17.XMLDecoder反序列化
0x01 前言
之前我们接触过java比较基础且普遍的一种反序列化,但是在java中反序列化的形式并不是那么单一,今天我要要介绍的就是XMLDecoder这个类的序列化以及反序列化。
0x02 XMLDecoder介绍
这个类是jdk自带的,位置是java.beans.XMLDecoder , 这个类的序列化就是将java对象转换成xml文件,反序列化是把特定格式的xml文件转换成java对象。
我们还是用一个小demo来熟悉下它的使用方式。
创建一个类,类里面有两个方法,一个是序列化操作,一个是反序列化操作
import java.beans.XMLDecoder;
import java.beans.XMLEncoder;
import java.io.*;
public class XMLTest{
// 序列化对象到文件person.xml
public void xmlEncode() throws FileNotFoundException {
Person person = new Person();
person.setAge(18);
person.setName("axin");
XMLEncoder xmlEncoder = new XMLEncoder(new BufferedOutputStream(new FileOutputStream("person.xml")));
xmlEncoder.writeObject(person);
xmlEncoder.close();
System.out.println("序列化结束!");
}
// 反序列化
public void xmlDecode() throws FileNotFoundException {
XMLDecoder xmlDecoder = new XMLDecoder(new BufferedInputStream(new FileInputStream("person.xml")));
Person person = (Person)xmlDecoder.readObject();
xmlDecoder.close();
person.sayHello();
System.out.println("反序列化成功!");
}
public static void main(String[] args) throws FileNotFoundException {
XMLTest xmlTest = new XMLTest();
xmlTest.xmlEncode();
xmlTest.xmlDecode();
}
}其中Person类如下:
运行XMLTest类,会在当前工程目录下生成一个person.xml文件,并且终端会打印调用sayHello方法的结果
序列化生成的xml文件格式如下:
反序列化上述的xml文件,然后执行sayHello方法
0x03 利用方法
我们已经得知XMLDecoder常见的序列化与反序列化的方法,那么怎么利用呢?
我们可以利用其反序列化机制执行任意对象的任意命令,例如构造如下xml文件:
上述xml文件如果被反序列化会执行ProcessBuilder的start方法,弹个计算器
其他
这一章只是简单的XMLDecoder反序列化的原理,同样的,我还是会找一个案例来帮助大家更清晰的认识该漏洞,当然,换汤不换药,漏洞的发生场景变了,本质是不变的~
下一章,我们就看看weblogic中的XMLDecoder反序列化漏洞吧
Last updated