首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Java序列化工具-marshalsec

marshalsec是一款java反序列利用工具,其可以很方便的起一个ldap或rmi服务,通过这些服务来去访问攻击者准备好的恶意执行类来达到远程命令执行或入侵的目的。...should point to a JDK not a JRE:意思是JAVA_HOME应该指向jdk而不是jre。...下面给出解决办法: 通过命令:echo $JAVA_HOME来获取java的安装路径 编辑/etc/profile配置文件,重新配置JAVA_HOME的路径,给他重新配置jdk的路径 再次...:指定exploits,根目录下的java文件名 开启rmi服务 java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer...在vps上安装好marshalsec,开启rmi服务,并且将java恶意命令执行类上传到vps后开启访问服务。同时再vps上起nc监听端口。操作如下: 可以看见反弹成功!

2.8K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Java序列化利用工具 -- Java Deserialization Exp Tools

    Java序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。...FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。...本工具暂时支持的功能: 1、本地命令执行并回显,无须加载外部jar包,支持纯内网环境检测。 2、支持JBoss、WebSphere和Weblogic的反序列化漏洞检测。...0X01 WebSphere的反序列化漏洞利用过程 WebSphere的反序列化漏洞发生的位置在SOAP的通信端口8880,使用的通信协议是https,发送的数据是XML格式的数据 <?...resultTmp.substring(x1, x2).trim(); else returnValue=resultTmp; return returnValue; } 0X02 文件列表读取 获取文件列表的功能是通过Java

    6.1K80

    Java序列化工具 gadgetinspector 初窥 (上)

    这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用链工具。...后面尝试了调试这个工具,大致理清了这个工具的工作原理,下面是对这个工具的分析过程,以及对未来工作与改进的设想。 关于这个工具 •这个工具不是用来寻找漏洞,而是利用已知的source->......•这个工具是基于字节码分析的,对于Java应用来说,很多时候我们并没有源码,而只有War包、Jar包或class文件。•这个工具不会生成能直接利用的Payload,具体的利用构造还需要人工参与。...在JAVA中,对象的序列化和反序列化被广泛的应用到RMI(远程方法调用)及网络传输中。...这只是我自己对作者"控制了数据类型,就控制了代码"的理解,在Java序列化漏洞中,很多时候是利用到了Java的多态特性来控制代码走向最后达到恶意执行目的。

    1.5K20

    Java序列化工具 gadgetinspector 初窥(下)

    作者:Longofo@知道创宇404实验室 时间:2019年9月4日 接上篇 Java序列化工具 gadgetinspector 初窥 (上) 样例分析 现在根据作者的样例写个具体的demo实例来测试下上面这些步骤...隐式调用 测试隐式调用看工具能否发现,将FnEval.java做一些修改: FnEval.java package com.demo.ifn; import java.io.IOException...但是这里也还有一些问题,比如反序列化是将this以及类的属性都当作了0参,因为反序列化时这些都是可控的,但是在其他漏洞中这些就不一定可控了。...这篇文章只是从宏观层面分析这个工具的原理,也算是给自己增加些信心,至少明白这个工具不是无法理解和无法改进的,同时后面再接触这个工具进行改进时也会间隔一段时间,回顾起来也方便,其他人如果对这个工具感兴趣也可以参考...等以后熟悉并能操纵Java字节码了,在回头来更新这篇文章并改正可能有错误的地方。 如果这些设想与改进真的实现并且进行了验证,那么这个工具真的是一个得力帮手。

    1K20

    JavaJava序列化和反序列化

    # Java中的序列化和反序列化Java中,序列化是将对象的状态写入字节流的机制。它主要用于Hibernate、RMI、JPA、EJB和JMS技术中。...我们必须实现Serializable接口才能序列化对象。 # Java序列化的优点 它主要用于在网络上传输对象的状态(即称为marshalling)。...# Java序列化的例子 在此示例中,我们将从上面代码的Student类序列化对象。 ObjectOutputStream类的writeObject()方法提供了序列化对象的功能。...# Java聚合(HAS-A关系)序列化 如果一个类引用另一个类,则所有引用必须是Serializable,否则将不执行序列化过程。...注意:对象中的所有对象都必须是可序列化的。 # Java序列化中的静态数据成员 如果一个类中有任何静态数据成员,它将不被序列化,因为静态是类的一部分而不是对象。

    12510

    java序列化

    # 背景 java对象是在jvm中,如果jvm销毁,那么对象都不存在了。...如果想继续使用java对象的话,需要用到序列化,将java中的对象转化为字节序列,用于存储和运输; 那么可以将DB理解为一种序列化,将java对象序列化后存储在DB中,将java对象保存在文本中也是一种序列化...# 细节 需要被序列化的类,需要实现Serializable接口 虽然Serializable接口是空的,没有任何方法,但也要实现,起到标识的作用 同一字节流中的引用是得到保存的 User user...= o2.user 反序列化没有调用构造函数 public class User implements Serializable { private String name; private...name, int id) { System.out.println("构造函数调用"); this.name = name; } } 这里的构造方法不会被调用 序列化

