HotSwappableTargetSource+XString利用分析-先知社区

HotSwappableTargetSource+XString利用分析

前言：为什么 XString 需要配合 HotSwappableTargetSource 进行利用而不能直接单独使用由 equals 调用到 tostring 方法。

XString 构造

这里先尝试只用 XString 来进行构造看能不能调用到 tostring 方法，拿调用

JsonObject#toString

来实验，那么链子如下，

先照着 HotSwappableTargetSource 的格式写个 poc

看上面 gadget，其实最主要的部分还是

HashMap#putVal- >XString#equals

这段调用，进入

HashMap#putVal

方法看到要想调用到 key.equals 需要不满足一个 if 条件，

需要想 hashmap 中添加两个键值对，然后注意到

tab[i = (n - 1) & hash]

，会判断这个

tab[i]

是不是空，不是就会调用 equals 方法。

所以我们需要让两次的

tab[i]

的 i 值一样，这样第二次判断时不为 null 就会调用我们需要的 equals 方法（k 参数就是上一次的 key），而这个 i 值看到主要是由 hash 决定，n 值都一样。

朔源 hash 值，看到是根据 hash(key) 得来的，

这里的两次 hashmap 键值对为下面，不难想象如果

tab[i]

不为空后最后会调用

xs.equals(jsonObject)

，

这里 XString 的 hash 值计算还有个特点，会把其参数强制转换为 string 类型来进行 hash 计算，上面是

XString("x")

所以最后会计算

hash(x)

，现在最主要的是怎么让其 hash 值相等，这里就可以用到下面这个 hash 爆破脚本

这个脚本是计算 key.hashcode()，调试看到

jsonObject.hashcode()

的值为 10

爆破的的值为

，那么构造

看到满足条件

继续跟进，最后成功来到 equals 方法

然后调用到了 JSONObject.toString 方法

不过这里再看看上面 payload 发现

要想最后调用

TemplatesImpl#getOutputProperties

方法还需要这样构造

然后再次重新爆破 hash 值，但是如果 jsonObject 中的 map 的 key 是 TemplatesImpl 对象的话其实有个问题，看看

hash(JSONObject)

，

跟进

key.hashcode()

，

主要看看这里的 this.map

这里因为TemplatesImpl 没有 hashcode 方法，会调用到 Object.hashCode()，而这个在每次实例化的时候都不一样，所以通过new实例化的TemplatesImpl和readObject实例化的TemplatesImpl是两个不同的对象，这就导致每次报错得到的 hash 和最后反序列化触发的时候始终不一样。

不过经过上面一通分析发现只是调用 tostring 方法单靠 XString 还是能做到得，那么只有最后的对象存在 hashcode 方法就行了。

HotSwappableTargetSource 妙用

接下来分析 HotSwappableTargetSource 怎么解决的最后利用问题，poc

同样到 hash 函数