apache-commons-collections4反序列化链分析
apache-commons-collections4反序列化链是ACC2和ACC3链的组合,没用到啥新的知识点,分析过ACC2和ACC3链的应该比较简单
复现环境
JDK7+CommonsCollections4
漏洞分析
看到CommonsCollections4类的getObject方法,同样的生成恶意的TemplatesImpl对象
然后实例化ConstantTransformer对象并用String.class
进行占位,后面再反射赋值
然后实例化InstantiateTransformer对象,通过String.class
、foo进行占位,也是后面通过反射赋值
实例化ChainedTransformer对象,传入Transformer数组,可以看到,这里利用的Transformer数组和ACC3的一样,都是TrAXFilter和InstantiateTransformer。实例化PriorityQueue对象,比较器是TransformingComparator类
跟进TransformingComparator类,可以看到this.transformer
被赋值为了ChainedTransformer对象,当反序列化重新构造PriorityQueue队列的时候会调用比较器进行重构,这时候会调用ChainedTransformer.transform
方法,进而调用一系列的transform方法执行系统命令
至此。ACC4链就构造完毕了
总结
ACC4的就是结合ACC2和ACC3链的知识重新构造了一条链罢了