当前位置：首页 > news >正文

XMLDecoder反序列化

news 2025/9/17 0:42:37

XMLDecoder反序列化

基础知识

就简单讲讲吧，就是为了解析xml内容的

一般我们的xml都是标签属性这样的写法

比如person对象以xml的形式存储在文件中

1643810762_61fa8fca0420a92b6a49c.png!small?1643810762545

在decode反序列化方法后，控制台成功打印出反序列化的对象。 1643810770_61fa8fd28ea357f38ac8c.png!small?1643810771086

就是可以根据我们的标签识别是什么成分的

漏洞原因

我们有些xml标签有特殊的作用

object标签的使用相当于new一个新对象，其中的string标签为构造方法需要的参数。

<object class="javax.swing.JButton"><string>Press me</string>
</object>new JButton("Press me");

void标签的method属性可以在反序列化的过程中自动执行，其中的string标签为方法调用的参数。

<object class="javax.swing.JButton"><string>Press me</string><void method="setName"><string>Greeting</string></void>
</object>JButton button1 = new JButton("Press me");
button1.setName("Greeting");

其实有了上面的这些标签，我们就能够执行命令了

漏洞演示

使用网上找到POC，其中object反序列化类为java.lang.ProcessBuilder，构造方法参数为calc（windows操作系统上的计算器程序），void标签声明了反序列化过程中调用的方法为start方法。 1643810854_61fa90262ee375f1e0b46.png!small?1643810854748

就可以实例化我们的ProcessBuilder，调用它的start方法，然后传入calc参数

总结

因为比较简单，自己也没有去复现一下怎么的，也没有去调试，其实调试就是调试对标签的解析过程

参考https://www.freebuf.com/articles/web/321222.html

的解析过程

参考https://www.freebuf.com/articles/web/321222.html

图片都是用的这个链接的

XMLDecoder反序列化

XMLDecoder反序列化基础知识就简单讲讲吧，就是为了解析xml内容的一般我们的xml都是标签属性这样的写法比如person对象以xml的形式存储在文件中在decode反序列化方法后，控制台成功打印出反序列化的对象。就是可以根据我们的标签识别是什么成分…...

编程日记 2024/8/5 21:19:36

C# 高级数据处理：深入解析数据分区 Join 与 GroupJoin 操作的应用与实例演示

文章目录一、概述二. 数据分区 (Partitioning)三、Join 操作符1. Join 操作符的基本用法2. Join 操作符示例四、GroupJoin 操作符1. GroupJoin 操作符的基本用法2. GroupJoin 操作符示例总结在数据处理中，联接（Join）操作是一种非常常见的…...

编程日记 2024/8/5 21:16:34

数据库典型例题2-ER图转换关系模型

1.question solution: 2.做题步骤一些解释： <1弱实体把强属性的主键写进去，指向强属性。eg:E6_A13指向E5_A13 <21:1，1:n，m:n：将完全参与的一方（双线）指向另一方，并将对方的…...

编程日记 2024/8/5 21:15:33

Java：设计模式（单例，工厂，代理，命令，桥接，观察者）

模式是一条由三部分组成的通用规则：它代表了一个特定环境、一类问题和一个解决方案之间的关系。每一个模式描述了一个不断重复发生的问题，以及该问题解决方案的核心设计。软件领域的设计模式定义：设计模式是对处于特定环境下，经常…...

编程日记 2024/8/5 21:13:30

【算法】KMP算法

应用场景有一个字符串 str1 "BBA ABCA ABCDAB ABCDABD"，和一个子串 str2 "ABCDABD"现在要判断 str1 是否含有 str2，如果含有，就返回第一次出现的位置，如果不含有，则返回 -1 我们很容易想到暴力…...

编程日记 2024/8/5 21:12:29

nginx续1：

八、虚拟主机配置基于域名的虚拟主机 [rootserver2 ~]# ps -au|grep nginx //查看进程修改Nginx服务配置，添加相关虚拟主机配置如下 1. [rootproxy ~]# vim /usr/local/nginx/conf/nginx.conf 2. .. .. 3. server { 4. listen …...

