前言

接着前面详细的分析了在hessian中该API的运用原理，这里接着对下面几个进行分析

Kryo

原理

简单的对Kryo协议的介绍

Kryo 是一个快速高效的 Java 二进制对象图序列化框架。该项目的目标是高速、小尺寸和易于使用的 API。任何时候需要持久保存对象时，无论是保存到文件、数据库还是通过网络，该项目都很有用。 Kryo 还可以执行自动深浅复制/克隆。这是从对象到对象的直接复制，而不是对象到字节到对象的复制。

对于该协议的反序列化漏洞可以简单的将其分为5.0.0前的版本和之后的版本

对于5.0.0之前的版本来讲，他是可以在反序列化的的过程中调用目标类的无参构造方法的，也就是可以利用前面提到的UnixPrintServiceLookup的构造方法的调用，进而最终能够调用到他的execCmd方法执行命令(如果能够修改属性值)

我们简单的研究一下为什么能够调用构造方法

一个pojo类

public class User {
    private String name;
    private int age;

    public User() {
        System.out.println("User...");
        this.name = "test";
        this.age = 18;
    }

    public String getName() {
        System.out.println("getName...");
        return name;
    }

    public void setName(String name) {
        System.out.println("getName...");
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }
}

一个测试类

import com.esotericsoftware.kryo.Kryo;
import com.esotericsoftware.kryo.io.Input;
import com.esotericsoftware.kryo.io.Output;

import java.io.ByteArrayOutputStream;

public class kryoTest {
    public static void main(String[] args) {
        Kryo kryo = new Kryo();
//        kryo.register(User.class);
        User user = new User();
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        Output output = new Output(byteArrayOutputStream);
        kryo.writeClassAndObject(output, user);
        output.close();

        Input input = new Input(byteArrayOutputStream.toByteArray());
        User object = (User) kryo.readClassAndObject(input);

        System.out.println(object.getName());

    }
}

运行结果如下

在反序列化的过程中是调用了构造方法的

反序列的入口是在readClassAndObject方法中