深入解读命令执行:基本概念、攻击技术和防范应对

数据来源

部分数据来源:ChatGPT 

命令执行简介

01 命令执行漏洞产生原因

        命令执行漏洞的产生原因主要是输入验证不严格、代码逻辑错误、应用程序或系统中缺少安全机制等。攻击者可以通过构造特定的输入向应用程序或系统注入恶意代码,从而在受攻击的主机上执行任意命令。

具体来说,以下是一些产生命令执行漏洞的常见原因:

  1. 输入参数没有进行充分过滤和验证,使得攻击者可以往其中注入命令执行语句。

  2. 应用程序或系统中使用了不安全的API和库函数,使得攻击者能够构造可执行代码的语句。

  3. 没有抵御脚本注入攻击的有效措施(比如跨站脚本攻击),导致攻击者能够通过此类攻击向目标输入特殊字符和各种恶意代码。

  4. 程序或系统对外部命令的调用机制不完善,以至于攻击者可以利用该机制进行命令执行攻击。

  5. 系统环境变量被污染,使得攻击者针对性地构造命令引起非预期的行为发生。

  6. 代码实现者可能出于某些原因误坎了发布设计缺陷的代码,经轻松后门构造,导致了命令执行漏洞。

        因此,在进行应用程序或系统开发时,应该特别注意输入验证与过滤、代码逻辑和架构安全、外部调用机制的安全性和足够防御脚本注入攻击的保护措施。

02 命令执行漏洞的危害 

        命令执行漏洞带来的危害非常大,因为攻击者可以通过此类漏洞对应用程序或系统进行远程代码执行攻击,从而实现窃取、修改、破坏、控制目标系统等攻击行为。

具体来说,以下是一些常见的命令执行漏洞危害:

  1. 数据泄露:攻击者可以利用漏洞执行命令,获取机密信息、用户个人数据和敏感系统凭证等敏感信息。

  2. 恶意软件感染:攻击者可以通过注入恶意代码感染企业系统,如插入木马病毒、勒索软件和挖矿蠕虫等恶意软件。

  3. 远程控制: 攻击者可以通过命令执行漏洞获取对受害者计算机的远程控制权限,执行各种指令,包括文件操作、网络操作、启停服务、在目标主机上部署后门等。

  4. 服务器挂掉/瘫痪:由于可执行任意命令且没有限制,攻击者可以向目标服务器发送大量恶意请求,导致服务器崩溃,停止服务,从而造成巨大经济损失。

        综上所述,命令执行漏洞带来的危害不可忽视。要避免这种漏洞,应该加强代码审查、输入校验和过滤、熟悉系统中可用API的安全约束以及采取其他防御措施。

03 远程代码执行

        远程代码执行(Remote Code Execution, RCE)漏洞通常是由于开发者在编写应用程序或系统时没有充分考虑安全性而导致的。

以下是一些可能导致远程代码执行漏洞的原因:

  1. 未经严格验证的用户传输数据:如果应用程序或系统没有对用户输入的数据进行适当的验证和过滤,攻击者就可以在这些输入中注入恶意代码,并通过远程代码执行 exploit 执行其控制的命令。

  2. 不正确的访问控制:如果应用程序或系统没有正确地实现访问控制机制,那么攻击者就可能通过受控的请求来利用应用程序内部权限,导致远程代码执行漏洞。例如,攻击者可能会访问受限于管理用户权限的接口并注入恶意代码。

  3. 缺少输入/输出过滤:当应用程序或系统缺少必要的输入/输出过滤时,攻击者就可以借此注入特定的操作指令,这些操作指令可能未被完全验证并未加以过滤而导致了RCE 漏洞。

  4. 没有保护机制:如果在应用程序或系统中没有实施足够保护机制,攻击者就可以使用攻击载荷以及不正确的系统配置,从而获取远程执行代码的权限。这通常是由于应用程序或系统较旧,已过时并未得到维护的原因。

        总之,为了避免远程代码执行漏洞的发生,请开发团队仔细审核所有应用程序及其接口,并确保在编写代码时考虑必要的安全措施和输入校验。

1)远程代码执行- eval函数

        eval()函数的使用可能会导致远程代码执行(RCE)漏洞,被黑客利用的原因在于该函数可动态地将字符串解析为 JavaScript 代码,并在当前上下文中执行。这意味着攻击者可以构造恶意字符串并传递给 eval() 函数来进行攻击,从而绕过所有访问权限检查和安全控制,实现从远程位置对目标服务器执行任意代码的代码注入攻击。黑客甚至可以通过提交文件或直接开放端口等方式从系统内部远离控制整个应用程序。

