Lord0
Lord0

upload-labs通关记录

运行:docker info
搜索upload-labs:docker search upload-labs
在这里插入图片描述建立镜像:docker pull c0ny1/upload-labs
查看镜像:docker images
在这里插入图片描述
运行镜像:docker run -ti -d --name upload-labs -p 32770:80 aa4fdd1dd211
(-p 小写p表示docker会选择一个具体的宿主机端口映射到容器内部开放的网络端口上
容器upload-labs启动时使用了-p,选择宿主机具体的32770端口映射到容器内部的80端口上)
在这里插入图片描述
查看正在运行的镜像:docker ps
在这里插入图片描述启动容器:docker start CONTAINER ID
停止容器:docker stop CONTAINER ID
upload-labs通关记录_第1张图片webshell原理:
向服务器上传shell,客户端通过远程连接,利用shell连接到服务器并对服务器进行操作。

Pass-01

直接上传php文件后发现,要求上传jpg或png或gif,不能上传php
upload-labs通关记录_第2张图片再查看提示后发现是js进行前端验证上传的文件类型
upload-labs通关记录_第3张图片所以上传1.php文件时要先上传修改后缀为1.jpg的文件,然后通过抓包再修改为1.php进行绕过
upload-labs通关记录_第4张图片在图片位置右击查看
upload-labs通关记录_第5张图片成功
upload-labs通关记录_第6张图片

Pass-02

上传php文件发现,文件类型错误
upload-labs通关记录_第7张图片查看提示,发现要在服务端对数据包的MIME进行检查
MIME是指文件的后缀
upload-labs通关记录_第8张图片
再查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
     
                $is_upload = true;
            } else {
     
                $msg = '上传出错!';
            }
        } else {
     
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
     
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

查看源码后发现第五行$_FILES['upload_file']['type']
是用来判断文件MIME类型是否为jpeg或png或gif
这里要知道MIME类型的的值的获取是通过HTTP请求字段里的Content-Type字段

if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif'))

上传2.php文件抓包后发现,
Content-Type: application/octet-stream
Content-Type就是要判断的类型
将其修改为 image/jpeg

upload-labs通关记录_第9张图片同样右击查看图像,成功
upload-labs通关记录_第10张图片

Pass-03

上传php文件时发现,不允许上传.asp.aspx.php.jsp后缀文件
upload-labs通关记录_第11张图片
提示也为:禁止上传.asp|.aspx|.php|.jsp后缀文件
upload-labs通关记录_第12张图片它只是限制了这几种文件的上传,其他的没有限制
也就是说这里的几种文件被列入服务器上传文件检测的黑名单,只要是这几种就不能上传。

对于黑名单绕过可以采取以下几种方法:

  1. 大小写绕过,例如将Asp,Php,aSpx…
  2. 在文件名后加上.或者空格(需要在Burp中修改)
  3. 黑名单没有的文件类型,例如asa或cer
  4. 修改php后缀为php3,php5(后面的3,5是php的版本,高版本会向低版本兼容)

但是经过测试后发现方法1,2并不能上传,只有3,4能够上传
cer文件上传后查看图片会让下个证书
upload-labs通关记录_第13张图片
但是。。其他上传成功之后查看图片信息都没有显示???

百度

然而asa文件没有显示还未解决,php3,php5不显示是因为配置文件(C:UsersxxxxxDesktopupload-labs-envApacheconfhttpd.conf)中要进行如下配置:
AddType application/x-httpd-php .php .php3 .phtml
但是。。。我没找见。。

最后查看波源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
     
                 $is_upload = true;
            } else {
     
                $msg = '上传出错!';
            }
        } else {
     
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

原来大写被转换为小写,文件末的.和空格也被删除了。。

Pass-04
同样php文件不能上传
查看提示
upload-labs通关记录_第14张图片这么多不能上传。。
查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
     
                $is_upload = true;
            } else {
     
                $msg = '上传出错!';
            }
        } else {
     
            $msg = '此文件不允许上传!';
        }
    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

还是不会。。
看了师傅们的博客才知道因为黑名单中没有.htaccess
可以利用配合Apache的.htaccess文件上传解析漏洞。

.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。
通过 .htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在 httpd.conf文件中配置。

Pass-05
直接查看提示,发现.htaccess也被列入黑名单,不能上传
upload-labs通关记录_第15张图片
尝试黑名单绕过的前两种方法:大小写,文件名后加.或空格

5.PHp上传成功
upload-labs通关记录_第16张图片
upload-labs通关记录_第17张图片
测试后发现文件名后加.和空格并不能上传

查看源码,如果与pass-04相比,会发现没有对大写的限制
就是没有这个
$file_ext = strtolower($file_ext); //转换为小写

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
     
                $is_upload = true;
            } else {
     
                $msg = '上传出错!';
            }
        } else {
     
            $msg = '此文件类型不允许上传!';
        }
    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

Pass-06

依旧是黑名单限制
upload-labs通关记录_第18张图片任然是尝试黑名单绕过的前两种方法:大小写,文件名后加.或空格

upload-labs通关记录_第19张图片尝试后发现大小写和文件名后加.不能上传

文件名后加上空格后可以上传

查看源码,与pass-04相比,会发现没有对文件名后空格的限制
即没有
$file_ext = trim($file_ext); //收尾去空

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
     
                $is_upload = true;
            } else {
     
                $msg = '上传出错!';
            }
        } else {
     
            $msg = '此文件不允许上传';
        }
    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

pass-07

查看提示,禁止上传所有可解析的后缀

upload-labs通关记录_第20张图片
不会。。
查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
     
                $is_upload = true;
            } else {
     
                $msg = '上传出错!';
            }
        } else {
     
            $msg = '此文件类型不允许上传!';
        }
    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

