的学习。大致内容如下:序列化反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值