由于前面有一堆的read*操作在demarshalContext函数中，那么我们可以看下对应marshalContext函数是怎么把对象序列化并且包装发出去的

这里WSIFPort_EJB对象在反序列化的时候回去调用一个对象fieldEjbObject，这个对象的构造稍微麻烦点，我是直接重写了com.ibm.ejs.container.EJSWrapper#getHandle函数，这样所有的构造都有可以在这里面进行，后面会讲到如何进行构造，到目前我们可以进行到反序列化的点，整体的调用链如下（主要是前面提到的inputStream.read_any()到最后调用的函数）

到这里不由得让我们想起了之前那个RMIBYPASS的场景https://www.veracode.com/blog/research/exploiting-jndi-injections-java ，倒着我们就可以自定义一个RMI服务，将bind的内容设置成我们可以控制的org.apache.wsif.naming.WSIFServiceStubRef类型，就可以到最下面的函数，为什么上面那个org.apache.wsif.naming.WSIFServiceRef不行，因为前面提到了这个类必须要是EJBHOME的实现类，上面的明显不符合要求，下面的是通过动态代理来生成一个指定接口的类，而且接口的类型我们也可以控制，所以接下来就是如何利用wsif服务来进行代码执行了。

这里ctx.lookup里面的jndi的地址可以设置为自定义rmi的服务，具体的RMI服务代码如下