再次与Pass-04相比,会发现没有对文件名末的.的限制

$file_name = deldot($file_name);//删除文件名末尾的点

pass-08

同样查看提示
upload-labs通关记录_第21张图片再查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
     
                $is_upload = true;
            } else {
     
                $msg = '上传出错!';
            }
        } else {
     
            $msg = '此文件类型不允许上传!';
        }
    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

与pass-04比较的,会发现没有对
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
的限制,可以再在文件名后缀加::$DATA绕过

关于数据流$DATA

	Windows下NTFS文件系统的一个特性,即NTFS文件系统的存储数据流的一个属性DATA时,就是请求 a.asp 本身的数据,如果a.asp 还包含了其他的数据流,比如 a.asp:lake2.asp,请求 a.asp:lake2.asp::$DATA,则是请求a.asp中的流数据lake2.asp的流数据内容。
NTFS文件流实际应用
	NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$DATA。

pass-09

提示只允许上传.jpg|.png|.gif后缀的文件upload-labs通关记录_第22张图片

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
     
                $is_upload = true;
            } else {
     
                $msg = '上传出错!';
            }
        } else {
     
            $msg = '此文件类型不允许上传!';
        }
    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

看懂代码

路径拼接的是处理后的文件名$file_name,而不是$file_ext,也就是说最后保存文件的时候没有重命名而使用的原始的文件名,那相当于$file_name只经过那两段代码的过滤

$file_name = trim($_FILES['upload_file']['name']);//移除字符串两侧的空白字符
$file_name = deldot($file_name);//删除文件名末尾的点

上传时,代码会先将末尾的.去除,剩余.+空格,利用Windows系统文件命名规则,windows会忽略文件末尾的.空格,这样即可上传

pass-10

提示
upload-labs通关记录_第23张图片
源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
     
            $is_upload = true;
        } else {
     
            $msg = '上传出错!';
        }
    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

str_ireplace() 函数是替换字符串中的一些字符

抓包后发现10.php变成了10.
upload-labs通关记录_第24张图片需要双写文件名绕过10.pphphp
注意是pphpphp,而不是phpphp
upload-labs通关记录_第25张图片
pass-11

提示上传路径可控
upload-labs通关记录_第26张图片源码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
     
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
     
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
     
            $is_upload = true;
        } else {
     
            $msg = '上传出错!';
        }
    } else{
     
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}


 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

save_path是可控的,利用%00截断来绕过

截断上传的原理:

在url中%00表示ascii码中的0 ,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束,而忽略后面上传的文件或图片,只上传截断前的文件或图片

将路径改为path="upload/11.php%00",那么拼接之后,文件上传时就变成了
"upload/11.php%11.jpg",这时上传便将11.php上传进去,而11.jpg则被截断

还需注意要进行配置才能进行%00绕过

截断条件:

php版本要小于5.3.4
php.ini文件magic_quotes_gpc需要为Off状态

pass-12

同样上传路径可控

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
     
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
     
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
     
            $is_upload = true;
        } else {
     
            $msg = "上传失败";
        }
    } else {
     
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}


$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

与pass-11相比不同在于$_POST['save_path']save_path是通过post方式传的

同样是通过%00截断绕过,但是不能直接抓包在后面加上%00,因为post不会像get一样对%00进行自动解码

要在burp中Hex二进制修改,将70 68 70后面的2b改为00即可绕过

pass-13

upload-labs通关记录_第27张图片提示
upload-labs通关记录_第28张图片源码

function getReailFileType($filename){
     
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){
           
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
     
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
     
        $msg = "文件未知,上传失败!";
    }else{
     
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
     
            $is_upload = true;
        } else {
     
            $msg = "上传出错!";
        }
    }
}

因为只通过读文件的前2个字节判断文件类型
所以在在php文件中就写入
upload-labs通关记录_第29张图片修改为gif上传

上传成功但是无法查看
在这里插入图片描述这里要注意它的文件包含
upload-labs通关记录_第30张图片进行文件包含
include.php?file=upload/7320200718150134.gif
upload-labs通关记录_第31张图片成功

同样对图片马

copy 13.jpg /b + 13.php /a shell.jpg

进行文件包含

pass-14
upload-labs通关记录_第32张图片

提示使用getimagesize()检查是否为图片文件
upload-labs通关记录_第33张图片
源码

function isImage($filename){
     
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
     
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if(stripos($types,$ext)){
     
            return $ext;
        }else{
     
            return false;
        }
    }else{
     
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
     
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
     
        $msg = "文件未知,上传失败!";
    }else{
     
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
     
            $is_upload = true;
        } else {
     
            $msg = "上传出错!";
        }
    }
}

同样使用文件包含上传图片马

 $info = getimagesize($filename);
 $ext = image_type_to_extension($info[2]);

本关会通过使用getimagesize()检查是否为图片文件

`getimagesize()` 函数将测定任何 GIFJPGPNGSWFSWCPSDTIFFBMPIFFJP2JPXJB2JPCXBMWBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字符串

pass-15

提示使用exif_imagetype()检查是否为图片文件
upload-labs通关记录_第34张图片exif_imagetype()读取一个图像的第一个字节并检查其签名。 如果发现了恰当的签名则返回一个对应的常量,否则返回 FALSE。返回值和 getimagesize() 返回的数组中的索引 2 的值是一样的,但本函数快得多

同pass-13上传图片马

pass-16

提示重新渲染了图片
upload-labs通关记录_第35张图片源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
     
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
     
        if(move_uploaded_file($tmpname,$target_path))
        {
     
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
     
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
     
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                $newimagepath = UPLOAD_PATH.$newfilename;
                imagejpeg($im,$newimagepath);
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.$newfilename;
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
     
