環境參考第一個連結，直接用IDEA開啟

編譯EvilObject.java成EvilObject.class

先看poc，其中NASTY_CLASS為TemplatesImpl類，evilCode是EvilObject.class base64編碼:

final String evilClassPath = "E:\\Struts2-Vulenv-master\\PoCs-fastjson1241\\src\\main\\java\\org\\lain\\poc\\TemplatesImpl\\EvilObject.class";
        String evilCode = readClass(evilClassPath);
        final String NASTY_CLASS = "Lcom.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;";
 String payload = "{\"@type\":\"" + NASTY_CLASS +
"\",\"_bytecodes\":[\""+evilCode+"\"],'_name':'a.b','_tfactory':{ },\"_transletIndex\":0,\"_auxClasses\":{},\"_outputProperties\":{ }";
 

下面看下Poc是怎麼構造的，當使用fastjson解析json時，會自動呼叫其屬性的get方法。
TypeUtil.clss 813行下斷點，會載入TemplatesImpl類

f8會對傳入的payload做處理將_去掉，這是構造payload的關鍵一步。先處理_bytecodes

當處理_bytecodes時，f7跟進bytesValue

對傳進的做base64解碼處理，這就是為什麼payload做base64編碼處理的原因

為什麼_tfactory為{}？

fastjson只會反序列化公開的屬性和域，而com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中_bytecodes卻是私有屬性，_name也是私有域，所以在parseObject的時候需要設定Feature.SupportNonPublicField，這樣_bytecodes欄位才會被反序列化。_tfactory這個欄位在TemplatesImpl既沒有get方法也沒有set方法，這沒關係，我們設定_tfactory為{ },fastjson會呼叫其無參建構函式得_tfactory物件，這樣就解決了某些版本中在defineTransletClasses()用到會引用_tfactory屬性導致異常退出。

當處理_outputProperties時，也會把_去掉。

呼叫outputProperties屬性的get方法：

呼叫newTransformer類

呼叫TransformerImpl類，繼續f7跟進

呼叫getTransletInstance，為什麼poc中的_name和_class不為null的原因如下，387行例項化了傳入了EvilObject.class類。

這裡呼叫了EvilObject的建構函式，惡意程式碼執行。

上面是漏洞除錯分析，關於pop鏈執行的構成如下分析：
首先_bytecodes會傳入getTransletInstance方法中的defineTransletClasses方法，defineTransletClasses方法會根據_bytecodes位元組陣列new一個_class，_bytecodes載入到_class中，最後根據_class,用newInstance生成一個java例項：