JAVA反序列化
函数
序列化writeObject
反序列化readObject()
序列化和反序列化
序列化 将对象的状态信息转换为可以存储或者传输的过程 。在序列化期间,对象将其当前状态写入到临时或持久性存储区
反序列化从存储区读取数据,比起能够将其还原为对象的过程
演示
一、序列化和反序列化
在写反序列化时报错readObject()函数不存在,所以本人只弄成了序列化
直接上java代码
首先需要一个User类,这个就不上传代码了,我的代码会在桌面的1.txt文件中写入序列化后内容
import java.io.*;
public class serialize {
private static void serializeUser() throws IOException {
//序列化
User user = new User("hyj",22,"男",12);
ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(new File("C:\\Users\\houyanjun\\Desktop\\1.txt")));
oos.writeObject(user);
System.out.println("user序列化成功");
oos.close();
}
//反序列化
//不知道为什么反序列化没有成功,没有找到代码错误的原因
private static void deserializeUser() throws IOException {
ObjectInputStream ois = new ObjectInputStream(new FileInputStream("C:\\Users\\houyanjun\\Desktop\\1.txt"));
try {
User user_1 = (User) ois.readObject();
System.out.println("user反序列化成功");
System.out.println(user_1);
ois.close();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
public static void main(String[] args) throws IOException {
serializeUser();
}
}
}
运行后生成的序列化内容
二、WebGoat_Javaweb 靶场反序列化测试 (测试失败)
参考再来一次
下面的特征可以作为序列化的标志特征参考
一段数据以rO0AB开头,那么基本可以确定这串就是JAVA序列化base64加密的结果。
或者如果以aced开通,那么它就是一段java序列化的16进制
我直接用的docker
安装命令
docker pull webgoat/webgoat-8.0
docker run -d -p 8080:8080 webgoat/webgoat-8.0:latest
浏览器输入http://192.168.72.15:8080/WebGoat/login即可访问
进入如下关卡
随便输入内容
发现序列化对象rO0ABXQAVklmIHlvdSBkZXNlcmlhbGl6ZSBtZSBkb3duLCBJIHNoYWxsIGJlY29tZSBtb3JlIHBvd2VyZnVsIHRoYW4geW91IGNhbiBwb3NzaWJseSBpbWFnaW5l这是被base64加密的版本
因此如果要输入payload的话,就必须先进行
如:ifconfig -> 序列化->base64加密
暂时先停在这,有时间再继续把
