java 反序列化 漏洞

 

 

java在反序列化的时候会默认调用被重写的readObject(ObjectInputStream )方法。

在远程服务端一个须要反序列化的接口中，好比一个web服务，他那个接口调用链中有反序列化方法调用，那我在post到他的web接口中的二进制里，放一个被序列化的字节数组。web服务会根据这些字节流中的包名先解析到用哪一个本地class去反序列化，首先去调用这个本地class的readObject方法。

 

为了实现恶意代码，须要确认web端普遍存在的class的readObject方法能够根据咱们的入参进行执行代码。因此须要找到一个特定的广为使用的class。发现AnnotationInvocationHandler这个类，readObject方法被重写了。分析他的重写方法，调用了他的类变量map的setValue方法，继而联想到map的value改变时能够触发咱们自定义的操做。想到了Apache Commons Collections的TransformedMap，普通map被他装饰了以后，（装饰的时候传入一个调用链）key或者value被修改的时候，会执行调用链的方法。

 

因此，先构建一个奇葩的AnnotationInvocationHandler，这个类的类变量map就是被Apache Commons Collections的TransformedMap装饰过的map，调用链精心设计后，在readObject方法调用时setValue执行，整个调用链在远端web被执行。因而成功。

 

因此，必备条件，第一AnnotationInvocationHandler，这个是sun的内部类，在rt.jar里，确定都有。第二必须有map在setValue的时候执行调用链，就是Apache Commons Collections的TransformedMap。调用链必须有InvokerTransformer能够根据参数反射获得类而且执行此类的方法。

 

 

 

 

调用链：

 

执行是就是：