    56110

    Java 序列化

    Java 序列化 简介 定义 序列化序列化是将对象转换为字节流。 反序列化:反序列化是将字节流转换为对象。 ?...RMI(远程方法调用) 序列化和反序列化 Java 通过对象输入输出流来实现序列化和反序列化序列化java.io.ObjectOutputStream 类的 writeObject() 方法可以实现序列化...; 反序列化java.io.ObjectInputStream 类的 readObject() 方法用于实现反序列化。...serialVersionUID 是 Java 为每个序列化类产生的版本标识。它可以用来保证在反序列时,发送方发送的和接受方接收的是可兼容的对象。...推荐阅读 本文示例代码见:源码 本文同步维护在:Java 系列教程 参考资料 Java 编程思想(Thinking in java) http://www.hollischuang.com/archives

    52400

    Java序列化

    什么是序列化,如何实现序列化 概述 Java序列化是指将Java对象转换为二进制字节流,以便于持久化和传输的过程。...反之,则称为反序列化 默认的序列化实现由JVM负责,可序列化的对象需要实现Serializable接口 Serializable接口不包含任何方法,只用于标记该对象可序列化;若未实现该接口,则序列化时会报...常数 该常数用于指定对象的版本,反序列化时会检查版本是否改变,若改变则会报错 建议显示赋值该常量,否则jvm会根据对象属性、方法等自动生成,若序列化前后对象有变化,则版本号会重新生成,反序列化时就会抛异常...://cloud.tencent.com/developer/article/1130025 https://www.baeldung.com/java-serialization https://www.baeldung.com.../java-externalizable

    11110

    Java 序列化

    引言 我们经常在 java 中使用序列化序列化成一个二进制文件,需要的时候再反序列化,但是一直只知道只要实现 Serializable 接口就可以了,一直不知道具体的原理,我们今天就来一探究竟。...比如在我们的常用工具 IDEA 中,可以通过设置直接生成一个随机的 serialVersionUID, 我们也可以直接写个如上代码的 1L。 这里我们先解释这个序列化的作用。...注意方法的改变不影响,因为序列化序列化属性,跟方法无关 如果你不在类中声明SerialVersionUID的话,Java会在运行时替你生成一个,不过这个生成的过程会受到类元数据包括字段数,字段类型,...字段的访问限制符,类实现的接口等因素的影响. ---- 静态变量的问题 看代码 import java.io.*; public class Demo implements Serializable...,比较这两个对象是否为同一对象 Java 序列化机制为了节省磁盘空间,具有特定的存储规则,当写入文件的为同一对象时,并不会再将对象的内容进行存储,而只是再次存储一份引用,上面增加的 5 字节的存储空间就是新增引用和一些控制信息的空间

    72420

    Java 序列化

    Java序列化是指把Java对象转换为字节序列的过程 Java序列化是指把字节序列恢复为Java对象的过程 我们知道,当两个进程进行远程通信时,可以相互发送各种类型的数据,包括文本、图片、音频、视频等...那么当两个Java进程进行通信时,能否实现进程间的对象传送呢?答案是可以的。如何做到呢?这就需要Java序列化与反序列化了。...Serializable 接口是 Java 提供的序列化接口,它是一个空接口。...序列化算法潜在的问题 由于java序利化算法不会重复序列化同一个对象,只会记录已序列化对象的编号。...使用transient虽然简单,但将此属性完全隔离在了序列化之外。java提供了可选的自定义序列化。可以进行控制序列化的方式,或者对序列化数据进行编码加密等。

    1.2K00

    Java基础18:Java序列化与反序列化

    本文介绍了Java序列化的基本概念,序列化和反序列化的使用方法,以及实现原理等,比较全面地总结序列化相关知识点,并且使用具体例子来加以佐证。...这个相反的过程又称为反序列化Java对象的序列化与反序列化Java中,我们可以通过多种方式来创建对象,并且只要对象没有被回收我们都可以复用该对象。...Java的对象序列化可以帮助我们实现该功能。...相关接口及类 Java为了方便开发人员将Java对象进行序列化及反序列化提供了一套方便的API来支持。...long 类型数据(实际上是使用 JDK 工具生成),在这里有一个建议,如果没有特殊需求,就是用默认的 1L 就可以,这样可以确保代码一致时反序列化成功。

    1K00

    JAVA序列化序列化与反序列化&Java反射&URLDNS链

    原生序列化与反序列化 序列化JAVA对象转换成字节序列的过程;将数据分解为字节流,以便存储在文件中或在网络上传输;用一个字节序列表示一个对象,该字节包含对象的数据、对象的类型、对象的存储属性。...序列化对象会通过ObjectOutputStream的writeObject方法将一个对象写入到文件中 反序列化:字节序列恢复成JAVA对象的过程;打开字节流并重构对象,反序列化是使用了readObject...当两个进程进行远程通讯时需要Java序列化与反序列化(可以相互发送各种数据,包括文本、图片、音频、视频等) 发送方需要把这个Java对象转换成字节序列(二进制序列的形式),然后在网络上传送,另一方面,接收方需要从字节序列中恢复出...Java对象 应用场景(涉及到将对象转换成二进制,序列化保证了能够成功读取到保存的对象) 想把内存中的对象保存到一个文件中或者数据库中时候 想用套接字在网络上传送对象的时候 想通过RMI传送对象的时候...,预期效果是反序列化触发dns请求,用于验证漏洞存在 序列化工具链 * Gadget Chain: * HashMap.readObject() * HashMap.putVal