编程日记 2024/8/5 21:11:28

循环队列和阻塞有什么关系？和生产者消费者模型又有什么关系？阻塞队列和异步日志又有什么关系

### 循环队列和阻塞队列 #### 循环队列 - **定义**: 一个固定大小的数组，通过两个指针（front 和 back）管理队列的头部和尾部元素。 - **特点**: - **循环性**: 当指针到达数组的末尾时，可以回绕到数组的开头，从而利…...

编程日记 2024/8/5 21:09:26

物理笔记-八年级上册

0.梦开始的地方物理研究什么？ 电学，力学，声学，光学，热学。 1.1.1长度的单位国际基本单位制单位转换魔法记忆：千米-米-毫米-微米-纳米（进率都是1000） 单位换算计算方法用科学…...

编程日记 2024/8/5 21:08:25

QT键盘和鼠标事件

这些事件都在QWidget 中的保护成员方法中都是虚函数在头文件中声明了需要类外重现实现如果头文件中声明类外无实现就会报错 void Widget::keyPressEvent(QKeyEvent *event) {switch (event->key()) {//获取按键case Qt::Key_W://按键wqDebug()<<"按下w"…...

编程日记 2024/8/5 21:06:22

文件Io编程基础

1. 标准I/O (stdio.h) stdio.h 是标准C库的头文件，包含了输入输出函数的声明。位置：/usr/include/stdio.h 2. 文件I/O操作步骤打开文件: 使用 fopen 函数，返回 FILE* 指针。读/写操作: 使用 fread、fwrite、fgets、fputs、fprintf、fscan…...

编程日记 2024/8/5 21:05:21

本地项目提交到Gitee

在项目目录右键 git bash here 可以在黑屏输入命令也可以在项目里面命令都是一样的要排除哪些 git add . 添加所有文件 git commit -m "Initial commit" 提交到本地 git remote add origin https://gitee.com/xxxx/xxxx.git 添加远程仓库 …...

编程日记 2024/8/5 21:04:21

有了谷歌账号在登录游戏或者新APP、新设备时，要求在手机上点击通知和数字，怎么办？

有的朋友可能遇到过，自己注册或购买了谷歌账号以后，在自己的手机上可以正常登录，也完成了相关的设置，看起来一切都很完美，可以愉快地玩耍了。但是，随后要登录一个游戏的时候（或者登录一个新的…...

编程日记 2024/8/5 21:02:19

rsyslog如何配置日志轮转

以下是在 Linux 系统中配置 rsyslog 日志轮转策略的一般步骤： 编辑 rsyslog 的配置文件，通常为 /etc/rsyslog.conf 或 /etc/rsyslog.d/*.conf 。在配置文件中添加类似以下的日志轮转配置示例： $template myLogs,"/var/log/mylog-%Y%m%d…...

编程日记 2024/8/5 21:00:17

LLM推理入门实践：基于 Hugging Face Transformers 和 Qwen2模型进行文本问答

文章目录 1. HuggingFace模型下载2. 模型推理：文本问答 1. HuggingFace模型下载模型在 HuggingFace 下载，如果下载速度太慢，可以在 HuggingFace镜像网站或 ModelScope 进行下载。使用HuggingFace的下载命令（需要先注册Huggin…...

编程日记 2024/8/5 20:59:16

python：YOLO格式数据集图片和标注信息查看器

作者：CSDN _养乐多_ 本文将介绍如何实现一个可视化图片和标签信息的查看器，代码使用python实现。点击下一张和上一张可以切换图片。文章目录一、脚本界面二、完整代码一、脚本界面界面如下图所示， 二、完整代码使用代码时&#xff0…...

