HotSwappableTargetSource与XString利用分析<\/h1>

前言<\/h2>
本文详细分析HotSwappableTargetSource与XString在Java反序列化中的利用方式，解释为什么XString需要配合HotSwappableTargetSource使用而不能单独利用equals调用toString方法。<\/p>

XString单独利用分析<\/h2>

基本原理<\/h3>

XString可以通过HashMap的putVal方法触发equals调用，进而调用toString方法。关键调用链如下：<\/p>

HashMap#putVal -> XString#equals -> JSONObject#toString
<\/code><\/pre>
利用条件<\/h3>

需要向HashMap添加两个键值对<\/li>
两个键的hash值必须相同，才能触发equals比较<\/li>
第二个键的equals方法会被调用，参数是第一个键<\/li>
<\/ol>
关键代码分析<\/h3>
\/\/ HashMap.putVal关键代码
<\/span><\/span><\/span><\/span>if<\/span> (<\/span>p.<\/span>hash<\/span> ==<\/span> hash &&<\/span> ((<\/span>k =<\/span> p.<\/span>key<\/span>)<\/span> ==<\/span> key ||<\/span> (<\/span>key !=<\/span> null<\/span> &&<\/span> key.<\/span>equals<\/span>(<\/span>k))))<\/span>
<\/span><\/span><\/code><\/pre>hash碰撞问题<\/h3>
XString的hash计算特点：<\/p>

会将参数强制转换为String类型计算hash<\/li>
例如XString("x")会计算"x"的hash值<\/li>
<\/ul>
对于JSONObject中的TemplatesImpl对象存在问题：<\/p>

TemplatesImpl没有hashCode方法，会调用Object.hashCode()<\/li>
每次实例化的hashCode不同，导致本地爆破的hash值与反序列化时不一致<\/li>
<\/ul>
爆破脚本示例<\/h3>
# hash爆破脚本示例<\/span>
<\/span><\/span>for<\/span> i in<\/span> range(0<\/span>, 256<\/span>):
<\/span><\/span>    if<\/span> hash(chr(i)) %<\/span> 2048<\/span> ==<\/span> 10<\/span> %<\/span> 2048<\/span>:
<\/span><\/span>        print(chr(i))
<\/span><\/span><\/code><\/pre>HotSwappableTargetSource的妙用<\/h2>
解决hash不一致问题<\/h3>
HotSwappableTargetSource的优势：<\/p>

自身实现了hashCode方法，hash值稳定<\/li>
可以作为HashMap的键，确保hash碰撞<\/li>
在equals方法中会调用target的equals方法<\/li>
<\/ol>
调用链<\/h3>
HashMap#putVal -> 
HotSwappableTargetSource#equals -> 
XString#equals -> 
JSONObject#toString -> 
TemplatesImpl#getOutputProperties
<\/code><\/pre>
关键代码<\/h3>
\/\/ HotSwappableTargetSource.equals方法
<\/span><\/span><\/span><\/span>public<\/span> boolean<\/span> equals<\/span>(<\/span>Object obj)<\/span> {<\/span>
<\/span><\/span>    return<\/span> this<\/span>.<\/span>target<\/span>.<\/span>equals<\/span>(<\/span>obj);<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>XString其他组合利用<\/h2>
与QName的组合<\/h3>
在Resin反序列化中，XString可以与QName配合使用：<\/p>

QName实现了hashCode方法，hash值稳定<\/li>
hashCode基于构造时传入的字符串计算<\/li>
可以通过Hessian反序列化触发HashMap.put<\/li>
<\/ol>
QName的hashCode实现<\/h3>
public<\/span> int<\/span> hashCode<\/span>()<\/span> {<\/span>
<\/span><\/span>    return<\/span> this<\/span>.<\/span>qname<\/span>.<\/span>hashCode<\/span>();<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>总结对比<\/h2>



利用方式<\/th>
优点<\/th>
缺点<\/th>
<\/tr>
<\/thead>


单独XString<\/td>
直接<\/td>
受限于hash稳定性<\/td>
<\/tr>

XString+HotSwappableTargetSource<\/td>
hash稳定<\/td>
需要额外类<\/td>
<\/tr>

XString+QName<\/td>
hash可控<\/td>
特定环境<\/td>
<\/tr>
<\/tbody>
<\/table>
参考<\/h2>

https:\/\/boogipop.com\/2023\/05\/18\/Resin&&XBean反序列化利用链学习\/<\/li>
先知社区相关分析文章<\/li>
<\/ul>

利用方式<\/th>	优点<\/th>	缺点<\/th> <\/tr> <\/thead>
单独XString<\/td>	直接<\/td>	受限于hash稳定性<\/td> <\/tr>
XString+HotSwappableTargetSource<\/td>	hash稳定<\/td>	需要额外类<\/td> <\/tr>
XString+QName<\/td>	hash可控<\/td>	特定环境<\/td> <\/tr> <\/tbody> <\/table> 参考<\/h2> https:\/\/boogipop.com\/2023\/05\/18\/Resin&&XBean反序列化利用链学习\/<\/li> 先知社区相关分析文章<\/li> <\/ul>

HotSwappableTargetSource与XString利用分析<\/h1>

前言<\/h2> 本文详细分析HotSwappableTargetSource与XString在Java反序列化中的利用方式，解释为什么XString需要配合HotSwappableTargetSource使用而不能单独利用equals调用toString方法。<\/p>

XString单独利用分析<\/h2>

HotSwappableTargetSource的妙用<\/h2>

XString其他组合利用<\/h2>

参考<\/h2> https:\/\/boogipop.com\/2023\/05\/18\/Resin&&XBean反序列化利用链学习\/<\/li> 先知社区相关分析文章<\/li> <\/ul>

前言<\/h2>
本文详细分析HotSwappableTargetSource与XString在Java反序列化中的利用方式，解释为什么XString需要配合HotSwappableTargetSource使用而不能单独利用equals调用toString方法。<\/p>

参考<\/h2>

https:\/\/boogipop.com\/2023\/05\/18\/Resin&&XBean反序列化利用链学习\/<\/li>
先知社区相关分析文章<\/li> <\/ul>