Java反序列化是一种将已序列化的对象状态转换回对象的过程，它是Java平台中持久化数据的一种常见方式。在Java应用程序中，序列化用于将对象的状态转换为字节流，以便可以存储或在网络上传输。而反序列化则将这个字节流恢复为原始对象。然而，不恰当的反序列化处理可能会引入安全风险，使得攻击者能够利用这些漏洞执行恶意代码。 Java反序列化利用通常涉及到以下几个关键知识点： 1. **Java序列化机制**：Java对象序列化是通过实现`Serializable`接口来标记一个类可被序列化。`ObjectOutputStream`用于将对象写入流，`ObjectInputStream`用于从流中读取并反序列化对象。 2. **易受攻击的库**：许多常用的Java库，如Apache Commons Collections、Apache POI、OpenJDK等，都曾因不安全的反序列化处理而存在漏洞。攻击者可能构造特殊的序列化数据来触发这些漏洞。 3. **RMI（远程方法调用）与反序列化**：Java的RMI机制在通信过程中使用了反序列化，攻击者可以通过操纵RMI请求来触发反序列化漏洞。 4. **反射与构造恶意对象**：攻击者可以利用Java的反射API创建和控制反序列化过程中的对象，这可能导致意外的方法调用或者权限提升。 5. **CVE漏洞**：历史上，例如CVE-2015-4852（Apache Commons Collections反序列化漏洞）、CVE-2016-5385（Oracle WebLogic Server漏洞）等，都是由于不安全的反序列化导致的安全问题。 6. **防御策略**：防止反序列化攻击的方法包括禁用不必要的反序列化，使用安全的序列化库，如Google的Protocol Buffers或Apache Thrift，以及在反序列化之前验证输入数据。 7. **检测与修复**：开发人员应该定期检查所使用的库是否有已知的反序列化漏洞，并及时更新到安全版本。此外，可以使用工具进行静态代码分析和渗透测试，以检测潜在的反序列化问题。 8. **Java反序列化工具**：如"java反序列化利用程序UI版Beta1.1"这样的工具，可能是为了帮助安全研究人员测试和理解反序列化漏洞的工作原理，通过图形用户界面（GUI）提供了一种更直观的方式来实验和分析Java反序列化过程。 9. **安全编程实践**：编写代码时，应避免接收不可信的数据源的反序列化对象，对输入数据进行严格的校验和过滤，同时限制敏感操作仅能在安全环境中执行。 10. **社区资源与更新**：关注安全社区的最新动态，如OWASP（开放网络应用安全项目）的指南和漏洞数据库，以获取关于反序列化利用的最新信息和防护建议。 Java反序列化利用是一个复杂的安全问题，需要开发者对序列化和反序列化过程有深入的理解，以及对潜在的安全风险保持警惕。通过了解这些知识点，可以更好地保护应用程序免受此类攻击。

使用注意： （需要安装JDK）1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版，请尽量按照正常思路来用，比如Url填写清楚，IP地址写对了，报错或者抛异常神马的别怪我，调输入校验好蛋疼。 本工具与网上已公布工具优点： 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能，利用的是jboss的热部署功能，直接部署一个war包，一键返回一个菜刀shell 3. 反弹shell部分更完美，不再加载远程war包，直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制，本地（4.2.3.GA）测试成功，其他版本请自测 5. 体积更小，不再依赖java环境，但程序采用.net编写，需要.net 4.0环境 待完成： weblogic回显结果测试中，稍后加入

weblogic10.3.6 反序列化漏洞补丁： p20780171_1036_Generic.zip p22248372_1036012_Generic.zip

普森 Pson是PHP的Gson！ 一个用于PHP的Json反序列化器和序列化器

java 反序列化PHP ,java解析php序列化的字符串，工具包和工程实例

java 常用序列化和反序列化框架使用demo ，java 常用序列化和反序列化框架使用demo

从PHPAMF提取并修改测试可用的AMF反解代码 调用例子： $amf = new AMFObject($data); //$data为AMF数据 $deserializer = new AMFDeserializer($amf->rawData); $deserializer->deserialize($amf); $AMF = $deserializer->getAMFObject(); //解码结果

C#序列化与反序列化类-源代码，支持将类和任何C#对象序列化到文件

JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149复现,该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而导致了漏洞。 使用ysoserial.jar来复现生成序列化数据.将反弹的shell进行序列化。

对比PlayerPrefs简直是降维打击,几乎可以存储任何类型, Unity 数据本地存储插件-Easy Save 3.3.2版本