功能: 命令行启动jar包,用户自定义启动RMI端口.默认内置Apache Commons Collections.只需一键启动即可测试java反序列化漏洞. 启动服务: [root@sevck_v3 tmp]# java -jar rmi.jar This rmi port java rmi server start! 如果已经绑定端口: [root@sevck_v3 tmp]# java -jar rmi.jar This rmi port java.rmi.server.ExportExc…

一.什么是序列化和反序列化? 序列化:将对象状态信息转化成可以存储或传输的形式的过程(Java中就是将对象转化成字节序列的过程) 反序列化:从存储文件中恢复对象的过程(Java中就是通过字节序列转化成对象的过程) 二.为什么要序列化和反序列化? Java中对象都是存储在内存中,准确地说是JVM的堆或栈内存中,可以各个线程之间进行对象传输,但是无法在进程之间进行传输.另外如果需要在网络传输中传输对象也没有办法,同样内存中的对象也没有办法直接保存成文件. 所以需要对对象进行序列化,序列化对象之后一个…

Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能.Shiro框架直观.易用,同时也能提供健壮的安全性. 文章目录: 1.Shiro rememberMe反序列化漏洞(Shiro-550) 1.1 漏洞原理 1.2 影响版本 1.3 漏洞特征 1.4 漏洞利用 1.4.1 利用方式一 1.4.2 利用方式二 2.Shiro Padding Oracle Attack(Shiro-721) 2.1 漏洞原理 2.2 影响版本 2.3 漏洞利用 3.一键…

fastjson反序列化-JdbcRowSetImpl利用链 JdbcRowSetImpl利用链 fastjson反序列化JdbcRowSetImpl - Afant1 - 博客园 (cnblogs.com) 这里涉及了JNDI与RMI的概念. 其本质为JNDI注入. 附上示例代码 JdbcRowSetImplPoC.java package org.lain.poc.poclist; import com.alibaba.fastjson.JSONObject; import com.alib…

google protocol buffer的使用和原理 概况: Protocol Buffers(也就是protobuf)是谷歌的语言中立的.平台中立的.可扩展的用于序列化结构化的数据: windows环境下的安装与使用: protocol编译器 安装.安装protocol编译器,用来编译.proto文件: 下载.路径:https://github.com/google/protobuf/releases.里面有windows版的:protoc-3.6.1.win32.zip. 安装. 下载完…

Java基础学习总结——Java对象的序列化和反序列化 一.序列化和反序列化的概念 把对象转换为字节序列的过程称为对象的序列化. 把字节序列恢复为对象的过程称为对象的反序列化. 对象的序列化主要有两种用途: 1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中: 2) 在网络上传送对象的字节序列. 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存.比如最常见的是Web服务器中的Session对象,当有 10万用户并发访问,就有可能出现10万个Ses…

今天在这边介绍一下Java基础中的rmi使用.其实rmi有什么样的使用场景呢?它跟webservice有什么区别呢?其实webservice主要是可以跨语言实现项目间的方法调用,而rmi只是java内部语言进行的远程方法调用.这里我们把远程这个概念用服务端表示,调用者用客户端表示. 那么首先我们先讲述一下rmi的原理,它的底层是由socket和java序列化和反序列化支撑起来的,它具体的调用过程如下图所示.而远程对象stub和skeleton负责了对象和数据参数返回值的打包和序列化与反序列化.…

原文:C# 制作Java +Mysql+Tomcat 环境安装程序,一键式安装 要求: JDK.Mysql.Tomcat三者制作成一个安装包, 不能单独安装,安装过程不显示三者的界面, 安装完成要配置好JDK环境.Mysql服务.Tomcat 服务 目的: 解决客户在安装软件的复杂配置和繁琐 便于管理软件版本 便于系统集成 分析: 由于不能使用软件的原始安装版本,故只能将JDK的安装目录拷贝出来,放在D盘的SoftSource文件夹,由于要管理三者,将这三个放进一个文件夹里面 Mysql.Tom…

微信公众号Java接入demo 前不久买了一台服务,本来是用来当梯子用的,后来买了一个域名搭了一个博客网站,后来不怎么在上面写博客一直闲着,最近申请了一个微信公众号就想着弄点什么玩玩.周末没事就鼓捣了下微信公众号的接入.准备工作 一台能用域名访问的服务器 一个微信公众号 给服务器装上jdk.tomcat.ftp.shell工具 编码 登录测试公众号后台,获取appId和appSecret,新建一个配置文件来保存ppId和appSecret,也可以直接写在代码里,个人不建议这么写,在项目中经常会用…

主要包括如下类 RMIBeansManager.java RMIDemo.java RMIService.java RMIVO.java SayHello.java RMIVO.java package com.sssppp.RMI; public class RMIVO { private String beanName; //对应的bean private String method; //方法名 private String params; //方法参数 public String get…