Java安全学习笔记--反序列化利用链HashMap类源码简单分析

前言

ysoserial反序列化漏洞利用工具的CC6和CC7链都使用的HashSet和Hashtable都是基于哈希表的数据存储结构,说到哈希表在Java中用的最多的使用哈希表存储结构的就是HashMap类了,同时HashMap类也是CC6链中HashSet类的底层实现基础,HashSet的增删改查方法都是基于一个在构造函数中最开始实例化的一个HashMap类,CC7链中的Hashtable类和HashMap类用法及结构也非常相似,简单分析一下HashMap的源码还是比较有意义的。

测试环境

jdk1.8

Node内部静态类

HashMap类就是通过这样一个内部类实现键值对数据存储的结构,Node类实现了Map类的Entry接口,每添加一个元素实际上就是实例化一个Node类,通过构造函数对Node类内的key和vlue属性进行赋值,同时还有一个hash函数存储的是元素的hash值,这个值在每次添加函数的时候生成。

static class Node<K,V> implements Map.Entry<K,V> {
        final int hash;
        final K key;
        V value;
        Node<K,V> next;

        Node(int hash, K key, V value, Node<K,V> next) {
            this.hash = hash;
            this.key = key;
            this.value = value;
            this.next = next;
        }

        public final K getKey()        { return key; }
        public final V getValue()      { return value; }
        public final String toString() { return key + "=" + value; }

        public final int hashCode() {
            return Objects.hashCode(key) ^ Objects.hashCode(value);
        }

        public final V setValue(V newValue) {
            V oldValue = value;
            value = newValue;
            return oldValue;
        }

        public final boolean equals(Object o) {
            if (o == this)
                return true;
            if (o instanceof Map.Entry) {
                Map.Entry<?,?> e = (Map.Entry<?,?>)o;
                if (Objects.equals(key, e.getKey()) &&
                    Objects.equals(value, e.getValue()))
                    return true;
            }
            return false;
        }
    }

hash()方法 

hash方法被称为扰动函数,它的作用就是使得哈希结果更加均匀,扰动函数的计算方式是将hashcode和无符号右移16位的hashcode后得到的值做异或运算。

   static final int hash(Object key) {
        int h;
        return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
    }

关于扰动函数为什么是这样计算,这里简单说一下 ,扰动函数设计出来是为了减少hash冲突,使得每个元素分布的更加均匀,java中的int整型的表示范围是-2^31——2^31-1,即-2147483648——2147483647,而HashMap的初始容量为16,每次扩容为原来的二倍,短时间内不会超过2的16次方,这样一来int型的前16位就很少参与到hash值的计算会使得分布不是很均匀,假设一种情况,hashCode是32位int型整数且后16位都是1

1010 1011 0101 0101 1111 1111 1111 1111

计算元素在hashMap中的下标值的算法是hash&(length-1),hashMap的容量始终为2的n次,length-1的二进制形式是固定的,第一位为0后面几位都是1,假设lengt为16,

16-1二进制 = 01111  ,这样hashCode直接和01111相与就是01111不变,那所有32位int型整数且后16位都是1的hashCode在计算出hash值后都相同分布不均匀,hash冲突概率更大。

hashCode()方法

当调用扰动函数的时候需要调用key值所代表的对象的hashCode方法,如果没有在类中没有重写hashCode方法就会调用Object类的HashCode方法,这个方法在Object类的源码中只有一个方法的声明,但实际还是会返回一个int型整数,这个整数是根据类在内存中的位置记算出来的。

看一个String类的hashCode方法:

public int hashCode() {
        int h = hash;
        if (h == 0 && value.length > 0) {
            char val[] = value;

            for (int i = 0; i < value.length; i++) {
                h = 31 * h + val[i];
            }
            hash = h;
        }
        return h;
    }

