0x00 前言java序列化就是将java对象转化为字节流 而反序列化是字节流转化为原来的java对象，这里会有一个关键点，就是在反序列化时重写readObject()，java会自动调用readObject方法，如果里面有恶意代码就会执行

0x01前言TP5反序列化入口都是在Windows类的析构方法，通过file_exists()函数触发__toString 魔术方法，然后以__toString为中间跳板寻找代码执行点，造成反序列化任意命令执行。有关TP5的分析可以看挖掘暗

0x00前言Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 0x01原理I

0x00前言提起反序列化不是什么新鲜的名词了，无论是php还是java，最终的目的都是执行恶意代码达到RCE或权限控制的目的，总结下JAVA的反序列化的一些知识点，巩固一下。 0X01序列化与反序列化序列化：将对象转换为字节流并存储到指定文

题记回顾一下php反序列化的一些内容 靶场地址https://github.com/fine-1/php-SER-libs 前言php反序列化的魔术方法 __construct() 在对象创建时调用 __destruct() 在对象销毁时