java反序列化原理-Demo（一）（java序列化和反序列化例子）

java反序列化原理-Demo（一）（java序列化和反序列化例子）

java反序列化原理-Demo（一）

0x00 什么是java序列化和反序列？

Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。Java 反序列化是指把字节序列恢复为 Java 对象的过程，ObjectInputStream 类的 readObject() 方法用于反序列化。

0x01 java反序列漏洞原理分析

首先先定义一个user类需继承Serializable

package test; import java.io.IOException; import java.io.Serializable; public class user implements Serializable { private String name; public String getName() { return name; } public void setName(String name) { this.name = name; } }

编写一个测试类，生成一个user对象，将其序列化后的字节保存在硬盘上，然后再读取被序列化后的字节，将其反序列化后输入user的name属性

package test; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; public class test1 { public static void main(String[] args) { try { FileOutputStream out =new FileOutputStream("d:/1.bin"); ObjectOutputStream obj_out = new ObjectOutputStream(out); user u = new user(); u.setName("test"); obj_out.writeObject(u); //利用readobject方法还原user对象 FileInputStream in = new FileInputStream("d:/1.bin"); ObjectInputStream ins = new ObjectInputStream(in); user u1 = (user)ins.readObject(); System.err.println(u1.getName()); } catch (FileNotFoundException e) { // TODO Auto-generated catch block e.printStackTrace(); } catch (IOException e) { // TODO Auto-generated catch block e.printStackTrace(); } catch (ClassNotFoundException e) { // TODO Auto-generated catch block e.printStackTrace(); } } }

为了构造一个反序列化漏洞，需要重写user的readObjec方法，在改方法中弹出计算器：重写readObjec后的user类：

package test; import java.io.IOException; import java.io.Serializable; public class user implements Serializable { private String name; public String getName() { return name; } public void setName(String name) { this.name = name; } private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException { in.defaultReadObject(); Runtime.getRuntime().exec("calc.exe"); } }

只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可执行任意命令

0x02 总结

产生反序列化漏洞的前提是必须重写继承了Serializable类的readObjec方法

参考连接：http://freebuf.com/vuls/170344.html

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。