java反序列化原理-Demo（一）

0x00 什么是java序列化和反序列？

Java 序列化是指把 Java 對(duì)象轉(zhuǎn)換為字節(jié)序列的過(guò)程便于保存在內(nèi)存、文件、數(shù)據(jù)庫(kù)中，ObjectOutputStream類(lèi)的 writeObject() 方法可以實(shí)現(xiàn)序列化。
Java 反序列化是指把字節(jié)序列恢復(fù)為 Java 對(duì)象的過(guò)程，ObjectInputStream 類(lèi)的 readObject() 方法用于反序列化。

創(chuàng)新互聯(lián)建站專(zhuān)注于普陀企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站建設(shè),商城建設(shè)。普陀網(wǎng)站建設(shè)公司,為普陀等地區(qū)提供建站服務(wù)。全流程按需搭建網(wǎng)站，專(zhuān)業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)建站專(zhuān)業(yè)和態(tài)度為您提供的服務(wù)

0x01 java反序列漏洞原理分析

首先先定義一個(gè)user類(lèi)需繼承Serializable

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

}   

編寫(xiě)一個(gè)測(cè)試類(lèi)，生成一個(gè)user對(duì)象，將其序列化后的字節(jié)保存在硬盤(pán)上，然后再讀取被序列化后的字節(jié)，將其反序列化后輸入user的name屬性

package test;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class test1 {
    public static void main(String[] args) {
        try {
            FileOutputStream out =new FileOutputStream("d:/1.bin");
            ObjectOutputStream obj_out = new ObjectOutputStream(out);
            user u = new user();
            u.setName("test");
            obj_out.writeObject(u);

            //利用readobject方法還原user對(duì)象
            FileInputStream in = new FileInputStream("d:/1.bin");
            ObjectInputStream ins = new ObjectInputStream(in);
            user u1 = (user)ins.readObject(); 

            System.err.println(u1.getName());
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

    }
}

運(yùn)行后輸出name屬性：test

為了構(gòu)造一個(gè)反序列化漏洞，需要重寫(xiě)user的readObjec方法，在改方法中彈出計(jì)算器：
重寫(xiě)readObjec后的user類(lèi)：

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException {
        in.defaultReadObject();
        Runtime.getRuntime().exec("calc.exe");
    }
}   

再次運(yùn)行測(cè)試類(lèi)，發(fā)現(xiàn)計(jì)算器已經(jīng)彈出：

只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可執(zhí)行任意命令

0x02 總結(jié)

產(chǎn)生反序列化漏洞的前提是必須重寫(xiě)繼承了Serializable類(lèi)的readObjec方法

參考連接：
http://www.freebuf.com/vuls/170344.html

文章標(biāo)題：java反序列化原理-Demo（一）
文章地址：http://chinadenli.net/article16/jgcgdg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、App開(kāi)發(fā)、標(biāo)簽優(yōu)化、定制網(wǎng)站、網(wǎng)站制作、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)