JAVA反序列化

JAVA反序列化深入学习（三）：CommonsCollections1

ApacheCommonsCollections是一个扩展了Java标准库里的Collection结构的第三方基础库，它提供了很多强有力的数据结构类型并实现了各种集合工具类。作为Apache开源项目的重要组件，被广泛运用于各种Java应用的开发。目录JAVA环境依赖版本检查依赖配置资源下载前置知识AbstractMapDecoratorTransformedMapdecoratetransform

Neolock·2025-07-22 09:56

终极陷阱：Java序列化漏洞的内爆原理与防御体系重建

引言：被遗忘的后门2019年Equifax公司因Java反序列化漏洞导致1.43亿用户数据泄露，最终以7亿美元达成和解。

悟能不能悟·2025-06-03 21:39

【序列化与反序列化详解】

反序列化的作用二、常见的序列化格式三、不同编程语言的序列化与反序列化示例1.Python的序列化与反序列化JSON序列化Pickle序列化（仅限Python）2.Java的序列化与反序列化Java序列化Java

wdwc2·2025-05-07 20:54

java安全（五）java反序列化

给个关注？宝儿！给个关注？宝儿！给个关注？宝儿！1.序列化在调用RMI时,发现接收发送数据都是反序列化数据.例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中，JSON和XML支持的数据类型就是基本数据类型，整型、浮点型、字符串、布尔等，如果开发者希望在传输数据的时候直接传输一个对象，那么就不得不想办法扩展基础的JSON（XML）语法。比如，Jackson和Fa

b1gpig安全·2025-05-05 04:41

Java反序列化触发方式

反序列化触发点扩展ObjectInputStream.readObject//流转化为ObjectObjectInputStream.readUnshared//流转化为ObjectXMLDecoder.readObject//读取xml转化为ObjectYaml.load//yaml字符串转ObjectXStream.fromXML//XStream用于JavaObject与xml相互转化Obj

杜子腾1·2025-05-05 04:41

【Java代码审计】反序列化漏洞篇

1.反序列化漏洞概述概述反序列化过程详解2.反序列化漏洞产生的必要条件3.反序列化漏洞检测方案代码审计白盒检测黑盒检测RASP检测攻击检测️4.普通反序列化漏洞5.XMLDecoder反序列化漏洞6.Java

世界尽头与你·2025-04-27 00:27

面试经验分享 | 成都渗透测试工程师二面面经分享

结合具体案例详细讲讲问题2、php/java反序列化漏洞的原理?程序员/运维如何避免此类漏洞或如何防御?问题3、如果一台服务器被入侵后,你会如何做应急响应?

渗透测试老鸟-九青·2025-04-06 10:04

2025年渗透测试面试题总结-某小米-安全工程师（题目+回答）

目录小米-安全工程师一、SQL注入防御体系与预编译原理（2025版）1.1防御技术矩阵1.2预编译核心原理二、PHP与Java反序列化漏洞对比（2025攻击案例）2.1利用链差异分析2.2反序列化炸弹对抗三

独行soc·2025-03-31 23:12

【Java反序列化测试】

Java反序列化测试1.识别反序列化入口点2.构造探测Payload3.发送Payload并观察结果4.绕过可能的防护5.自动化工具注意事项总结Java反序列化测试：1.识别反序列化入口点常见入口：HTTP

D-river·2025-03-03 19:35

深入剖析 Java 反序列化：FASTjson 漏洞与 Shiro 漏洞

目录深入剖析Java反序列化：FASTjson漏洞与Shiro漏洞引言Java反序列化原理示例代码FASTjson漏洞分析漏洞成因示例代码防护措施Shiro漏洞分析漏洞成因示例代码（模拟攻击场景）防护措施总结引言在

阿贾克斯的黎明·2025-02-28 09:40

V2022全栈培训笔记（WEB攻防47-WEB攻防-通用漏洞&Java反序列化&EXP生成&数据提取&组件安全）

第47天WEB攻防-通用漏洞&Java反序列化&EXP生成&数据提取&组件安全知识点：1、Java反序列化演示-原生API接☐2、Java反序列化漏洞利用-Ysoserial使用3、Java反序列化漏洞发现利用点

