转载

Java反序列化学习 

@Author: Patrilic @Time: 2020-3-18 11:26:55

Java反序列化学习

0x00 前言

Java中只需要实现 java.io.Serializable 或者 java.io.Externalizable 接口即可执行序列化操作

0x01 构造序列化/反序列化操作

构造一个调用类,其中,Exployee类实现了 java.io.Serializable 接口 : 

package com.patrilic.testSer;

public class Employee implements java.io.Serializable
{
   public String name;
   public String identify;
   public void mailCheck()
   {
      System.out.println("This is the "+this.identify+" of our company");
   }
}

序列化操作, 在调用Employee类时,所有的数据都会被序列化 

package com.patrilic.testSer;
import com.patrilic.testSer.Employee;

//import com.sun.xml.internal.bind.v2.runtime.unmarshaller.XsiNilLoader.Array;
import java.io.*;
public class Step1 {
   public static void main(String [] args) {
      Employee e = new Employee();
      e.name = "员工甲";
      e.identify = "General staff";
      try {
        // 打开一个文件输入流
         FileOutputStream fileOut =
         new FileOutputStream("/tmp/test.db");
         // 建立对象输入流
         ObjectOutputStream out = new ObjectOutputStream(fileOut);
         //输出反序列化对象
         out.writeObject(e);
         out.close();
         fileOut.close();
         System.out.printf("Serialized data is saved in /tmp/test.db");
      }catch(IOException i)
      {
          i.printStackTrace();
      }
   }
}

反序列化操作 

package com.patrilic.testSer;
import java.io.*;
public class Step2
{
   public static void main(String [] args)
   {
	  
      Employee e = null;
      try
      {
        // 打开一个文件输入流
         FileInputStream fileIn = new FileInputStream("/tmp/test.db");
        // 建立对象输入流
         ObjectInputStream in = new ObjectInputStream(fileIn);
        // 读取对象
         e = (Employee) in.readObject();
         in.close();
         fileIn.close();
      }catch(IOException i)
      {
         i.printStackTrace();
         return;
      }catch(ClassNotFoundException c)
      {
         System.out.println("Employee class not found");
         c.printStackTrace();
         return;
      }
      System.out.println("Deserialized Employee...");
      System.out.println("Name: " + e.name);
      System.out.println("This is the "+e.identify+" of our company");


    }
}

Java反序列化学习

0x02 反序列化漏洞

Java反序列化中,会调用被反序列化的readObject方法,如果readObject方法是恶意的,那么就会引发漏洞

Demo 

package com.patrilic.testSer;
import java.io.*;

public class test{
    public static void main(String args[]) throws Exception{

        UnsafeClass Unsafe = new UnsafeClass();
        Unsafe.name = "hacked by ph0rse";

        FileOutputStream fos = new FileOutputStream("object");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        //writeObject()方法将Unsafe对象写入object文件
        os.writeObject(Unsafe);
        os.close();
        //从文件中反序列化obj对象
        FileInputStream fis = new FileInputStream("object");
        ObjectInputStream ois = new ObjectInputStream(fis);
        //恢复对象
        UnsafeClass objectFromDisk = (UnsafeClass)ois.readObject();
        System.out.println(objectFromDisk.name);
        ois.close();
    }
}

class UnsafeClass implements Serializable{
    public String name;
    //重写readObject()方法
    private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException{
        //执行默认的readObject()方法
        in.defaultReadObject();
        //执行命令
        System.out.println("my First!");
        Runtime.getRuntime().exec("open -a Calculator.app");
    }
}

这里进行反序列化操作时,使用 ObjectInputStream 读取序列化文件,然后调用了 readObject() , 当然就会成功的执行命令

Java反序列化学习

并且确实是先执行了readObject类的操作,然后再进行 System.out.println(name)

ObjectInputStream && ObjectOutputStream

序列化对象: java.io.ObjectOutputStream -> writeObject()

反序列化对象: java.io.ObjectInputStream -> readObject()

也就是说在序列化类时,就会自动去

Serializable

Java反序列化学习

java.io.Serializable接口是空接口,仅仅用于表示这个类可序列化 

package com.patrilic.demo;
import java.io.*;
import java.util.Arrays;
public class DeserializationTest implements Serializable {
    private String username;
    private String email;
    public String getUsername() {
		return username;
	}
	public void setUsername(String username) {
		this.username = username;
	}
	public String getEmail() {
		return email;
	}
	public void setEmail(String email) {
		this.email = email;
	}
	
    public static void main(String[] args) {
        ByteArrayOutputStream baos = new ByteArrayOutputStream();

        try {
            // 创建DeserializationTest类,并类设置属性值
            DeserializationTest t = new DeserializationTest();
            t.setUsername("Patrilic");
            t.setEmail("admin@patrilic.top");

            // 创建Java对象序列化输出流对象
            ObjectOutputStream out = new ObjectOutputStream(baos);