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
     
        if(move_uploaded_file($tmpname,$target_path))
        {
     
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
     
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
     
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                $newimagepath = UPLOAD_PATH.$newfilename;
                imagepng($im,$newimagepath);
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.$newfilename;
                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
     
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
     
        if(move_uploaded_file($tmpname,$target_path))
        {
     
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
     
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
     
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                $newimagepath = UPLOAD_PATH.$newfilename;
                imagegif($im,$newimagepath);
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.$newfilename;
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
     
            $msg = "上传出错!";
        }
    }else{
     
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

学习函数

imagecreatefromgif():创建一块画布,并从 GIF 文件或 URL 地址载入一副图像
imagecreatefromjpeg():创建一块画布,并从 JPEG 文件或 URL 地址载入一副图像
imagecreatefrompng():创建一块画布,并从 PNG 文件或 URL 地址载入一副图像
imagecreatefromwbmp():创建一块画布,并从 WBMP 文件或 URL 地址载入一副图像
imagecreatefromstring():创建一块画布,并从字符串中的图像流新建一副图像
move_uploaded_file() 函数将上传的文件移动到新位置。

看了看师傅们的博客
https://xz.aliyun.com/t/2657#toc-2

pass-17

提示需要代码审计

源码

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
     
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
     
        if(in_array($file_ext,$ext_arr)){
     
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
     
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
     
        $msg = '上传出错!';
    }
}

这一段代码大体意思是先将文件上传到服务器,再判断后缀名,如果合法则保留下来,如果不合法,则删除在服务器的文件

 $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);

unlink() 函数是删除文件

根据代码可以通过条件竞争的方式在unlink()函数删除之前,访问上传文件

先来了解一下条件竞争

条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。

利用条件竞争删除文件的时间差绕过

burp抓包在Intruder下选择Payload typeNull payloads就是无payload,可以无限上传
同时勾选Continue indefinitely
upload-labs通关记录_第36张图片线程设置为5,访问1000次
upload-labs通关记录_第37张图片200的返回码说明已经成功

upload-labs通关记录_第38张图片pass-18

提示需要代码审计

源码

//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
     
    require_once("./myupload.php");
    $imgFileName =time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
     
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传,但没有重命名。';
            break; 
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break; 
        case -2:
            $msg = '上传失败,上传目录不可写。';
            break; 
        case -3:
            $msg = '上传失败,无法上传该类型文件。';
            break; 
        case -4:
            $msg = '上传失败,上传的文件过大。';
            break; 
        case -5:
            $msg = '上传失败,服务器已经存在相同名称文件。';
            break; 
        case -6:
            $msg = '文件无法上传,文件不能复制到目标目录。';
            break;      
        default:
            $msg = '未知错误!';
            break;
    }
}

//myupload.php
class MyUpload{
     
......
......
...... 
  var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
      ".html", ".xml", ".tiff", ".jpeg", ".png" );

......
......
......  
  /** upload()
   **
   ** Method to upload the file.
   ** This is the only method to call outside the class.
   ** @para String name of directory we upload to
   ** @returns void
  **/
  function upload( $dir ){
     
    
    $ret = $this->isUploadedFile();
    
    if( $ret != 1 ){
     
      return $this->resultUpload( $ret );
    }

    $ret = $this->setDir( $dir );
    if( $ret != 1 ){
     
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkExtension();
    if( $ret != 1 ){
     
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkSize();
    if( $ret != 1 ){
     
      return $this->resultUpload( $ret );    
    }
    
    // if flag to check if the file exists is set to 1
    
    if( $this->cls_file_exists == 1 ){
     
      
      $ret = $this->checkFileExists();
      if( $ret != 1 ){
     
        return $this->resultUpload( $ret );    
      }
    }

    // if we are here, we are ready to move the file to destination

    $ret = $this->move();
    if( $ret != 1 ){
     
      return $this->resultUpload( $ret );    
    }

    // check if we need to rename the file

    if( $this->cls_rename_file == 1 ){
     
      $ret = $this->renameFile();
      if( $ret != 1 ){
     
        return $this->resultUpload( $ret );    
      }
    }
    
    // if we are here, everything worked as planned :)

    return $this->resultUpload( "SUCCESS" );
  
  }
......
......
...... 
};

先是 $ret = $this->move();,进行了一次文件保存,然后再 $ret = $this->renameFile();,进行了一次更改文件名,同样可以用条件竞争进行绕过

pass-19

提示为取文件名通过$_POST来获取
upload-labs通关记录_第39张图片

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
     
    if (file_exists(UPLOAD_PATH)) {
     
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
     
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
      
                $is_upload = true;
            }else{
     
                $msg = '上传出错!';
            }
        }else{
     
            $msg = '禁止保存为该类型文件!';
        }

    } else {
     
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

参考了师傅们的博客

move_uploaded_file会忽略掉文件末尾的/.
而且文件名是从$_FILES['upload_file']['tmp_name']中获取的,所以用户是可以进行控制的,所以通过/. 来进行绕过
因为文件名可控或者用move_uploaded_file函数的00截断漏洞绕过

pass-20

提示要代码审计

源码

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
     
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
     
        $msg = "禁止上传该类型文件!";
    }else{
     
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
     
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
     
            $msg = "禁止上传该后缀文件!";
        }else{
     
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
     
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
     
                $msg = "文件上传失败!";
            }
        }
    }
}else{
     
    $msg = "请选择要上传的文件!";
}

自己还是不会。。。
又看了师傅们的博客
大体意思是
$file_name经过reset($file) . '.' . $file[count($file) - 1];处理
上传数组的话会跳过$file = explode('.', strtolower($file));
后缀有白名单过滤

$ext = end($file);
$allow_suffix = array('jpg','png','gif');

最终的文件名后缀取的是$file[count($file) - 1]