网安李李·2025-02-24 20:33

渗透测试工具包开源安全测试工具网络安全工具_网络安全渗透测试工具(1)

php漏洞代码分析ysoserial-JAVA反序列化POC生成工具:JavaUnserializeExploits-JAVA反序列化EXP。JenkinsCommonC

2401_84254011·2025-02-19 11:31

web安全渗透测试十大常规项（一）：web渗透测试之Fastjson反序列化

渗透测试之Java反序列化1.Fastjson反序列化1.1FastJson反序列化链知识点1.2FastJson反序列化链分析1.3.1FastJson1.2.24利用链分析1.3.2FastJson1.2.25

HACKNOE·2025-02-09 04:36

移动端安卓app渗透测试逆向工具集分享（1）

给大家分享一些我自己收藏的移动端安卓app逆向工具包，下面是目录activty劫持工具adb1.0.32CTF工具合集hackbar2.3.1ImmunityCanvasJava反序列化终极测试工具AndroidKiller_v1.3.1Android

2401_86855609·2024-08-24 20:26

ctfshow刷题(Java反序列化)

CTFshowJava反序列化web846urldns链importjava.io.ByteArrayOutputStream;importjava.io.IOException;importjava.io.ObjectOutput

V3g3t4ble·2024-02-20 14:49

Java反序列化之CC1链分析

目录前言commons-collections（CC）构造利用链第一步InvokerTransformer第二步ChainedTransformer第三步ConstantTransformer第四步服务端生成Runtime实例上Map第五步TransformedMap第六步AnnotationInvocationHandler的readObject复写点第五步Lazymap第六步动态代理总结前言可

安全混子·2024-02-12 09:54

JBOSS漏洞

Java反序列化RCE漏洞CVE-2015-7501漏洞由于JBoss中invoker/JMXInvokerServlet路径对外开放，JBoss的jmx组件支持Java反序列化invoker/JMXInvokerServlet

唐小风7·2024-02-12 00:48

理论 | 教你彻底学会Java序列化和反序列化

Java序列化是指把Java对象转换为字节序列的过程，Java反序列化是指把字节序列恢复为Java对象的过程。反序列化：客户端重文件，或者网络中获取到文件以后，在内存中重构对象。

小小∽·2024-02-05 18:14

序列化与反序列化

一、基本概念1、序列化和反序列化的定义：(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。

m0_73721944·2024-02-03 02:45

【Java反序列化】Shiro-550漏洞分析笔记

目录前言一、漏洞原理二、Shiro环境搭建三、Shiro-550漏洞分析解密分析加密分析四、URLDNS链前言shiro-550反序列化漏洞大约在2016年就被披露了，在上学时期也分析过，最近在学CC链时有用到这个漏洞，重新分析下并做个笔记，也算是温故而知新了。一、漏洞原理ShiroAES加密-->Base64加密的过程，接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。

Hello_Brian·2024-02-01 14:05

红日靶场2 ATT&&CK攻击

360免杀其实没有你想象的那么难首先最重要的是你要用免杀脚本对你所生成的木马病毒进行加密然后加密系统的内核，就是上一篇文章所提及的是通过两次加密之后所输出的结果，让360无法感知到，然后先通过java反序列化工具将冰蝎工具的

曼达洛战士·2024-01-31 04:51

Java反序列化json内存溢出_fastjson反序列化使用不当致使内存泄露

分析一个线上内存告警的问题时，发现了形成内存告警的缘由是使用fastjson不当致使的。分析dump发现com.alibaba.fastjson.util.IdentityHashMap$Entry对象比较多。html查找相关文档fastjsonIdentityHashMap内存泄漏排查(这篇文档分析描述的状况与咱们遇到的问题的缘由同样，是使用com.alibaba.fastjson.util.P

李daxin·2024-01-30 09:22

Java反序列化json内存溢出_fastJson与一起堆内存溢出'血案'

