亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

java反序列化原理-Demo(一)

發布時間:2020-07-18 12:21:00 來源:網絡 閱讀:56122 作者:wx5b0b88843cb2a 欄目:安全技術

java反序列化原理-Demo(一)

0x00 什么是java序列化和反序列?

Java 序列化是指把 Java 對象轉換為字節序列的過程便于保存在內存、文件、數據庫中,ObjectOutputStream類的 writeObject() 方法可以實現序列化。
Java 反序列化是指把字節序列恢復為 Java 對象的過程,ObjectInputStream 類的 readObject() 方法用于反序列化。

0x01 java反序列漏洞原理分析

首先先定義一個user類需繼承Serializable

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

}

編寫一個測試類,生成一個user對象,將其序列化后的字節保存在硬盤上,然后再讀取被序列化后的字節,將其反序列化后輸入user的name屬性

package test;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class test1 {
    public static void main(String[] args) {
        try {
            FileOutputStream out =new FileOutputStream("d:/1.bin");
            ObjectOutputStream obj_out = new ObjectOutputStream(out);
            user u = new user();
            u.setName("test");
            obj_out.writeObject(u);

            //利用readobject方法還原user對象
            FileInputStream in = new FileInputStream("d:/1.bin");
            ObjectInputStream ins = new ObjectInputStream(in);
            user u1 = (user)ins.readObject(); 

            System.err.println(u1.getName());
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

    }
}

運行后輸出name屬性:test
java反序列化原理-Demo(一)

為了構造一個反序列化漏洞,需要重寫user的readObjec方法,在改方法中彈出計算器:
重寫readObjec后的user類:

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException {
        in.defaultReadObject();
        Runtime.getRuntime().exec("calc.exe");
    }
}

java反序列化原理-Demo(一)

再次運行測試類,發現計算器已經彈出:
java反序列化原理-Demo(一)

只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可執行任意命令

0x02 總結

產生反序列化漏洞的前提是必須重寫繼承了Serializable類的readObjec方法

參考連接:
http://www.freebuf.com/vuls/170344.html

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

彭山县| 姜堰市| 明溪县| 新巴尔虎右旗| 保靖县| 垫江县| 石狮市| 北宁市| 舟山市| 洛浦县| 公主岭市| 大兴区| 关岭| 海南省| 和硕县| 蓬莱市| 忻城县| 大英县| 罗城| 伊通| 虎林市| 晋城| 湘西| 平果县| 连平县| 射阳县| 南汇区| 栾城县| 浦县| 龙游县| 黄陵县| 昂仁县| 南安市| 鄂尔多斯市| 托里县| 新龙县| 宁国市| 阿瓦提县| 平舆县| 房山区| 天台县|