Java去序列化小工具--为什么这个ysoserial负载使用反射来设置TiedMapEntry？

Question

我开始研究Java反序列化小工具。我从著名的小工具开始，并查看了@matthias_kaiser的小工具链。

https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollections6.java#L65-L100

有谁能解释一下以下情况吗？

1. 为什么TiedMapEntry是通过Java仅仅使用HashSet#add()方法设置的？例如,

hashSet.add(tiedMapEntry); HashSet hashSet =新的HashSet()

我尝试了上面的方法，得到了一个serialization.异常，这使我相信在过程中可能出了问题。

1. 有没有办法找出什么可能出了问题？有关于调试的提示吗？

，

1. ，关于马提亚斯是如何想出反思“黑客”或者他的思维过程的想法吗？(我也将尝试与他和其他人联系)。

如果有其他提示(特别是在调试方面)，请与我分享，因为这将极大地帮助我理解此漏洞和其他漏洞。

Answer 1

1. --如果将TiedMapEntry添加到HashSet中，则调用hashCode()，这将触发在LazyMap上调用get()的TiedMapEntry.getValue()。这将触发变形金刚执行，这不是您想要的。

1. - 1)

的副作用

方法org.apache.commons.collections.map.LazyMap.get(Object)上的

1. 使用调试器并设置断点

1. 通过读取实现代码并使用适当的IDE (IDEA，Eclipse)

进行调试