让$file为数组。$file[0]为20.php/,也就是reset($file),
然后再令$file[2]为白名单中的jpg。此时end($file)等于jpg,$file[count($file) - 1]为空。
而 $file_name = reset($file) . '.' . $file[count($file) - 1];,也就是20.php/.最终move_uploaded_file会忽略掉/.最终上传20.php

说实话这一部分没理解。。

附上师傅的博客
https://xz.aliyun.com/t/4029#toc-16

结语:做的老垃圾了,时间也一直拖

你可能感兴趣的:(upload-labs通关记录)

  • 生活中的鸡毛蒜皮-----心情琐碎记录 安家妈妈
    陪孩子打预防针回来时的小发现今天天气特别的好,阳光灿烂,太阳晒得人暖融融的。可惜这么好的天气就不去郊游,而是去打预防针疫苗。孩子已经六岁了,这是最后的一次接种疫苗打针。昨天晚上接到电话,还有一点担心孩子会害怕,会不会紧张,来医院会不会怕到不敢进去。试想哪一个孩子听到打针会不紧张呢?结果过程居然顺利的不可思议,没有紧张也没有害怕,也没有反复的问。来到社区医院的大楼,还觉得非常有趣好玩的样子。为了让她
  • 口才训练的第一个礼物 Leah82
    昨天,看到陶子教练在总结里写的“随机抽,已经是很久远的年代了”,Tom教练在后面回复“久远是多远?不过是几个月罢了!”。看着就想笑。对呀,感觉很久远的事,不过是几个月而已。为什么会有这种感觉呢?因为,在这短短的几个月里,我们都经历了太多太多。成长,蜕变,口才,思想……“那久远的年代里”,曾经让自己心惊胆战的随机抽,已经是过眼云烟了。但是,我们还是记忆犹新。因为,随机抽通关,是我们跨入口才训练大门后
  • 图论记录之最短路迪杰斯特拉 Just right 算法图论java开发语言
    简述思想这个思想能用一句话来概括,精简到的极致:每次找到一个最短距离的点并更新起点到各个点的最短距离如果要可视化的话,B站搜索Dijksra算法,有视频讲解伪代码写到这里,其实是想整一个动画的,这样效果更好点,但由于种种原因所以就拖一下intdijkstr(){dist[1]=0;其余的点的距离全部初始化为真无穷,不要写成int的最大值迭代n次将不在s中的,且距离最近的点给tsj即先到t,再加上t
  • Golang标准库fmt深入解析与应用技巧 walkskyer golang标准库golangjava数据库
    Golang标准库fmt深入解析与应用技巧前言fmt包的基本使用打印与格式化输出函数Print系列函数格式化字符串格式化输入函数小结字符串格式化基本类型的格式化输出自定义类型的格式化输出控制格式化输出的宽度和精度小结错误处理与fmt使用fmt.Errorf生成错误信息fmt包与错误处理的最佳实践小结日志记录与fmtfmt包在日志记录中的应用结合log包使用fmt进行高级日志处理小结fmt与IOfm
  • ES-LTR粗排模块 poins jenkins运维
    ES-LTR粗排模块官方资源:https://github.com/HeiBoWang/elasticsearch-learning-to-rankElasticsearch学习排名插件使用机器学习提高搜索相关性排名。它为维基媒体基金会和Snagajob等地方的搜索提供了动力!这个插件有什么功能此插件:允许您在Elasticsearch中存储特征(Elasticsearch查询模板)记录特征得分(
  • 多币种预算 朱先生_hfm phpstorm
    对于开启全球业务的公司来说,公司可能是全资子公司,控股公司,以及驻外办,预算涉及的数据,可以以本位币进行填报,也可以以中间币种,或者以报告币种进行,或者使用多种币种,例如,销售使用美元、日元、英镑,费用使用港币,这就要求预算系统需要提供一个外币折算,记录汇率的功能,使得用户可以在录入数据时候使用不同的币种,之后根据汇率,把不同币种折算成系统固定的币种
  • 浅析纪录片《高考》,祝今年的高三学生都能金榜题名 嘻嘻哈哈通
    时间总会在不经意间转瞬即逝,似一缕清风从你的发梢间穿过。三年的时间约是人生的三十分之一,每个三年如果是一个阶段,总会存在这样一个阶段,让人感觉难忘,去回忆当年的青葱岁月,美好的芳华在三年的充实中度过。期间伴随的欢笑与泪水,奋斗与挣扎,回想起来,又是想起当年的一群人。本部纪录片《高考》主要讲述安徽省六安市毛坦厂镇的毛坦厂中学,里面拥有三万左右的高三学生,在为了高考而拼搏的真实记录......日与夜的
  • 六项精进2018-11-24 倪力
    泰优汇六项精进第一组打卡记录倪力【日精进打卡第180天】一、学习与实践1.付出不亚于任何人的努力2.要谦虚,不要骄傲3.要每天反省4.活着,就要感谢5.积善行,思利他6.不要有感性的烦恼二、今日分享反省:要让思考成为一种习惯!
  • Element-UI中el-time-picker时间选择器无法选择 爱健身的小刘同学 bugElementVue系列javascript前端elementui
    前言前几天开发时,在做一个时间选择时,遇到了无法选中时间的问题在网络上找了解决方法,特此记录一下解决方法我的代码结构营业时间时间选择不上的原因是因为初始值问题很有可能是最开始赋值为空数组了所以有3个解决方法1.设置为nullbusinessTimeInfo:null2.设置当前时间businessTimeInfo:[newDate(newDate()),newDate(newDate())](默认
  • 记录2022-05-15 果果圆
    计划坚持周更,去记录生活。上周计划:①坚持练字5天,每天至少20min;②学习新内容,通过实践回顾曾学知识;③做运动,5天。④每天背单词。完成度:①练字2/5;②学习进度还不错;③运动3/5;④单词6/7。加入了一个单词小组,队友和我每天都按时打卡的情况下,APP给出的当日奖励会更高,并且最终可以瓜分奖池(奖池指的不是money哦,是APP上的一种虚拟币),当然如果有人两次没打卡,整个队伍也会失去
  • 广东中鉴-简约而不简单---民国“孙小头”钱币 蜜獾不怕
    孙中山像背嘉禾壹圆银币金质呈样试铸币RMB6,160,000“孙小头”是中国钱币收藏界近代的精品,具备历史的熏陶,是价值非常高的文物,具有深远的历史纪念价值。“孙小头”意味着中华民国的建立,记录下辛亥革命这一惊天动地的历史事件,以及中华民国为提振经济而做出的改革。与此同时,“孙小头”作为第一手的实物资料,还起到考古和研究我国文化的作用,不但对研究当时的历史、政治还是经济都有着不可低估的作用。“孙小
