java序列化与反序列化

最新推荐文章于 2023-07-27 09:03:54 发布
最新推荐文章于 2023-07-27 09:03:54 发布
阅读量133 收藏
点赞数
文章标签: java jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuqing263504319/article/details/130118273
版权

序列化与反序列化

​ 序列化就是将一个对象转化为二进制内容,并且进行持久化存储或者网络传输过程。反序列化从文件或者网络读入二进制序列并且将其转化为Java对象。

​ 一个对象要实现序列化必须实现java.io.Serializable接口。Serializable无任何方法,只是一个**“标记接口”(Marker Interface)**,或者实现 java.io.Externalizable接口的方法。同时java对象中支持在类中定义如下函数:

private void writeObject(java.io.ObjectOutputStream out) throws IOException
private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException;

​ 这两个函数不是java.io.Serializable的接口函数,而是约定的函数,如果一个类实现了这两个函数,那么在序列化和反序列化的时候ObjectInputStream.readObject()和ObjectOutputStream.writeObject()会主动调用这两个函数。这也是反序列化漏洞产生的根本原因

序列化步骤

  1. 创建一个ObjectOutputStream输出流;
  2. 调用ObjectOutputStream对象的writeObject输出可序列化对象

反序列化步骤

  1. 创建一个ObjectInputStream输入流;
  2. 调用ObjectInputStream对象的readObject()得到序列化的对象。

序列化和反序列化的样例代码如下:
Payload实现了Serializable 并且自定义了readObject和writeObject方法

//Payload.java 
public class Payload implements Serializable {

    private String msg;


    public Payload() {
    }

    public Payload(String msg) {
        this.msg = msg;
    }

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }


    public String say() {
        return "Hello " + msg;
    }
			
     /**
     * 自定义反序列化逻辑,实现rce
     * @param objectInputStream
     * @throws IOException
     */
    private void readObject(ObjectInputStream objectInputStream) throws IOException{
        System.out.println("do serialize....");
        Process result = Runtime.getRuntime().exec("ifconfig");

        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(result.getInputStream()));
        do{
            System.out.println(bufferedReader.readLine());
        }while (bufferedReader.readLine() != null);
    }

    private void writeObject(ObjectOutputStream objectOutputStream) throws IOException{
        System.out.println("do deserialize....");
    }
}

// SerializeDemo.java
public class SerializeDemo {
    String outName = "123.ser";
    byte[] payloadBytes;

    public void serialize() throws Exception {

        Payload payload = new Payload("world");
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream(outName));
        objectOutputStream.writeObject(payload);
    }
    public void serializeByte() throws Exception{
        Payload payload = new Payload("world2");
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);

        objectOutputStream.writeObject(payload);
        payloadBytes = byteArrayOutputStream.toByteArray();

        objectOutputStream.close();
        byteArrayOutputStream.close();
        System.out.println(Arrays.toString(payloadBytes));
    }
    public Object deserialize() throws Exception {
        FileInputStream fileInputStream = new FileInputStream(outName);
        ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
        return objectInputStream.readObject();
    }
    public Object deserializeBytes() throws Exception{
        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(payloadBytes);
        ObjectInputStream objectInputStream  = new ObjectInputStream(byteArrayInputStream);
        return objectInputStream.readObject();
    }
    public static void main(String[] args) throws Exception {
        SerializeDemo demo = new SerializeDemo();
//        System.out.println("serialize finished ...");
//        Payload payload = (Payload) demo.deserialize();
//        System.out.println("deserialize finished ...");
//
//        String result = payload.say();
//        System.out.println("result is: " + result);

        demo.serializeByte();
        Payload payload1 = (Payload) demo.deserializeBytes();

        String result1 = payload1.say();
        System.out.println("result is: " + result1);
    }

识别序列化数据

//序列化后的对象,数据一般以 aced开头
AC ED:STREAM_MAGIC,声明使用了序列化协议,从这里可以判断保存的内容是否为序列化数据。
00 05:STREAM_VERSION,序列化协议版本。

