Java反序列化之commons-beanutils分析

TemplatesImpl类是一个可序列化的类，其中有一个属性_bytecodes，里面保存的数据在defineTransletClasses函数里将会被加载成类：

存在着这样一条调用链条：

简单来说，只要是能调用到getOutputProperties函数，就能触发包含在_bytecodes里的类构造函数被执行（这个类是由***者来实现的）。

Payload第一部分：

创建了一个BeanComparator对象，将其作为参数用来创建一个PriorityQueue，向queue对象中添加两个大整数对象（占位用）。
接着通过反射机制设置了comparator后面将会对比对象的属性为outputProperties。

Payload第二部分：

通过反射机制修改queue中数组保存的对比对象为内置了***代码的templates。
返回queue，将其生成序列化数据。

漏洞触发逻辑：
反序列化的queue的时候，其对应的PriorityQueue类readObject函数会依次读取序列化数据中的元素，放入到队列中。然后，调用heapify函数进行排序操作。

最终，会调用到siftDownUsingComparator函数，其中会调用comparator的compare方法：

compare方法中将会调用被对比对象的对应属性get方法，这里的o1，o2就是之前传入的templates对象，this.property就是之前通过反射机制修改的outputProperties。因此，最终就调用了TemplatesImpl的getOutputProperties函数，触发POC代码执行：