Question

2.1 序列化

序列化后的数据开头包含两字节的魔术数字： ACED 。接下来是两字节的版本号 0005 的数据。此外还包含了类名、成员变量的类型和个数等。

序列化的数据流以魔术数字和版本号开头，这个值是在调用 ObjectOutputStream 序列化时，由 writeStreamHeader 方法写入：

protected void writeStreamHeader() throws IOException {
  //STREAM_MAGIC (2 bytes) 0xACED 
  bout.writeShort(STREAM_MAGIC);
  //STREAM_VERSION (2 bytes) 5
  bout.writeShort(STREAM_VERSION);
}

2.2 反序列化

Java 程序中类 ObjectInputStream 的 readObject 方法用来将数据流反序列化为对象。

readObject() 方法在反序列化漏洞中它起到了关键作用。如果 readObject() 方法被重写，反序列化该类时调用便是重写后的 readObject() 方法。如果该方法书写不当的话就有可能引发恶意代码的执行。

如：

public class Evil implements Serializable {
    public String cmd;
    private void readObject(java.io.ObjectInputStream stream) throws Exception {
        stream.defaultReadObject();
        Runtime.getRuntime().exec(cmd);
}

但是，实际中反序列化漏洞的构造比较复杂，而且需要借助 Java 的一些特性，如 Java 的反射。