CommonsCollection4反序列化链攻击原理与构造详解

本文档主要介绍了 CommonsCollections4（cc4）中的反序列化链学习，着重关注与前两个版本（cc2和cc3）的不同之处，尤其是针对序列化过程中的安全漏洞利用。首先，cc4在实际应用中主要继承了cc2的大部分功能，并结合了cc3的部分改进，因此理解cc2的序列化机制是关键。 1.1 前置知识 cc4的反序列化链学习起始于cc2的序列化策略，尤其是`InvokeTransformer`和`templatesImpl`的处理。cc3引入了一种新的方式来初始化`InstantiateTransformer`，不再像cc2那样直接操作。在cc4中，通过`newInstantiateTransformer`方法，可以将`Templates.class`和恶意的`templatesImpl`对象作为参数，传递给`InstantiateTransformer`的构造函数。这样，`InstantiateTransformer`会利用`templatesImpl`进行反射，动态创建`TrAXFilter`实例。 `ChainedTransformer`是cc4中核心的类，它接收一个Transformer数组，包括`newConstantTransformer`和`newInstantiateTransformer`创建的实例。当调用`transform`方法时，这些恶意Transformer会被依次执行，从而可能导致安全问题。其中，`TransformingComparator`是一个关键部分，它的构造过程涉及到通过`InstantiateTransformer`动态生成并调用`TrAXFilter`的构造函数。 总结来说，学习cc4的反序列化链，你需要了解如何在序列化过程中通过`InstantiateTransformer`动态创建和控制对象实例，以及如何利用这些特性构造攻击链。这对于理解Java序列化安全性和防止反序列化攻击至关重要。同时，这也提醒开发者在设计序列化机制时，应充分考虑安全防范措施，避免此类恶意操作的可能性。