    16410

    Java序列化与反序列化

    对象的序列化机制是什么? 对象序列化机制允许把内存中的Java对象转化成语平台无关的二进制流,从而允许把这种二进制流持久的保存在磁盘上,或通过网络将这种二进制流传输到另一个网络节点。...当其他程序获取了这种二进制流,就可以恢复成原来的Java对象。 2....Java自定义类序列化要求: 自定义类需要实现接口:Serializable(标识接口:无任何属性或抽象方法),否则会报NotSerializableException 异常 要求自定义类声明一个全局常量...但是,当此类发生任何修改,都会导致serialVersionUID被修改,进而导致反序列化时,出现InvalidClassException异常。...若某个属性不想被序列化,则该属性必须注明是瞬态的,使用transient关键字修饰。 静态(static)变量的值不会序列化。因为静态变量的值不属于某个对象 是属于类的。

    63910

    Java序列化和反序列化

    java序列化指的是将java对象转化为字节序列的过程。 java序列化指字节序列恢复到java对象。 一、基础知识 计算机内存最小单位为一个二进制位,即 0或1。...序列化后的字节流保存了Java对象的状态以及相关的描述信息。序列化机制的核心作用就是对象状态的保存与重建。...序列化为二进制数据,可以永久存在硬盘里,也可以进行网络传输。 三、实现java序列化和反序列化 下面嫌太长了可以直接看例子。...JDK类库中序列化和反序列化API java.io.ObjectOutputStream: 表示对象输出流; 它的writeObject(Object obj)方法可以对参数指定的obj对象进行序列化...实现Java对象序列化与反序列化的方法 若User类仅仅实现了Serializable接口,则可以按照以下方式进行序列化和反序列化: ObjectOutputStream采用默认的序列化方式,对User

    12610

    Java 序列化与反序列化

    1、什么是序列化?为什么要序列化?     Java 序列化就是指将对象转换为字节序列的过程,而反序列化则是只将字节序列转换成目标对象的过程。     ...我们都知道,在进行浏览器访问的时候,我们看到的文本、图片、音频、视频等都是通过二进制序列进行传输的,那么如果我们需要将Java对象进行传输的时候,是不是也应该先将对象进行序列化?...答案是肯定的,我们需要先将Java对象进行序列化,然后通过网络,IO进行传输,当到达目的地之后,再进行反序列化获取到我们想要的对象,最后完成通信。...3、面试中关于序列化的问题: 1、什么是序列化,如何实现序列化 java中对象的序列化就是将对象转换成二进制序列,反序列化则是将二进制序列转换成对象 Java 实现序列化有多种方式 1、首先需要使用到工具类...3、如何保证序列化和反序列化后的对象一致?

    1.3K80

    Java序列化和反序列化

    Java序列化和反序列化(What) Java序列化(Serialize)是指将一个Java对象写入IO流中; Java序列化(Deserialize)指的是从IO流中回复IO对象。 2....序列化的意义(Why) 序列化机制可以将Java对象转换为数据流用来保存在磁盘上或者通过网络传输。这使得对象可以脱离程序独立存在。 3....//从输入流中读取一个Java对象并将其强制类型转换成Person类 Person p = (Person) ois.readObject(); 4.2 反序列化的代码 从前文创建的Object.txt...5.3 Java序列化算法 为了避免5.2中出现的错误,Java序列化算法如下: 所有保存在磁盘中的对象都有一个序列化编号 当程序试图序列化一个对象时,程序会先检查该对象是否已经被序列化过,只有改对象从未...这时可以使用transient关键字在序列化时忽略该变量,避免引发java.io.NotSerializableException异常。

    87810

    java序列化和反序列化

    Java序列化和反序列化是将Java对象转换为字节流和将字节流转换为Java对象的过程。...Java提供了一种机制,称为Java对象序列化,可将Java对象转换为字节流,以便将其保存在文件中或通过网络传输。反序列化是将字节流转换回Java对象的过程。...在本文中,我们将探讨Java序列化和反序列化的基本原理以及如何使用Java进行序列化和反序列化Java序列化Java对象序列化是将Java对象转换为字节流的过程,使其可以在网络上传输或存储在磁盘上。...在序列化之后,我们可以通过反序列化将其读回到Java对象。Java序列化Java序列化是将字节流转换为Java对象的过程。反序列化可以帮助我们将保存在文件中的Java对象读取到内存中。...Java序列化和反序列化的注意事项在使用Java序列化和反序列化时,需要注意以下事项:序列化和反序列化Java对象必须是同一版本。

    91830
    领券