循环char数组取出字符串的字符,第一次循环h为第一个字符的ascii码,第二次循环h为 31*第一个字符的ascii码+第二个字符的ascii码,后面就重复第二次循环的步骤,最后把h作为hash值返回。

putValue方法

public V put(K key, V value) {
        return putVal(hash(key), key, value, false, true);
    }

常用的put方法就是对putValue方法的包装,直接看putValue方法

final V putVal(int hash, K key, V value, boolean onlyIfAbsent,
                   boolean evict) {
        Node<K,V>[] tab; Node<K,V> p; int n, i;
        if ((tab = table) == null || (n = tab.length) == 0)
            n = (tab = resize()).length;
        if ((p = tab[i = (n - 1) & hash]) == null)
            tab[i] = newNode(hash, key, value, null);
        else {
            Node<K,V> e; K k;
            if (p.hash == hash &&
                ((k = p.key) == key || (key != null && key.equals(k))))
                e = p;
            else if (p instanceof TreeNode)
                e = ((TreeNode<K,V>)p).putTreeVal(this, tab, hash, key, value);
            else {
                for (int binCount = 0; ; ++binCount) {
                    if ((e = p.next) == null) {
                        p.next = newNode(hash, key, value, null);
                        if (binCount >= TREEIFY_THRESHOLD - 1) // -1 for 1st
                            treeifyBin(tab, hash);
                        break;
                    }
                    if (e.hash == hash &&
                        ((k = e.key) == key || (key != null && key.equals(k))))
                        break;
                    p = e;
                }
            }
            if (e != null) { // existing mapping for key
                V oldValue = e.value;
                if (!onlyIfAbsent || oldValue == null)
                    e.value = value;
                afterNodeAccess(e);
                return oldValue;
            }
        }
        ++modCount;
        if (++size > threshold)
            resize();
        afterNodeInsertion(evict);
        return null;
    }

第一个if判断的是hashMap是被初始化过,hashMap初始化后默认长度为16(1左移4位),为什么是16呢?这个也是一个有意思的地方。

static final int DEFAULT_INITIAL_CAPACITY = 1 << 4; // aka 16

第二个if判段着重看一下if ((p = tab[i = (n - 1) & hash]) == null),这一行的作用是判断下标位置是否hash冲突了,如果冲突了HashMap使用链地址法+红黑树解决冲突,这个下标是怎么得出的呢?通过hash值与HashMap的长度值做位与运算而且hash值一般都会比hashMap长度大很多,在这里其实是在取余,为什么是取余?根据位运算的原理,一个整数向右移n位就是在除以2的n次,而被移除的n位就是余数,比如:19%8=3

8是2的3次 ,19的二进制是10011右移3位  10011  011被移除011转换10进制就是3,所以我们可以直接从移除的位数计算出取余的结果,8的二进制位1000,7的二进制位0111,7&19=3,发现了,2的n次的二进制第一位总是1其余为0,我们只要减一就会变为出了第一位是零剩下所有位都是1,这样与被模的数向与就可以得到余数了,这也是为什么HashMap的默认容量为16,而且HashMap每次扩容都是2的n次。

那为什么不直接使用取模符号进行运算呢?这个在做一些算法题也会用到,那就是对于计算机来说位运算要比加减乘除这些运算要快。

这个if语句判断这个下标位置是否已经有元素了,没有的话就会向这个下标位置添加元素,如果已经存在元素则会进入else中的代码首先会判断key值是否相同,相同的话就会修改value值,不同的话,相当于发生了hash冲突,这时会使用链表来存储相同下标的元素,而且在JAVA8中当链表的长度大于8时会将链表转换为红黑树来存储元素,具体的转换不分析了跟算法有关了。

总结

简单分析了一下HashMap源码中会经常接触到的方法,分析了putVal函数之后其实对于get方法的实现也能推出大概的实现方式,对于HashMap,HashSet,Hashtable也有了进一步的了解,后续如果有其他需要再深度分析。

上一篇:19 分布式缓存集群的伸缩性设计,IDEA太强悍了


下一篇:记--大日志文件如何查询每个搜索关键字出现的次数