FastJson与一起堆内存溢出'血案'现象QA同学反映登录不上服务器排查问题1--日志级别查看log,发现玩家登录的时候抛出了一个java.lang.OutOfMemoryError大概代码是向Redis序列化一个PlayerMirror镜像数据,但是在JSON.toJSONString的时候出现了错误.比较清晰，即序列化的时候expandCapacity,内存不足又看了一下日志，有好几个Out

weixin_39753584·2024-01-30 09:22

Java反序列化json内存溢出_fastJson 与一起堆内存溢出‘血案

现象QA同学反映登录不上服务器排查问题1–日志级别查看log,发现玩家登录的时候抛出了一个java.lang.OutOfMemoryError大概代码是向Redis序列化一个PlayerMirror镜像数据,但是在JSON.toJSONString的时候出现了错误.比较清晰，即序列化的时候expandCapacity,内存不足。又看了一下日志，有好几个OutOfMemoryError,都是类似于用

换个宇宙·2024-01-30 09:51

Java反序列化json内存溢出_fastjson反序列化使用不当导致内存泄露

分析一个线上内存告警的问题时，发现了造成内存告警的原因是使用fastjson不当导致的。分析dump发现com.alibaba.fastjson.util.IdentityHashMap$Entry对象比较多。查找相关文档fastjsonIdentityHashMap内存泄漏排查(这篇文档分析描述的情况与我们遇到的问题的原因一样，是使用com.alibaba.fastjson.util.Param

棒棒李·2024-01-30 09:51

漏洞复现 - Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437）

Shiro最有名的漏洞就是反序列化漏洞了，加密的用户信息序列化后存储在名为remember-me的Cookie中，攻击者使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令

Sally__Zhang·2024-01-28 13:15

JAVA反序列化漏洞基础

ObjectOutputStreampackagecom.test;publicclassEmployeeimplementsjava.io.Serializable{publicStringname;publicStringaddress;publictransientintage;//transient瞬态修饰成员,不会被序列化publicvoidaddressCheck(){System.o

coleak·2024-01-28 05:06

Java代码审计：反序列化链CommonsCollections1详解

CommonsCollection在java反序列化的源流中已经存在5年今天介绍的CommonsCollections1，反序列化的第一种RCE序列化链CommonsCollections1反序列化漏洞点仍然是

god_Zeo·2024-01-28 05:34

Java序列化

1.定义：Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。

Cucucuu·2024-01-27 01:24

CTF之think_java反序列化完整案例

2020-网鼎杯-朱雀组-Web-think_java详解环境复现CTFHub附件代码审计通过打开附件文件中test类文件发现//发现文件路劲@RequestMapping({"/common/test"})publicclassTest{publicTest(){}@PostMapping({"/sqlDict"})//通过文件命名可以发现是关于sql的文件@Access@ApiOperatio

出顾茅庐·2024-01-24 16:49

38-WEB漏洞-反序列化之PHP&JAVA全解（下）

WEB漏洞-反序列化之PHP&JAVA全解（下）一、Java中API实现二、序列化理解三、案例演示3.1、本地3.2、Java反序列化及命令执行代码测试3.3、WebGoat_Javaweb靶场反序列化测试

月亮今天也很亮·2024-01-24 16:17

Java反序列化

JAVA反序列化运行文件流程：Java是一个跨平台语言：真正的Java语言的后缀就是.Java,其他的后缀也属于Java文件例如：xxx.jar的属于一个压缩包如果使用解压缩解压就会发现里面超多的xxxx.class

爱吃银鱼焖蛋·2024-01-23 17:39

fastjson-BCEL不出网打法原理分析

FastJson反序列化漏洞与原生的Java反序列化的区别在于，FastJson反序列化并未使用readObject方法，而是由FastJson自定一套反序列化的过程。

网安Dokii·2024-01-23 14:09

jackson java反序列化_使用Jackson JSON映射器序列化/反序列化java 8 java.time

寒水微痕·2024-01-18 00:27

PHP反序列化漏洞原理概述-FIRST

反序列化漏洞1.产生背景反序列化漏洞第一次众人皆知在2015年11月6日，最初出现在JAVA语言中，FoxGloveSecurity安全团队的Breenmachine发表了一篇博客，里面详细阐述了利用JAVA