编程日记 2024/8/5 20:58:15

AGI思考探究的意义、价值与乐趣 Ⅴ

搞清楚模型对知识或模式的学习与迁移对于泛化意味什么，或者说两者间的本质？相信大家对泛化性作为大语言模型LLM的突出能力已经非常了解了 - 这也是当前LLM体现出令人惊叹的通用与涌现能力的基础前提，这里不再过多赘述，但仍希望大家…...

编程日记 2024/8/5 20:57:14

其实可用根据binutils/c++filt的源代码看。找到mangle的命名规则，但是从网上找到了一个总结，但是github有时候上不去，摘录再次。 https://github.com/gchatelet/gcc_cpp_mangling_documentation https://itanium-cxx-abi.github.io/cxx-abi/abi.html#mangling 举例： _ZN8…...

编程日记 2024/8/5 20:56:13

系统化学习 H264视频编码（05）码流数据及相关概念解读

说明：我们参考黄金圈学习法（什么是黄金圈法则?->模型黄金圈法则，本文使用：why-what）来学习音H264视频编码。本系列文章侧重于理解视频编码的知识体系和实践方法，理论方面会更多地讲清楚音视频中概念的…...

编程日记 2024/8/5 20:55:12

【VMware】如何演示使用U盘在VMware虚拟机上安装Windows11

一、前置准备在开始使用U盘演示在VMware虚拟机上装Windows11前，我们需要做以下前置的准备： 已制作好的Windows引导盘；WMware软件如何制作Windows引导盘？ 推荐参考： 【建议收藏】2024年最新Windows系统重装教程&…...

编程日记 2024/8/5 20:54:11

HanLP和Jieba区别

HanLP和Jieba都是中文分词工具，但它们在多个方面存在区别。以下是对两者区别的详细分析： 一、开发背景与语言支持 HanLP：由大连理工大学自然语言处理与社会人文计算实验室开发，是一个开源的自然语言处理工具包。它主要使用Java语…...

编程日记 2024/8/5 20:52:08

云原生核心技术 (7/12): K8s 核心概念白话解读(上)：Pod 和 Deployment 究竟是什么？

大家好，欢迎来到《云原生核心技术》系列的第七篇！ 在上一篇，我们成功地使用 Minikube 或 kind 在自己的电脑上搭建起了一个迷你但功能完备的 Kubernetes 集群。现在，我们就像一个拥有了一块崭新数字土地的农场主，是时…...

编程新知 2025/9/6 5:44:49

零门槛NAS搭建：WinNAS如何让普通电脑秒变私有云？

一、核心优势：专为Windows用户设计的极简NAS WinNAS由深圳耘想存储科技开发，是一款收费低廉但功能全面的Windows NAS工具，主打“无学习成本部署” 。与其他NAS软件相比，其优势在于： 无需硬件改造：将任意W…...

编程新知 2025/7/10 6:25:54

Auto-Coder使用GPT-4o完成：在用TabPFN这个模型构建一个预测未来3天涨跌的分类任务

通过akshare库，获取股票数据，并生成TabPFN这个模型可以识别、处理的格式，写一个完整的预处理示例，并构建一个预测未来 3 天股价涨跌的分类任务用TabPFN这个模型构建一个预测未来 3 天股价涨跌的分类任务，进行预测并输…...

编程新知 2025/9/12 10:25:58

渲染学进阶内容——模型

最近在写模组的时候发现渲染器里面离不开模型的定义，在渲染的第二篇文章中简单的讲解了一下关于模型部分的内容，其实不管是方块还是方块实体，都离不开模型的内容 🧱 一、CubeListBuilder 功能解析 CubeListBuilder 是 Minecraft Java 版模型系统的核心构建器，用于动态创…...

编程新知 2025/7/30 14:13:39

微信小程序 - 手机震动

一、界面 <button type"primary" bindtap"shortVibrate">短震动</button> <button type"primary" bindtap"longVibrate">长震动</button> 二、js逻辑代码注：文档 https://developers.weixin.qq…...

编程新知 2025/8/25 23:31:15