文章目录
- Java-CommonsCollections2TemplatesImpl利用链分析
- 完整代码
Java-CommonsCollections2TemplatesImpl利用链分析
我们知道我们之前可以利用TemplatesImpl 构造出⽆Transformer数组的利⽤链,那这里是否可以实现呢,答案是是的,在这里的queue
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_加载](https://file.cfanz.cn/uploads/png/2022/10/26/18/6I9X5ae037.png "在这里插入图片描述")
现在开始正文,还是稍微详细说一下利用过程吧
现在我们的目标就是通过PriorityQueue来调用TemplatesImpl的newTransformer来加载字节码
Transformer transformer = new InvokerTransformer("newTransformer", null, null);
通过readObject调用heapify
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_java_02](https://file.cfanz.cn/uploads/png/2022/10/26/18/14884E5G97.png "在这里插入图片描述")
再调用siftDown
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_java_03](https://file.cfanz.cn/uploads/png/2022/10/26/18/Gf58B83aY6.png "在这里插入图片描述")
再调用siftDownUsingComparator
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_java_04](https://file.cfanz.cn/uploads/png/2022/10/26/18/K011Q294DC.png "在这里插入图片描述")
通过调用compare
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_加载_05](https://file.cfanz.cn/uploads/png/2022/10/26/18/85W1d5fV3b.png "在这里插入图片描述")
触发TransformingComparator的compare方法
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_加载_06](https://file.cfanz.cn/uploads/png/2022/10/26/18/17Lcb5H4E1.png "在这里插入图片描述")
通过InvokerTransformer利用反射来调用TemplatesImpl的newTransformer
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_加载_07](https://file.cfanz.cn/uploads/png/2022/10/26/18/B237D1KPV7.png "在这里插入图片描述")
触发TemplatesImpl的newTransformer,
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_java_08](https://file.cfanz.cn/uploads/png/2022/10/26/18/f07Y752f40.png "在这里插入图片描述")
调用getTransletInstance
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_字节码_09](https://file.cfanz.cn/uploads/png/2022/10/26/18/6e6879J75U.png "在这里插入图片描述")
调用Classloader的defineClass实现字节码调用
![[Java反序列化]Java-CommonsCollections2TemplatesImpl利用链分析_字节码_10](https://file.cfanz.cn/uploads/png/2022/10/26/18/X1I828Z66L.png "在这里插入图片描述")
完整代码
见phith0n/JavaThings