  • Kotlin非常用关键字使用记录 Developings kotlin开发语言android
    1,typealias声明一个类型别名。样例:typealiasMyBean=ItemBeandataclassItemBean(valtitle:String,valintent:Intent)valbean=MyBean("11",Intent())实现了将ItemBean数据模型取了一个别名MyBean,后续我们可以像使用别名一样使用他们2,crossinline禁止传递给内联函数的lamb
  • Thinkphp - 详细实现网站系统登录功能,附带 Mysql 数据库设置、Web 前端展示界面、信息校验等(详细代码,即设计过程) 王佳斌 +Thinkphpmysql前端数据库
    前言登录功能,是我们几乎开发每个系统都必须的模块。登录功能设计思路,主要包括几个方面。用户输入网址展示登录页面用户输入用户名,密码等点击登录进行信息校验校验通过之后,记录用户登录信息,跳转指定页面用户校验失败,提示失败信息页面目录具体功能实现为了快速搭建可用、美观的页面,我们采用一个比较成熟的前端框架Bootstrap。下面我们到Bootstrap的官网Bootsrap官网下载bootstrap。
  • 2024.3.25力扣(1200-1400)刷题记录 Circusxxx 2024年3月力扣刷题记录leetcode算法python
    一、1784.检查二进制字符串字段1.使用0分割。分割出来的结果是含有“1”的串和空串。classSolution:defcheckOnesSegment(self,s:str)->bool:#使用0分割returnsum(len(c)!=0forcins.split("0"))bool:#除了前面可以出现0,后面不能出现#1最后出现的位置必须在0第一次出现位置的前面idx_one=0idx_ze
  • centos7 安装influxdb+telegraf+grafana 监控服务器 吕吕-lvlv grafana服务器运维
    influxdbinfluxdb是一个时间序列数据库,所有数据记录都会打上时间戳,适合存储数字类型的内容telegraftelegraf可以用于收集系统和服务的统计数据并发送到influxdbgrafanagrafana是一个界面非常漂亮,可直接读取influxdb数据展示成各种图表的开源可视化web软件安装并启动influxdb数据库vim/etc/yum.repos.d/influxdb.re
  • 时间管理训练营第六期作业:通过excell表格记录,你有什么体会? 三味淑屋
    作业没有记录就没有发生。记录,你才能够在时光的隧道里发现许多光,看到更多希望!作业1、你专注在哪里,你就会在哪里出成果。这三天的时间盘点,虽然今天还没结束,但是基本上都是按照平时的安排来进行。记录的过程中,会看到自己的时间花在哪。今年在个人成长的维度上,会看到这一块时间相对别的板块比较多,在娱乐休闲与朋友关系上的时间比较少,需要提醒自己要在时间上再做一些分配,让自己的工作和生活更平衡些。当然,这个
  • 使用POI以OLE对象的形式向excel中插入附件(pdf为例) 庄周的大鱼 excelpoiEasyExcel经验分享填充附件OLE
    前言:最近在使用easyExcel操作excel文件时,一直想找到一个方法可以往excel中填充附件,但是目前只发现POI可以插入附件,于是将方法记录如下:实现:这个方法主要是使用ApachePOI的HSSFWorkbook类来创建一个Excel文件,并在其中插入了一个作为OLE(ObjectLinkingandEmbedding)对象的PDF文件。同时,它还关联了一个图片,作为该PDF文件的预览
  • 【PHP】通过PHP开启/暂停Apache、MySQL或其他服务 下页、再停留 PHPphpapachemysql
    目录一、前言二、代码一、前言有些时候我们需要开启或暂停一些服务,比如说开启Apach或暂停MySQL服务等,最近工作中也开发了这方面的功能,记录下来怎样使用PHP语言来开启或暂停Apache、MySQL服务的运行状态。这种方法也适用其他服务。如果想了解怎么实时监控服务的运行状态,可以看上一篇文章【PHP】通过PHP实时监控Apache、MySQL服务运行状态-CSDN博客二、代码有三个参数需要根据
  • 小木块,大乐趣—中2班户外游戏观察记录 jkklmyt
    观察时间:2019.6.1210:20-10:45观察对象:张俊楠、戴烨坤观察地点:内操场观察目的:观察幼儿的搭建能力、合作能力以及交往能力。观察实录:户外活动时,张俊楠和戴烨坤运来了一些长方形的小木块,他们准备搭建一座宝塔,张俊楠对戴烨坤说:“来吧,木块够了,我们开始搭吧,”于是,两个人合作,戴烨坤拿给张俊楠搭,张俊楠把木块横着一层一层往上搭,到了塔顶上,先放了一个圆的,再放了一个三角形,最后在
  • 2.28工作日志 A段博航
    1.上午学习了做活动的ppt,怎么制作,制作内容和怎么吸引别人,让别人有兴趣了解这个产品。2.下午学习公司产品,找了一些基础题,然后记录下来上交。还找了一些关于浴缸的基础题并记录。3.需要学习的东西有很多,要付诸行动,尽快让自己成熟起来,在最短的时间内胜任这份工作,让自己变得优秀。
  • java中栈和队列的解释和使用 。。。。。96 java开发语言
    一、栈在Java中,栈(Stack)是一种基于后进先出(LIFO)原则的数据结构,用于存储和管理对象。栈通常用于方法调用、表达式求值、历史记录管理等场景。在Java中,栈的常用方法包括:push(Eitem):将元素压入栈顶。pop():移除并返回栈顶元素。peek():查看栈顶元素,但不移除它。empty():检查栈是否为空。search(Objecto):查找特定元素在栈中的位置,返回相对于栈
  • 创业札记(1) 小村大叔
    起自2012年,不安分的心开始纯纯欲动,自觉环境太过一成不变,因此萌生离开目前成熟企业,为自己未来试试不同可能的想法。自2013年初至今,作为非主导人经历3家创业公司,个中酸甜苦辣,想作些总结和记录,其中未能解决的问题也希望大家能够提出看法和建议。创业公司初接触第一家公司当时传统业务做的是淘宝卖家工具,其实有比较稳定的一年500万左右的流水,但是受淘宝限制,基本属于发展前景不大,老板就想在此基础上
