Java反序列化梳理

最新推荐文章于 2024-07-12 16:26:30 发布
最新推荐文章于 2024-07-12 16:26:30 发布
阅读量145 收藏
点赞数
分类专栏: Java安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zirandu/article/details/120147585
版权

关键点: 控制数据类型,就能控制程序流程

         序列化是一种结构化数据,而Java的类也是一种结构化数据,类的设计因为加入很多限定有public、private之分,Java的反射又打破了这种限定,使得本来根植于代码或编译程序中的边界逻辑得以打破,让程序执行方向、流程得以改变。例如: ysoserial中的URLDNS,通过 Reflections.setFieldValue(u, "hashCode", -1); 将私有的hashCode设置为-1,从而在反序列化过程中改变数据流程导致远程代码执行,正常流程中在类的设计中是不能执行到该步骤的。

0x01 Java反序列化梳理

https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

序号类型格式说明
01Java Native SerializationBinary通用利用,原生,ysoserial为工具
02XMLEncoderXML
03XStreamXML/JSON/various
04KryoBinary
05Hessian/BurlapBinary/XML
06CastorXML
07json-ioJSON
08JacksonJSON
09FastjsonJSON
10GensonJSON
11FlexjsonJSON
12JoddJSON
13Red5 IO AMFAMF
14Apache Flex BlazeDSAMF
15Flamingo AMFAMF
16GraniteDSAMF
17WebORB for JavaAMF
18SnakeYAMLYAML
19jYAMLYAML
20YamlBeansYAML
21"Safe" deserialization

