第38天反序列化JAVA

#序列化和反序列化
序列化：将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，
对象将其当前状态写入到临时或持久性存储区。
反序列化：从存储区中读取数据，并将其还原为对象的过程，称为反序列化。

下方的特征可以作为序列化的标志参考：

一段数据以rO0AB开头，你基本可以确定这串就是java序列化base64加密的数据

或者如果以aced开头，那么它就是这一段java序列化的16进制

反弹shell：解决不回显问题

演示案例：

• JAVA反序列化及命令执行代码测试

• WebGoat_Javaweb靶场反序列化测试

• 2020-网鼎杯-朱雀组-Web-think_java真题复现

涉及资源：

https://github.com/frohoff/ysoserial/releases

http://github.com/WebGoat/WebGoat/releases

http://github.com/NickstaDB/SerializationDumper/releases/tag/1.12