没真正学过java,对很多概念理解的不清晰。所以下面所有都是参考资料结合我自己的理解,可能存在错误。
1、为什么要序列化?
因为只有字节数据才能进行存储和传输,所以为了使对象(如class类)能够存储、传输,就需要将对象转成字节的形式
存储:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;或者不需要的时候就序列化对象后的数据存入磁盘,需要的时候就反序列还原对象进行调用,如cookie
传输:在网络上传送对象的字节序列,当A想要用B的对象时,那么需要将A对象进行序列化传输给B,B接收之后进行反序列化还原调用,
2、如何序列化和反序列化?
要求:Externalizable接口继承自Serializable接口,只有实现了Serializable和Externalizable接口类的对象才能被序列化,否则抛出异常,如:
class MyObject implements Serializable{}
对象MyObject实现了Serializable接口,可以序列化
序列化:调用ObjectOutputStream类的writeObject方法进行序列化,将对象转成字节,如:
String myObj = "imz";
//打开一个存储序列化数据的文件obj
FileOutputStream fos = new FileOutputStream("object");
//实例ObjectOutputStream对象,并包装一个文件输入流fos,使对象序列化之后存入object文件
ObjectOutputStream os = new ObjectOutputStream(fos);
//将myObj对象序列化,并写入object文件
os.writeObject(myObj);
os.close();
序列化后的数据,存储在object文件中
反序列化:调用ObjectInputStream类的readObject方法,将一串序列化数据通过反序列化还原
//读取object文件中的序列化数据
FileInputStream fis = new FileInputStream("object");
//实例化ObjectInputStream,并传入object中的序列化数据
ObjectInputStream ois = new ObjectInputStream(fis);
//调用readObject方法,将传入的序列化数据进行反序列化还原
Object flag = ois.readObject();
//打印还原之后的对象
System.out.println(flag);
ois.close();
执行之后,打印出原对象,说明反序列化成功
3、序列化数据的特征
java序列化数据16进制:
前两个字节总是以ac ed开头
之后的两个字节是版本号,一般情况是00 05
如果经过base64编码,则开头总是:rO0AB
base64编码后:
在测试过程中,可以通过观察这个序列来确定是java序列化的数据
4、为什么会产生反序列化漏洞
(1)初步理解反序列化漏洞产生 ——— 案例1
① 当程序需要接收来自外部的对象时,该对象时经过序列化处理的,那么接收之后就需要进行反序列化处理
② 当进行反序列化时就会调用ObjectInputStream类的readObject方法
③ 由于当一个类的方法被重写时,就会优先调用重写后的方法
④ 如果传入的序列化数据重写了readObject方法,并且重写之后的方法包含恶意的操作,那么就会执行方法里面的代码,构成恶意攻击
注意:这只是其中的一个案例,类似于PHP反序列化的魔术方法触发。漏洞的危害程度由漏洞自身而定,如远程代码执行
import java.io.*;
class test{
public static void main(String[] args) throws Exception{
//定义myObj对象,该对象重新了readObject方法,并调用系统命令打开记事本
MyObject myObj = new MyObject();
//序列化myObj对象,并写入object文件
FileOutputStream fos = new FileOutputStream("object");
ObjectOutputStream os = new ObjectOutputStream(fos);
os.writeObject(myObj);
os.close();
//从object文件中读取数据,并反序列化还原myObj对象
FileInputStream fis = new FileInputStream("object");
ObjectInputStream ois = new ObjectInputStream(fis);
//由于myObj对象重写了readObject方法,所以在调用该方法反序列化时,就触发了myObj对象里面的readObject方法,所以执行了exec命令
ois.readObject();
ois.close();
}
}
class MyObject implements Serializable{
public String flag;
//重写readObject()方法
private void readObject(java.io.ObjectInputStream flag) throws IOException, ClassNotFoundException{
//执行默认的readObject()方法
flag.defaultReadObject();
//执行打开计算器程序命令
System.out.println("imz");
Runtime.getRuntime().exec("notepad.exe");
}
}
成功执行Myobject对象的readObject方法里面的代码