TemplatesImpl类是一个可序列化的类,其中有一个属性_bytecodes,里面保存的数据在defineTransletClasses函数里将会被加载成类:
存在着这样一条调用链条:
简单来说,只要是能调用到getOutputProperties函数,就能触发包含在_bytecodes里的类构造函数被执行(这个类是由攻击者来实现的)。
Payload第一部分:
创建了一个BeanComparator对象,将其作为参数用来创建一个PriorityQueue,向queue对象中添加两个大整数对象(占位用)。
接着通过反射机制设置了comparator后面将会对比对象的属性为outputProperties。
Payload第二部分:
通过反射机制修改queue中数组保存的对比对象为内置了攻击代码的templates。
返回queue,将其生成序列化数据。
漏洞触发逻辑:
反序列化的queue的时候,其对应的PriorityQueue类readObject函数会依次读取序列化数据中的元素,放入到队列中。然后,调用heapify函数进行排序操作。
最终,会调用到siftDownUsingComparator函数,其中会调用comparator的compare方法:
compare方法中将会调用被对比对象的对应属性get方法,这里的o1,o2就是之前传入的templates对象,this.property就是之前通过反射机制修改的outputProperties。因此,最终就调用了TemplatesImpl的getOutputProperties函数,触发POC代码执行:
本文转自fatshi51CTO博客,原文链接: http://blog.51cto.com/duallay/2050088,如需转载请自行联系原作者