JAXB

XmlBeans

Jibx

Protobuf

GSON

GWT-RPC

0x02 CVEs总结

https://github.com/PalindromeLabs/Java-Deserialization-CVEs

Java Deserialization CVEs - quantity by year

0xA0 参考

Java-Deserialization-Cheat-Sheet

https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

Java-Deserialization-CVEs

https://github.com/PalindromeLabs/Java-Deserialization-CVEs

phantom0409
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的...Java序列化常应用于RMI(Java Remote Method Invocatio, 远程方法调用), JMX(Java Management Exten
【白雪红叶】JAVA学习技术栈梳理思维导图.xmind
04-25
序列化 nIo 匿名类 包装类 优先级 引用 语言工具类库 容器类 集合 链表 map 工具类 系统类 日期类 数字类 字符串+正则 流 字符流 字节流 语言特性 继承 封装 多态 JVM 多线程与并发 GC...
spark kryo java_Spark 配置Kryo序列化机制
weixin_35897007的博客
02-16 306
一、Spark 的序列化序列化Spark 是一个高性能、分布式的、基于内存计算的计算引擎,Spark 集群中包含多个节点,各节点之间要进行通信(比如数据传输,Spark 通过 RPC 进行节点间的通信),因而必定存在序列化(对象转字节数组)和反序列化(字节数组转对象)。二、Java Serialization 和 Kryo SerializationSpark 目前支持两种序列化机制:java n...
Dubbo中使用高效的Java序列化(Kryo和FST)
weixin_30556161的博客
02-18 1578
完善中…… TODO 生成可点击的目录 目录 序列化漫谈 启用Kryo和FST 注册被序列化类 无参构造函数和Serializable接口 序列化性能分析与测试 测试环境 测试脚本 Dubbo RPC中不同序列化生成字节大小比较 Dubbo RPC中不同序列化响应时间和吞吐量对比 未来 序列化漫谈 dubbo RPC是dubbo体系中最核心的一种高性...
java reflections_Reflections.java反射工具类 | 学步园
weixin_29577885的博客
02-24 2320
import java.lang.reflect.Field;import java.lang.reflect.InvocationTargetException;import java.lang.reflect.Method;import java.lang.reflect.Modifier;import java.lang.reflect.ParameterizedType;import ja...
java Serialization 相关问题
Amarone'blog
09-09 606
注:如果您发现任何不正确的内容,或者您想要分享有关本文主题的更多信息,请撰写评论或联系我 15340938921@163.com。 以下整理文章参考《java编程思想第四版》《EffectiveJava》oracle java官网 以及部分博客 以下环境基于 windows 10 java version “1.8.0_171” 文中代码可能不太严谨,直供研究测试使用! http://zjl...
java反序列化-URLDNS
GalaxySpaceX的博客
02-23 230
java反序列化-URLDNS分析
Java反序列化2-CommonCollections利用链分析
weixin_43263451的博客
07-01 789
首先这篇文章不是出自yso中cc1的payload,该篇利用的是TransformedMap。以下是主要的参考文章汇总:https://www.yuque.com/tianxiadamutou/zcfd4v/hsh32p#3b11f6b6https://xz.aliyun.com/t/7031#toc-8p牛-代码审计-Java漫谈首先我会分析POC的核心代码,然后讲解为什么其他方式不行,最后为了提高漏洞利用的普适程度,引出POC的全部代码。总体思路: 0x01 实验环境 本次的实验环境是jdk1.7的7u
Java反序列化之ysoserial URLDNS模块分析
2401_85112308的博客
06-19 260
首先ysoserial获取外面传入的参数,并赋值给对应的变量。接着执行,根据全限定类名,获取对应的Class类对象。然后通过反射创建Class类对应的对象,走完这句代码,URLDNS对象创建完成。接着执行URLDNS对象中的getObject方法。getObject方法中:创建了URLStreamHandler对象,该对象的作用,后面我们会详细说到。接着:创建了HashMap对象:URL对象:将URL对象作为HashMap中的key,dnslog地址为值,存入HashMap中。
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 853
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
java序列化与反序列化概念
如风
12-02 143
今天在梳理java序列化问题时在网上发现一篇不错的文章,以下是原博文内容: 遇到这个 Java Serializable 序列化这个接口,我们可能会有如下的问题 a,什么叫序列化和反序列化 b,作用。为啥要实现这个 Serializable 接口,也就是为啥要序列化 c,serialVersionUID 这个的值到底是在怎么设置的,有什么用。有的是1L,有的是一长串数字,迷惑ing。 我刚...
Java课堂笔记、代码、java核心知识点梳理java笔试面试资料.zip
01-03
Java核心技术:如多线程、网络编程、序列化等都有详细的解释和示例。 常用框架:如Spring、MyBatis等框架的使用方法和内部原理都有涉及。 数据库相关:包括关系型数据库和非关系型数据库的使用,以及JDBC、MyBatis等...
Java知识框架梳理,常见的面试题整理和一些工作过程中的实践
06-29
Java的Socket编程允许我们构建网络通信应用,包括TCP和UDP协议的使用,服务器端和客户端的交互,以及数据的序列化和反序列化。理解网络模型和协议是开发网络应用的基础。 六、I/O流 Java I/O流处理包括字符流和字节...
Java 技术知识
01-08
序列化是将对象转换为字节流的过程,便于存储和网络传输,反序列化则相反。 最后,Java的框架和库如Spring、MyBatis、Hibernate等也是Java开发者必须掌握的技术。Spring是全面的企业级应用框架,提供依赖注入、AOP...
配置Java开发环境
Broken_x的博客
07-10 1620
Java开发环境配置
java集合工具类
最新发布
药的博客
07-12 486
【代码】java集合工具类。
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 582
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
Java方法练习-双色球彩票系统
T1798218285的博客
07-11 314
红色球号码从1-33中选择;蓝色球号码从1-16中选择。投注号码由6个红色球号码和1个蓝色球号码组成。三等奖 5+1 / 5+0 3000。四等奖4+1 / 4+0 200。六等奖1+1 / 1+0 5。一等奖6+1 1000w。二等奖6+0 500w。五等奖3+1 / 2+1。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值