  • 心情记录 想吃一碗燃面
    因为排故,晚饭后才结束一天的工作。晚上还是去跑步了,放慢步频,轻轻松松的有氧跑也是一种享受。今晚的夜很安静,没有呼啸的风声,也没有树叶的掌声,只有夜空中遥远的星星眨着眼睛。晚上二十一点十分,我合上眼前的这本知更鸟,躺在床上想我那可爱的宝贝闺女,一边又继续记录今天的心情。
  • 0524易效能2.0践行5月检视2019 秋天的盛开
    繁花似锦的五月,突破成长收获的一个月。周检视中提取素材,到月检视,发现记录越来越有意义。一、健康每天记录,周,月,感觉很好。图片发自App图片发自App图片发自App图片发自App图片发自App图片发自App图片发自App图片发自App图片发自App图片发自App图片发自App二、家庭周末陪伴家人。出差期间电话视频。第一个生日第一次到学校图片发自App图片发自App图片发自App图片发自App图片
  • 2022-07-16 一周记录 小铭的学习周记
    本周一点评了下索菲亚双休日的公告,没想到领导的反馈还不错;周中听了路演报告,问了些问题&成功勾搭上一位卖方大佬。我看的行业偶有业绩预告,在周五早上大致说了下造纸板块的情况,下午的分享汇报的反馈结果偏负面(唉)(部分原因是我选的公司没选好,哭)。本周又有新领导加入,似乎要对部门进行一系列改革,和每个人都有谈话,也了解了下我的大致情况,鼓励我们新人多出去调研,然而我的白名单都还没开全。。。。本周反省:
  • 【牛客】SQL148 筛选昵称规则和试卷规则的作答记录 talle2021 MySQL-刷题MySQL数据库
    描述现有用户信息表user_info(uid用户ID,nick_name昵称,achievement成就值,level等级,job职业方向,register_time注册时间):iduidnick_nameachievementleveljobregister_time11001牛客1号19002算法2020-01-0110:00:0021002牛客2号12003算法2020-01-0110:00
  • 蓝猴波幅13天觉察记录day2——kin132月亮的黄人 Demi瑶瑶
    感恩今天的开启~洗头了,面膜,感恩,还有什么比这更好的呢~生命的一切都来得轻松愉快并充满荣耀~图片发自App月亮的黄人,水晶的红天行者~图片发自App今日觉察:1.上午6点起了个大早,收拾好居然都快七点了,吃早餐少一张餐券,靖又分享她说话语气和善叫了几句亲爱的对方就松口了,自己虽然没看到,不过也发现了自己当时说话语气情绪化的一面,也有点浮躁,心不够静,还是感恩~早餐吃的也棒棒哒呢~2.上午分享美容
  • 自我介绍 梦幻雅致
    我是梦幻雅致,一个爱哭,爱闹,亦爱笑的女孩!我决定从今天开始启用不为别的只为记录生活,遇见生活中更好的自己!!!!图片发自App
  • 蓝桥杯day10刷题日记 jia_jia_LL 蓝桥杯蓝桥杯算法图论dfs刷题笔记数据结构
    P8604[蓝桥杯2013国C]危险系数思路:dfs,用深度优先搜索查找一次所有的线路,过程中记录每个点走过的次数,最后在与总路线数比较,相同即为每次必过的点,即关键点#includeusingnamespacestd;intn,m;inta[1010][1010],b[1010];intu,v;intcnt[1010],sum,ans;voiddfs(intx){if(x==v){sum++;f
  • Python学习笔记07 正文01 python学习笔记
    第十三章,面向对象初识对象生活中数据的组织学校开学,要求学生填写自己的基础信息,一人发一张白纸,让学生自己填我叫林军杰,今年31岁.来自山东省,我是男的,中国人内容混乱改为登记表,打印出来让学生自行填写:姓名林军杰姓别男国籍中国籍贯山东省年龄31整洁明了程序中数据的组织在程序中简单使用变量来记录学生信息student_1={"姓名":"周杰轮","性别":"男","国籍":"中国","籍贯":"台
  • web前段跨域nginx代理配置 刘正强 nginxcmsWeb
    nginx代理配置可参考server部分 server {         listen       80;         server_name  localhost;
  • spring学习笔记 caoyong spring
    一、概述     a>、核心技术 : IOC与AOP b>、开发为什么需要面向接口而不是实现     接口降低一个组件与整个系统的藕合程度,当该组件不满足系统需求时,可以很容易的将该组件从系统中替换掉,而不会对整个系统产生大的影响 c>、面向接口编口编程的难点在于如何对接口进行初始化,(使用工厂设计模式)
  • Eclipse打开workspace提示工作空间不可用 0624chenhong eclipse
    做项目的时候,难免会用到整个团队的代码,或者上一任同事创建的workspace, 1.电脑切换账号后,Eclipse打开时,会提示Eclipse对应的目录锁定,无法访问,根据提示,找到对应目录,G:\eclipse\configuration\org.eclipse.osgi\.manager,其中文件.fileTableLock提示被锁定。 解决办法,删掉.fileTableLock文件,重
  • Javascript 面向对面写法的必要性? 一炮送你回车库 JavaScript
    现在Javascript面向对象的方式来写页面很流行,什么纯javascript的mvc框架都出来了:ember 这是javascript层的mvc框架哦,不是j2ee的mvc框架   我想说的是,javascript本来就不是一门面向对象的语言,用它写出来的面向对象的程序,本身就有些别扭,很多人提到js的面向对象首先提的是:复用性。那么我请问你写的js里有多少是可以复用的,用fu
  • js array对象的迭代方法 换个号韩国红果果 array
    1.forEach 该方法接受一个函数作为参数, 对数组中的每个元素 使用该函数  return 语句失效 function square(num) { print(num, num * num); } var nums = [1,2,3,4,5,6,7,8,9,10]; nums.forEach(square); 2.every 该方法接受一个返回值为布尔类型
