java反序列化原理-Demo(一)
java反序列化原理-Demo(一)
0x00 什么是java序列化和反序列?
Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法能够实现序列化。
Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。html
0x01 java反序列漏洞原理分析
首先先定义一个user类需继承Serializablejava
package test;
import java.io.IOException;
import java.io.Serializable;
public class user implements Serializable {
private String name;
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
}
编写一个测试类,生成一个user对象,将其序列化后的字节保存在硬盘上,而后再读取被序列化后的字节,将其反序列化后输入user的name属性数据库
package test;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
public class test1 {
public static void main(String[] args) {
try {
FileOutputStream out =new FileOutputStream("d:/1.bin");
ObjectOutputStream obj_out = new ObjectOutputStream(out);
user u = new user();
u.setName("test");
obj_out.writeObject(u);
//利用readobject方法还原user对象
FileInputStream in = new FileInputStream("d:/1.bin");
ObjectInputStream ins = new ObjectInputStream(in);
user u1 = (user)ins.readObject();
System.err.println(u1.getName());
} catch (FileNotFoundException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (ClassNotFoundException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
运行后输出name属性:test
ide
为了构造一个反序列化漏洞,须要重写user的readObjec方法,在改方法中弹出计算器:
重写readObjec后的user类:测试
package test;
import java.io.IOException;
import java.io.Serializable;
public class user implements Serializable {
private String name;
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException {
in.defaultReadObject();
Runtime.getRuntime().exec("calc.exe");
}
}
再次运行测试类,发现计算器已经弹出:this
只须要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe便可执行任意命令code
0x02 总结
产生反序列化漏洞的前提是必须重写继承了Serializable类的readObjec方法htm
相关文章
- 1. java反序列化原理-Demo(二)
- 2. Java 反序列化漏洞原理
- 3. Java 序列化和反序列化的底层原理
- 4. java 反序列化
- 5. Java序列化的机制原理(一)
- 6. 【Java】Serializable序列化和反序列化
- 7. java序列化和反序列化
- 8. Java序列化与反序列化
- 9. Java 序列化与反序列化
- 10. Java 序列化 和 反序列化
- 更多相关文章...
- • BASE原理与最终一致性 - NoSQL教程
- • MyBatis的工作原理 - MyBatis教程
- • ☆技术问答集锦(13)Java Instrument原理
- • Java Agent入门实战(三)-JVM Attach原理与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
欢迎关注本站公众号,获取更多信息
相关文章
- 1. java反序列化原理-Demo(二)
- 2. Java 反序列化漏洞原理
- 3. Java 序列化和反序列化的底层原理
- 4. java 反序列化
- 5. Java序列化的机制原理(一)
- 6. 【Java】Serializable序列化和反序列化
- 7. java序列化和反序列化
- 8. Java序列化与反序列化
- 9. Java 序列化与反序列化
- 10. Java 序列化 和 反序列化