0x00 前言

反序列化总纲
cc链无非就是不同的调用拼接在一起形成的，比如cc5就是在cc1的基础上进行调用调整的。

0x01 BadAttributeValueExpException

在LazyMap的基础上，发现了一个新的调用方式，就是通过 TiedMapEntry+BadAttributeValueExpException的方式进行调用的。

在之前，我们知道LazyMap需要调用get方法才可以触发，那么我们的主题就是如果去触发LazyMap的get方法。

1.TiedMapEntry

首先来看这个类的构造方法。
可以看到存储了一个Map对象

然后找此类中调用map.get的地方

然后继续找getValue的地方，可以看到三个方法equals，hashcode，toString

那么也就是说只要找到一个类的readObject中可以触发这四个方法就可以续上我们的LazyMap。

2.BadAttributeValueExpException

来看这个类的readObject方法，可以看到toString的方法

要想执行到toString方法，那么val就不能为空，所以我们需要对val进行一个赋值。

poc：

Field valfield = val.getClass().getDeclaredField("val");
      Reflections.setAccessible(valfield);
valfield.set(val, entry);

当val有值了之后就会触发toString方法，就会走到TiedMapEntry，然后调用LazyMap的get方法，然后走迭代链或者其迭代链。

0x03 使用条件

• 除最新版本无限制

0x04 要点笔记

• 通过TiedMapEntry包裹LazyMap
• 通过BadAttributeValueExpException调用toString方法

有空可以关注一下公众号鸭