  • 对Hibernate缓存机制的理解 归来朝歌 session一级缓存对象持久化
    在hibernate中session一级缓存机制中,有这么一种情况: 问题描述:我需要new一个对象,对它的几个字段赋值,但是有一些属性并没有进行赋值,然后调用 session.save()方法,在提交事务后,会出现这样的情况: 1:在数据库中有默认属性的字段的值为空 2:既然是持久化对象,为什么在最后对象拿不到默认属性的值? 通过调试后解决方案如下: 对于问题一,如你在数据库里设置了
  • WebService调用错误合集 darkranger webservice
     Java.Lang.NoClassDefFoundError: Org/Apache/Commons/Discovery/Tools/DiscoverSingleton 调用接口出错, 一个简单的WebService import org.apache.axis.client.Call;import org.apache.axis.client.Service; 首先必不可
  • JSP和Servlet的中文乱码处理 aijuans Java Web
    JSP和Servlet的中文乱码处理 前几天学习了JSP和Servlet中有关中文乱码的一些问题,写成了博客,今天进行更新一下。应该是可以解决日常的乱码问题了。现在作以下总结希望对需要的人有所帮助。我也是刚学,所以有不足之处希望谅解。 一、表单提交时出现乱码: 在进行表单提交的时候,经常提交一些中文,自然就避免不了出现中文乱码的情况,对于表单来说有两种提交方式:get和post提交方式。所以
  • 面试经典六问 atongyeye 工作面试
    题记:因为我不善沟通,所以在面试中经常碰壁,看了网上太多面试宝典,基本上不太靠谱。只好自己总结,并试着根据最近工作情况完成个人答案。以备不时之需。 以下是人事了解应聘者情况的最典型的六个问题: 1 简单自我介绍 关于这个问题,主要为了弄清两件事,一是了解应聘者的背景,二是应聘者将这些背景信息组织成合适语言的能力。 我的回答:(针对技术面试回答,如果是人事面试,可以就掌
  • contentResolver.query()参数详解 百合不是茶 androidquery()详解
    收藏csdn的博客,介绍的比较详细,新手值得一看 1.获取联系人姓名 一个简单的例子,这个函数获取设备上所有的联系人ID和联系人NAME。 [java]  view plain copy   public void fetchAllContacts() {      
  • ora-00054:resource busy and acquire with nowait specified解决方法 bijian1013 oracle数据库killnowait
            当某个数据库用户在数据库中插入、更新、删除一个表的数据,或者增加一个表的主键时或者表的索引时,常常会出现ora-00054:resource busy and acquire with nowait specified这样的错误。主要是因为有事务正在执行(或者事务已经被锁),所有导致执行不成功。 1.下面的语句
  • web 开发乱码 征客丶 springWeb
    以下前端都是 utf-8 字符集编码 一、后台接收 1.1、 get 请求乱码 get 请求中,请求参数在请求头中; 乱码解决方法: a、通过在web 服务器中配置编码格式:tomcat 中,在 Connector 中添加URIEncoding="UTF-8"; 1.2、post 请求乱码 post 请求中,请求参数分两部份, 1.2.1、url?参数,
  • 【Spark十六】: Spark SQL第二部分数据源和注册表的几种方式 bit1129 spark
    Spark SQL数据源和表的Schema case class apply schema parquet json JSON数据源 准备源数据 {"name":"Jack", "age": 12, "addr":{"city":"beijing&
  • JVM学习之:调优总结 -Xms -Xmx -Xmn -Xss BlueSkator -Xss-Xmn-Xms-Xmx
      堆大小设置JVM 中最大堆大小有三方面限制:相关操作系统的数据模型(32-bt还是64-bit)限制;系统的可用虚拟内存限制;系统的可用物理内存限制。32位系统下,一般限制在1.5G~2G;64为操作系统对内存无限制。我在Windows Server 2003 系统,3.5G物理内存,JDK5.0下测试,最大可设置为1478m。典型设置: java -Xmx355
  • jqGrid 各种参数 详解(转帖) BreakingBad jqGrid
      jqGrid 各种参数 详解 分类:  源代码分享  个人随笔请勿参考  解决开发问题 2012-05-09 20:29   84282人阅读   评论(22)   收藏   举报 jquery 服务器 parameters function ajax string  
  • 读《研磨设计模式》-代码笔记-代理模式-Proxy bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.lang.reflect.InvocationHandler; import java.lang.reflect.Method; import java.lang.reflect.Proxy; /* * 下面
  • 应用升级iOS8中遇到的一些问题 chenhbc ios8升级iOS8
    1、很奇怪的问题,登录界面,有一个判断,如果不存在某个值,则跳转到设置界面,ios8之前的系统都可以正常跳转,iOS8中代码已经执行到下一个界面了,但界面并没有跳转过去,而且这个值如果设置过的话,也是可以正常跳转过去的,这个问题纠结了两天多,之前的判断我是在 -(void)viewWillAppear:(BOOL)animated  中写的,最终的解决办法是把判断写在 -(void
  • 工作流与自组织的关系? comsci 设计模式工作