            // 序列化DeserializationTest类
            out.writeObject(t);
            out.flush();
            out.close();

            // 打印DeserializationTest类序列化以后的字节数组,我们可以将其存储到文件中或者通过Socket发送到远程服务地址
            System.out.println("DeserializationTest类序列化后的字节数组:" + Arrays.toString(baos.toByteArray()));

            // 利用DeserializationTest类生成的二进制数组创建二进制输入流对象用于反序列化操作
            ByteArrayInputStream bais = new ByteArrayInputStream(baos.toByteArray());

            // 通过反序列化输入流(bais),创建Java对象输入流(ObjectInputStream)对象
            ObjectInputStream in = new ObjectInputStream(bais);

            // 反序列化输入流数据为DeserializationTest对象
            DeserializationTest test = (DeserializationTest) in.readObject();
            System.out.println("用户名:" + test.getUsername() + ",邮箱:" + test.getEmail());

            // 关闭ObjectInputStream输入流
            in.close();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

}

Java反序列化学习

  • 使用了ObjectOutputStream->writeObject()序列化了DeserializationTest类
  • 使用了ObjectInputStream->readObject()反序列化了DeserializationTest类

Externalizable

Java反序列化学习

java.io.Externalizable继承Serializable接口,定义了两个方法:

  • writeExternal()
  • readExternal()
package com.patrilic.demo;

import java.io.*;
import java.util.Arrays;


public class ExternalizableTest implements java.io.Externalizable {

    private String username;
    private String email;
    public String getUsername() {
		return username;
	}
	public void setUsername(String username) {
		this.username = username;
	}
	public String getEmail() {
		return email;
	}
	public void setEmail(String email) {
		this.email = email;
	}
    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        out.writeObject(username);
        out.writeObject(email);
    }
    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        this.username = (String) in.readObject();
        this.email = (String) in.readObject();
    }

    public static void main(String[] args) {
    	ByteArrayOutputStream baos = new ByteArrayOutputStream();

        try {
            // 创建DeserializationTest类,并类设置属性值
        	ExternalizableTest t = new ExternalizableTest();
            t.setUsername("Patrilic");
            t.setEmail("admin@patrilic.top");

            // 创建Java对象序列化输出流对象
            ObjectOutputStream out = new ObjectOutputStream(baos);

            // 序列化DeserializationTest类
            out.writeObject(t);
            out.flush();
            out.close();

            // 打印ExternalizableTest类序列化以后的字节数组,我们可以将其存储到文件中或者通过Socket发送到远程服务地址
            System.out.println("ExternalizableTest类序列化后的字节数组:" + Arrays.toString(baos.toByteArray()));

            // 利用ExternalizableTest类生成的二进制数组创建二进制输入流对象用于反序列化操作
            ByteArrayInputStream bais = new ByteArrayInputStream(baos.toByteArray());

            // 通过反序列化输入流(bais),创建Java对象输入流(ObjectInputStream)对象
            ObjectInputStream in = new ObjectInputStream(bais);

            // 反序列化输入流数据为DeserializationTest对象
            ExternalizableTest test = (ExternalizableTest) in.readObject();
            System.out.println("用户名:" + test.getUsername() + ",邮箱:" + test.getEmail());

            // 关闭ObjectInputStream输入流
            in.close();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

}

Java反序列化学习

值得注意的是两个方法的重写:

Java反序列化学习
原文  https://patrilic.top/2020/03/18/Java 反序列化/
正文到此结束
所属分类: Java 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 springcloud-demo Redis教程 Spring教程 Git教程 openfire参考指南 Jenkins进阶系列 Java设计模式 HBase教程 java-demo Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Ant教程 java实例教程 Hive教程 SpringCloud ANTLR教程 XStream教程 Elastic-Job-Lite Hazelcast教程 深入浅出MyBatis ibaties教程 SVN教程 rabittmq教程 Hadoop教程 solr教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 IDEA(IntelliJ IDEA) 中安装 Flutter
  2. 2 中国开发者注册美区 Google Play 账号验证失败解决方案 指南
  3. 3 注册美区(United States)Google Play 个人开发者账号
  4. 4 中国身份证注册美区 Apple Developer 个人账号完整教程
  5. 5 SaaS MVP:从0到1的功能闭环设计指南
  6. 6 从0到1可执行的“出海型SaaS最佳MVP路径
  7. 7 用 Comet,让你的每一个问题都得到更好的答案
  8. 8 Toolhub — 一个干净实用的在线工具集合
  9. 9 又学一招:Excel 数据对比及 VBA 实现方案
  10. 10 EasyExcel 读取数值精度丢失问题与解决方案
网站信息
  • 文章总数:82,786 篇
  • 文件总数:210,947 个
  • 标签总数:2,449 个
  • 分类总数:86 个
  • 留言数量:2,584 条
  • 在线人数:661 人
  • 运行天数:4,757天
  • 最后更新:2025年11月05日14点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG