java 反序列化 漏洞

 

 

java在反序列化的时候会默认调用被重写的readObject(ObjectInputStream )方法。

在远程服务端一个需要反序列化的接口中，比如一个web服务，他那个接口调用链中有反序列化方法调用，那我在post到他的web接口中的二进制里，放一个被序列化的字节数组。web服务会根据这些字节流中的包名先解析到用哪个本地class去反序列化，首先去调用这个本地class的readObject方法。

 

为了实现恶意代码，需要确认web端广泛存在的class的readObject方法可以根据我们的入参进行执行代码。所以需要找到一个特定的广为使用的class。发现AnnotationInvocationHandler这个类，readObject方法被重写了。分析他的重写方法，调用了他的类变量map的setValue方法，继而联想到map的value改变时可以触发我们自定义的操作。想到了Apache Commons Collections的TransformedMap，普通map被他装饰了之后，（装饰的时候传入一个调用链）key或者value被修改的时候，会执行调用链的方法。

 

所以，先构建一个奇葩的AnnotationInvocationHandler，这个类的类变量map就是被Apache Commons Collections的TransformedMap装饰过的map，调用链精心设计后，在readObject方法调用时setValue执行，整个调用链在远端web被执行。于是成功。

 

所以，必备条件，第一AnnotationInvocationHandler，这个是sun的内部类，在rt.jar里，肯定都有。第二必须有map在setValue的时候执行调用链，就是Apache Commons Collections的TransformedMap。调用链必须有InvokerTransformer可以根据参数反射得到类并且执行此类的方法。

 

 

 

 

调用链：

 

执行是就是：