中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

java反序列化原理-Demo(一)

發布時間:2020-07-18 12:21:00 來源:網絡 閱讀:56122 作者:wx5b0b88843cb2a 欄目:安全技術

java反序列化原理-Demo(一)

0x00 什么是java序列化和反序列?

Java 序列化是指把 Java 對象轉換為字節序列的過程便于保存在內存、文件、數據庫中,ObjectOutputStream類的 writeObject() 方法可以實現序列化。
Java 反序列化是指把字節序列恢復為 Java 對象的過程,ObjectInputStream 類的 readObject() 方法用于反序列化。

0x01 java反序列漏洞原理分析

首先先定義一個user類需繼承Serializable

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

}

編寫一個測試類,生成一個user對象,將其序列化后的字節保存在硬盤上,然后再讀取被序列化后的字節,將其反序列化后輸入user的name屬性

package test;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class test1 {
    public static void main(String[] args) {
        try {
            FileOutputStream out =new FileOutputStream("d:/1.bin");
            ObjectOutputStream obj_out = new ObjectOutputStream(out);
            user u = new user();
            u.setName("test");
            obj_out.writeObject(u);

            //利用readobject方法還原user對象
            FileInputStream in = new FileInputStream("d:/1.bin");
            ObjectInputStream ins = new ObjectInputStream(in);
            user u1 = (user)ins.readObject(); 

            System.err.println(u1.getName());
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

    }
}

運行后輸出name屬性:test
java反序列化原理-Demo(一)

為了構造一個反序列化漏洞,需要重寫user的readObjec方法,在改方法中彈出計算器:
重寫readObjec后的user類:

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException {
        in.defaultReadObject();
        Runtime.getRuntime().exec("calc.exe");
    }
}

java反序列化原理-Demo(一)

再次運行測試類,發現計算器已經彈出:
java反序列化原理-Demo(一)

只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可執行任意命令

0x02 總結

產生反序列化漏洞的前提是必須重寫繼承了Serializable類的readObjec方法

參考連接:
http://www.freebuf.com/vuls/170344.html

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

连南| 修武县| 阿巴嘎旗| 中卫市| 辽宁省| 涟水县| 安化县| 四川省| 蓬溪县| 禄丰县| 晋宁县| 襄樊市| 郎溪县| 酉阳| 水富县| 泌阳县| 团风县| 霍州市| 莫力| 平顶山市| 乌拉特中旗| 浙江省| 汉阴县| 滁州市| 简阳市| 沛县| 南乐县| 府谷县| 昌江| 阳泉市| 牡丹江市| 会理县| 廉江市| 天柱县| 东乡| 南京市| 舒城县| 南平市| 东乌珠穆沁旗| 平阴县| 铁岭县|