小边同学·2024-01-15 23:56

Java反序列化漏洞-CC6利用链分析

CC链之最好用的利用链CC6分析经过之前对CC1链和URLDNS链的分析，现在已经对反序列化利用链有了初步的认识，这次来分析一个最好用的CC利用链——CC6。为什么CC6是最好用的CC利用链，因为CC6不限制jdk版本，只要commonscollections小于等于3.2.1，都存在这个漏洞。文章目录CC链之最好用的利用链CC6分析前置知识1.回顾CC12.高版本jdk的修改寻找新利用链1.La

CVE-Lemon_i·2024-01-14 04:32

反序列化，反射时，构造函数是否调用。

相反，Java反序列化机制会使用一些特殊的机制将数据转换

sun0322·2024-01-09 06:02

Weblogic安全漫谈(一)

9个月后，@breenmachine对众多知名Java中间件的利用文章[2]使Java反序列化漏洞变得广为人知，Weblogic中首当其冲的就是大家多少都有点耳熟的T3协议反序列化。

杭州默安科技·2024-01-05 07:12

JAVA反序列化之URLDNS链分析

简单介绍下urldns链在此之前最好有如下知识，请自行bingorgoogle学习。什么是序列化反序列化？特点！java对象反射调用？hashmap在java中是一种怎样的数据类型？dns解析记录有那些？思考代码本身设计废话不说，我们直接上代码（代码调用链在下面分析）publicstaticvoidmain(String[]args)throwsException{//Personperson=n

昵称还在想呢·2024-01-02 22:52

廾匸0705·2023-12-30 22:52

Java代码审计系列之 JNDI注入

0x01前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念，其中RMI是一个基于序列化的Java远程方法调用机制。

风炫安全·2023-12-30 00:55

java反序列化数据过滤

前言：反序列化漏洞的危害稍微了解一点的都知道，如果能找到前端某处存在反序列化漏洞，那基本上距离拿下服务器仅一步之遥，这个时候我们可以通过继承ObjectInputFilter添加tFilter实现对所有反序列化类的校验，当然这个需要java的高版本才支持jep290，或者我们可以针对需要进行反序列化的接口对将要反序列化的数据进行过滤，这样可以防止如果我们通过全局设置导致项目代码出现未知问题，并且可

GalaxySpaceX·2023-12-26 19:48

深信服安全攻防提前批（感觉凉凉了）

太惨了，作为一名ctfweb选手，笔试卷子上超级多的内网渗透的知识，web基本就问了一个java反序列化。

dgcat·2023-12-25 01:06

《网络安全面试总结》--web白盒漏洞问题

网络安全面试题目Web安全web白盒漏洞问题1.JAVA反序列化了解吗？有没有了解过shrio反序列化？

MaKe教室·2023-12-22 12:23

发送java字节码的数据包

一些Java反序列化漏洞在利用时，要发送Java序列化值（字节码）到服务器。我们在使用一些工具生成字节码后，可以通过python或者burp发送。

st3pby·2023-12-20 06:26

java的序列化和反序列化

java的序列化和反序列化目录java的序列化和反序列化java序列化java反序列化为什么要将java对象序列化序列化作用序列化和反序列化步骤创建一个实现了Serializable接口的对象序列化一个对象反序列化对象

YiHua_yiye·2023-11-30 12:41

java反序列化CC1

packageorg.example;importorg.apache.commons.collections.Transformer;importorg.apache.commons.collections.functors.ChainedTransformer;importorg.apache.commons.collections.functors.ConstantTransformer;i

dumplings。·2023-11-25 09:48

java反序列化漏洞详解

java反序列化漏洞文章目录java反序列化漏洞漏洞原理漏洞评级漏洞危害漏洞验证漏洞防御典型案例漏洞原理由于java开发人员在编写代码时重写了readObject方法，在重写的readObject方法中调用其他函数实现链式调用最终调用到了危险函数

抠脚大汉在网络·2023-11-25 01:01

Java 序列化和反序列化