或者使用hexdump查看
> xxd 123.ser
00000000: aced 0005 7372 0011 636f 6d2e 7274 7975  ....sr..com.rtyu
00000010: 792e 5061 796c 6f61 64c9 8f6b 4fbb efb7  y.Payload..kO...
00000020: 7d02 0001 4c00 036d 7367 7400 124c 6a61  }...L..msgt..Lja
00000030: 7661 2f6c 616e 672f 5374 7269 6e67 3b78  va/lang/String;x
00000040: 7074 0005 6865 6c6c 6f                   pt..hello

反序列化漏洞

Java的反序列化机制可以导致一个实例能直接从byte[]数组创建,而不经过构造方法,因此,它存在一定的安全隐患。一个精心构造的byte[]数组被反序列化后可以执行特定的Java代码,从而导致严重的安全漏洞。

如下:

   /**
     * 自定义反序列化,实现rce
     * @param objectInputStream
     * @throws IOException
     */
    private void readObject(ObjectInputStream objectInputStream) throws IOException{
        System.out.println("do serialize....");
        Process result = Runtime.getRuntime().exec("ifconfig");

        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(result.getInputStream()));
        do{
            System.out.println(bufferedReader.readLine());
        }while (bufferedReader.readLine() != null);
    }

漏洞挖掘

代码审计

​ java是支持自定义readObject与writeObject方法的,只要某个类中按照特定的要求实现了readObject方法,那么在反序列化的时候就会自动调用它。需要格外关注自定义readObject方法的类调用关系或者实现java.io.Externalizable接口的类调用关系。

web黑盒探测

  1. 通过http请求的Content-Type,具体来说ContentType: application/x-java-serialized-object 是序列化请求的请求头

