demo这个是什么ec,demO是什么意思!

java反序列化原理-Demo（一）

0x00 什么是java序列化和反序列？

Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。

Java 反序列化是指把字节序列恢复为 Java 对象的过程，ObjectInputStream 类的 readObject() 方法用于反序列化。

0x01 java反序列漏洞原理分析

首先先定义一个user类需继承Serializable

编写一个测试类，生成一个user对象，将其序列化后的字节保存在硬盘上，然后再读取被序列化后的字节，将其反序列化后输入user的name属性

运行后输出name属性：test

为了构造一个反序列化漏洞，需要重写user的readObjec方法，在改方法中弹出计算器：

重写readObjec后的user类：

再次运行测试类，发现计算器已经弹出：

只需要修改Run().exec("calc.exe");中的calc.exe即可执行任意命令

0x02 总结

产生反序列化漏洞的前提是必须重写继承了Serializable类的readObjec方法

参考连接：