      目前的工作流系统中的节点及其相互之间的连接是事先根据管理的实际需要而绘制好的,这种固定的模式在实际的运用中会受到很多限制,特别是节点之间的依存关系是固定的,节点的处理不考虑到流程整体的运行情况,细节和整体间的关系是脱节的,那么我们提出一个新的观点,一个流程是否可以通过节点的自组织运动来自动生成呢?这种流程有什么实际意义呢?   这里有篇论文,摘要是:“针对网格中的服务
  • Oracle11.2新特性之INSERT提示IGNORE_ROW_ON_DUPKEY_INDEX daizj oracle
    insert提示IGNORE_ROW_ON_DUPKEY_INDEX 转自:http://space.itpub.net/18922393/viewspace-752123 在 insert into tablea ...select * from tableb中,如果存在唯一约束,会导致整个insert操作失败。使用IGNORE_ROW_ON_DUPKEY_INDEX提示,会忽略唯一
  • 二叉树:堆 dieslrae 二叉树
        这里说的堆其实是一个完全二叉树,每个节点都不小于自己的子节点,不要跟jvm的堆搞混了.由于是完全二叉树,可以用数组来构建.用数组构建树的规则很简单:     一个节点的父节点下标为: (当前下标 - 1)/2     一个节点的左节点下标为: 当前下标 * 2 + 1   &
  • C语言学习八结构体 dcj3sjt126com c
    为什么需要结构体,看代码 # include <stdio.h> struct Student //定义一个学生类型,里面有age, score, sex, 然后可以定义这个类型的变量 { int age; float score; char sex; } int main(void) { struct Student st = {80, 66.6,
  • centos安装golang dcj3sjt126com centos
    #在国内镜像下载二进制包 wget -c  http://www.golangtc.com/static/go/go1.4.1.linux-amd64.tar.gz tar -C /usr/local -xzf go1.4.1.linux-amd64.tar.gz   #把golang的bin目录加入全局环境变量 cat >>/etc/profile<
  • 10.性能优化-监控-MySQL慢查询 frank1234 性能优化MySQL慢查询
    1.记录慢查询配置 show variables where variable_name like 'slow%' ; --查看默认日志路径 查询结果:--不用的机器可能不同 slow_query_log_file=/var/lib/mysql/centos-slow.log 修改mysqld配置文件:/usr /my.cnf[一般在/etc/my.cnf,本机在/user/my.cn
  • Java父类取得子类类名 happyqing javathis父类子类类名
      在继承关系中,不管父类还是子类,这些类里面的this都代表了最终new出来的那个类的实例对象,所以在父类中你可以用this获取到子类的信息!   package com.urthinker.module.test; import org.junit.Test; abstract class BaseDao<T> { public void
  • Spring3.2新注解@ControllerAdvice jinnianshilongnian @Controller
    @ControllerAdvice,是spring3.2提供的新注解,从名字上可以看出大体意思是控制器增强。让我们先看看@ControllerAdvice的实现:   @Target(ElementType.TYPE) @Retention(RetentionPolicy.RUNTIME) @Documented @Component public @interface Co
  • Java spring mvc多数据源配置 liuxihope spring
    转自:http://www.itpub.net/thread-1906608-1-1.html 1、首先配置两个数据库 <bean id="dataSourceA" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close&quo
  • 第12章 Ajax(下) onestopweb Ajax
    index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
  • BW / Universe Mappings blueoxygen BO
      BW Element OLAP Universe Element Cube  Dimension Class Charateristic A class with dimension and detail objects (Detail objects for key and desription) Hi
  • Java开发熟手该当心的11个错误 tomcat_oracle java多线程工作单元测试
    #1、不在属性文件或XML文件中外化配置属性。比如,没有把批处理使用的线程数设置成可在属性文件中配置。你的批处理程序无论在DEV环境中,还是UAT(用户验收 测试)环境中,都可以顺畅无阻地运行,但是一旦部署在PROD 上,把它作为多线程程序处理更大的数据集时,就会抛出IOException,原因可能是JDBC驱动版本不同,也可能是#2中讨论的问题。如果线程数目 可以在属性文件中配置,那么使它成为
  • 推行国产操作系统的优劣 yananay windowslinux国产操作系统
    最近刮起了一股风,就是去“国外货”。从应用程序开始,到基础的系统,数据库,现在已经刮到操作系统了。原因就是“棱镜计划”,使我们终于认识到了国外货的危害,开始重视起了信息安全。操作系统是计算机的灵魂。既然是灵魂,为了信息安全,那我们就自然要使用和推行国货。可是,一味地推行,是否就一定正确呢? 先说说信息安全。其实从很早以来大家就在讨论信息安全。很多年以前,就据传某世界级的网络设备制造商生产的交
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他