小迪安全学习笔记--第38天：web漏洞-反序列化之PHP和JAVA全解（下）

有个工具，ysoserial：https://github.com/frohoff/ysoserial

概念

序列化和反序列化

序列化 (serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。
反序列化:从存储区中读取该数据，并将其还原为对象的过程，称为反序列化。

靶场：webGoat https://blog.csdn.net/weixin_45539802/article/details/112298156

演示案例:

Java反序列化及命令执行代码测试

WebGoat_Javaweb靶场反序列化测试

java -Dhibexnate5 -cp hibernate-
core-5.4.9.Final.jar;ysoserial-master-30099844c6-1.jar
ysoserial.GeneratePayload Hibernatel calc.exe > payload.bin

2020-网鼎杯-朱雀组-Web-think_java真题复现

下方的特征可以作为序列化的标志参考:

—段数据以rO0AB开头。你基本可以确定这串就是JAMA序列化base64加密的数据。或者如果以aced开头，那么他就是这一段java序列化的16进制。|