来源：https://tinyurl.com/y3nzjpmn

Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库，它提供了很多强有力的数据结构类型并且实现了各种集合工具类。

1.反序列化原因

如果Java应用对用户输入的内容做了序列化，但是用户输入的内容是不可信的数据，进行了恶意构造，那么在对恶意构造的数据做反序列化处理，就会产生的非预期对象，在这个过程中就可能带来任意代码执行。

2.漏洞原理

在进行Map转换时，修改Map中的key和value会调用接口，触发内置的transform来获取类名、方法对象进行反射，其中传入的方法名，参数类型等都是可控的，那么我们就可以构造ChainedTransformer来进行反射，调用任意函数

3.影响版本

commons-collections<=3.2.1存在漏洞

4.下载地址

本文对commons-collections-3.2.1进行漏洞分析，下载地址：https://github.com/SQYY/Apache-Commons-Collections/raw/master/commons-collections-3.2.1-1.0.0.jar

5.漏洞分析

在 org/apache/commons/collections/map/TransformedMap.class中可以看到decorate()方法，它是将一个Map对象，转换成TransformedMap对象。

可以看到它会把它的三个参数带入到TransformedMap方法中，并返回实例化的结果。而在这个方法中，如上图所示，就是将Map中的key和value转换成TransformedMap中的key和value

而 transform是一个接口，即可实现数据变换的操作。当Map中的任意项的Key或者value被修改，这个接口就会被调用。

在 org/apache/commons/collections/functors/InvokerTransformer.class中，也是我们核心的关键点，可以看到它实现了transform和Serializable这两个接口

可以看到transform中，首先会getClass获取传入参数的类名，再通过getMethod获取方法对象，后调用invoke进行反射

就是说只需要传入方法名、参数类型和参数，我们就可以通过Java的反射机制可以调用任意函数。

5.修复方式

commons-collections升级到3.2.2或更高版本。

通过maven配置更新commons-collections，使用3.2.2或者新版本，参考如下