  2. 检查请求数据的开头是否是 0xaced,有时候序列化请求不存在正确的content-type,此时需要根据数据来判断是否是序列化请求

rtyuy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java多种方式自定义序列化_Java 序列化反序列化
weixin_39549852的博客
02-28 370
1、什么是序列化?为什么要序列化Java 序列化就是指将对象转换为字节序列的过程,而反序列化则是只将字节序列转换成目标对象的过程。我们都知道,在进行浏览器访问的时候,我们看到的文本、图片、音频、视频等都是通过二进制序列进行传输的,那么如果我们需要将Java对象进行传输的时候,是不是也应该先将对象进行序列化?答案是肯定的,我们需要先将Java对象进行序列化,然后通过网络,IO进行传输,当到达目的地...
Java 自定义序列化反序列化
weixin_30512043的博客
05-26 132
1、如果某个成员变量是敏感信息,不希望序列化到文件/网络节点中,比如说银行密码,或者该成员变量所属的类是不可序列化的, 可以用 transient 关键字修饰此成员变量,序列化时会忽略此成员变量。 1 class VipUser{ 2 private int id; 3 private String name; 4 //序列化时,此成员变量不会写入到磁盘...
java自定义序列化_自定义序列化反序列化java实现详解
weixin_39686230的博客
02-17 137
import java.io.*;/*** Created by jingqing.zhou on 2015/6/12.* ByteArrayOutputStream :可以捕获内存缓冲区的数据,转换成字节数组。* DataInputStream&DataOutputStream关心如何将数据从高层次的形式转化成低层次的形式.* FileInputStream&FileOutput...
Java自定义序列化行为解析
幸福的懦夫
04-26 213
正常情况下,一个类实现java序列化很简单,只需要implements Serializable接口即可,之后该类在跨jvm的传输过程中会遵照默认java序列化规则序列化反序列化;不同jvm版本之间序列化方式稍有不同,但基本上都是兼容的。在某些特殊情况下,可能需要自定义序列化反序列化的行为,看下面例子:   class AbstractSerializeDemo { p...
自定义Java序列化反序列化
talentluke的专栏
04-08 187
  要想将父类对象也序列化,就需要让父类也实现Serializable 接口。如果父类不实现的话的,就 需要有默认的无参的构造函数。在父类没有实现 Serializable 接口时,虚拟机是不会序列化父对象的,而一个 Java 对象的构造必须先有父对象,才有子对象,反序列化也不例外。所以反序列化时,为了构造父对象,只能调用父类的无参构造函数作为默认的父对象。   如果子类实现了java....
java 序列化反序列化的实例详解
08-29
java 序列化反序列化的实例详解 Java 序列化反序列化Java 编程语言中的一种机制,允许将 Java 对象转换为字节序列,并将其反序列化Java 对象。序列化是指将 Java 对象转换为字节序列的过程,而反序列化是...
深入分析Java序列化反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
Java序列化反序列化三种格式存取
12-22
 Java中的序列化(serialization)机制能够将一个实例对象的状态信息写入到一个字节流中,使其可以通过socket进行传输、或者持久化存储到数据库或文件系统中;然后在需要的时候,可以根据字节流中的信息来重构一个...
java序列化反序列化操作实例分析
09-01
以下是一些关键的Java序列化反序列化的API及它们的作用: 1. `ObjectOutputStream`: 这个类用于将Java对象写入输出流。在这个例子中,`new ObjectOutputStream(new FileOutputStream("D:/objectFile.obj"))`创建...
详解Java 序列化反序列化(Serialization)
08-26
Java 序列化反序列化(Serialization)知识点总结 Java 序列化反序列化Java 语言中的一种机制,用于将对象的状态信息转化为可以存储或者传输的形式的过程。序列化(Serialization)是将对象的状态信息转化为...
Java中对象序列化反序列化详解
09-03
本文将深入探讨Java中的对象序列化反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
Java序列化反序列化的实例分析讲解
08-26
Java序列化是将Java对象转换为字节流的过程,以便持久化存储或在网络间传输。这一过程的关键在于,对象必须实现`java.io.Serializable`接口,表明它可以被序列化。`Serializable`接口本身没有任何方法和变量,它仅仅...
JAVA序列化反序列化的底层实现原理解析
08-25
(2)若User类仅仅实现了Serializable接口,并且还定义了readObject(ObjectInputStream in)和writeObject(ObjectOutputSteam out),则采用以下方式进行序列化反序列化。ObjectOutputStream调用User对象的...
java序列化反序列化,面试必备
12-21
Java序列化反序列化Java开发中常见且重要的概念,尤其在面试中常常被问及。序列化是指将一个Java对象转化为字节序列的过程,这样可以将对象的状态持久化到磁盘上或者在网络中进行传输。反序列化则是相反的过程,...
Java实现序列化反序列化的简单示例
09-02
Java序列化反序列化Java编程中一个重要的概念,它允许我们将Java对象转换为字节序列,以便存储或在网络中传输。这个过程对于数据持久化、远程对象传输以及跨平台交互具有重要意义。 1. Java序列化Java序列化...
java自定义序列化_自定义序列化反序列化java实现
weixin_39548541的博客
02-12 133
packagej2se.IO;importjava.io.*;/***Createdbyjingqing.zhouon2015/6/12.*ByteArrayOutputStream:可以捕获内存缓冲区的数据,转换成字节数组。*DataInputStream&DataOutputStream关心如何将数据从高层次的形式转化成低层次的形式.*FileInputStrea...
自定义序列化反序列化java实现
weixin_34117211的博客
06-12 141
2019独角兽企业重金招聘Python工程师标准>>> ...
JAVA序列化反序列化
星空的星星的博客
07-15 152
能够将java对象持久的保存在硬盘上,即使JVM关闭了对象也不会丢失,当想再次使用时,只需要进行反序列化就行。若不想某些变量被序列化可以使用transient关键字。
Java——序列化反序列化
最新发布
m0_64363449的博客
07-27 614
延续上一部分,刚刚我们明白了ArrayList序列化数组元素的原理。如何自定义序列化反序列化策略?答:可以通过在被序列化的类中增加writeObject 和 readObject方法。那么问题又来了:虽然ArrayList中写了writeObject 和 readObject 方法,但是这两个方法并没有显示的被调用啊。那么如果一个类中包含writeObject 和 readObject 方法,那么这两个方法是怎么被调用的呢?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值