        例如,一个网站可能允许用户通过 URL 获取信息。如果未能正确验证用户输入并使用 eval() 来运行脚本,则攻击者可以发送包含恶意代码的请求,生效后,该代码就会被自动执行;从而使黑客能够从远程位置获取非法授权访问,以及无限制地运行任何可能危及主机的任何程序。由此可见,eval()如果不合理使用,会更大增加系统漏洞产生的概率,不仅在 web 应用程序中,在其他语言环境下也同样存在相似漏洞潜在风险。

        因此,为避免 eval() 导致 RCE 漏洞风险,程序员必须小心谨慎地使用该函数并对应用程序进行仔细的代码审计和测试,对用户输入和数据处理进行严格验证,以避免恶意代码注入和攻击。

2)远程代码执行 - assert函数

        assert()函数是一种用于执行断言测试的PHP函数。在 PHP 中,assert() 是一个非常强大的函数,因为它允许程序员动态地执行代码,并以此来比较某些条件或检查许多系统的状态。但如果不恰当使用,则可能导致严重漏洞,特别是远程代码执行攻击(RCE) 。

        黑客可能利用assert()函数中的漏洞来实现RCE攻击,其主要原理是将用户输入直接传给assert()函数进行检测。当应用程序未正确过滤和验证用户提供的输入时,黑客可以通过构造具有攻击性代码的输入,从而成功执行任意代码并获取服务器控制权。

        例如,一个网站允许用户上传一个 PHP 文件作为个人资料照片,没有正确的对文件内容进行校验,那么,一个黑客可隐藏着可执行恶意代码从而达到 RCE 的目的。当管理员看到该照片时,assert()函数会在传递相应照片的 filename 属性时动态地执行这部分代码,这样就突破了页面的访问限制并使得黑客进入受害端的代码库。

        为避免这种安全漏洞对于 PHP 程序员来说,应始终对所有传递给 assert() 函数的数据进行验证和过滤,并防止 PHP 代码中存在任何可预测或不安全的断言测试。 同时,合理应用 PHP 内置安全函数库的方法和常规开发优化等基本安全意识也更有必要。

3)远程代码执行 - preg_replace函数

        preg_replace()函数是PHP中一个用于对字符串执行正则表达式搜索和替换的函数,它既强大又灵活。然而,如果未恰当使用 preg_replace() 函数,则可能产生安全漏洞,特别是远程代码执行(RCE)攻击风险。

        黑客会利用 preg_replace() 函数的某些特性,如模式修饰符 /e 、 eval 替换等等,来实现RCE攻击。例如,黑客可以创建由含有 PHP 代码的字符串,并将其提交到带有 preg_replace() 函数的表单中。如果输入验证不充分并且未提供足够的过滤,语句会将黑客的字符串放入到执行上下文中,从而执行任意 PHP 代码。这就给黑客提供了许多方式可利用用户提供的数据来执行任意代码,甚至可能导致服务器被远程接管。

        为避免此类问题发生,应该始终通过与预期的输入匹配的参数化查询来处理动态构建的查询,使用过滤器函数来确保数据类型的正确性,并剥离潜在的危险组成部分,特别针对所有 preg_replace() 调用做好输入数据验证和过滤。还需要仔细阅读 PHP 文档,深入研究 preg_replace() 的工作原理,以及其存在哪些安全隐患,并避免在代码中使用 /e 标志或其他可执行替换的特性,以减少漏洞被利用的可能性。

利用示例:

在php的www目录下创建一个preg_replace.php文件,内容如下:

<?php preg_replace("/test/e",$_POST["cmd"],"just test");?>

 可以使用菜刀连接或浏览器的插件Hackbar执行

C刀连接 

4)远程代码执行- array_map函数

        array_map()函数是 PHP 中的一项功能较强大的函数,用于对数组中的所有元素按照相同的方式进行操作。尽管其本身并不直接提供远程代码执行(RCE)攻击的风险,但如果未正确使用,则可能会产生安全隐患。

        黑客通常可利用 array_map() 函数类似 eval 一样运行用户可控制的代码的特性来实现 RCE 攻击。例如,黑客通过应用程序提交构造的PHP代码作为函数,最终将恶意脚本编译到函数体的某个位置以进行攻击。这就意味着,当该函数被调用时,攻击者的代码将执行,再次使得黑客可以获取服务器的访问权限。

        为避免此类问题发生,需要在处理动态构建函数时采取严格的输入验证和数据过滤。 最好的方法是在不需要任意代码执行的情况下禁止 arrmap_map() 的使用,并利用其他可靠工具和安全库实现类似功能, 如foreach等语句等。在任何情况下也应该避免使用用户可操作或可控制的数据来创建函数或处理HTML模板等事务,防止黑客利用已知漏洞引导代码来获取服务器访问权限。

5)远程代码执行 - create_function函数

        create_function()函数是 PHP 中的一个内置函数,用于创建一个新的匿名函数并返回该函数的名称。这使得可以将函数当作一种数据类型进行操作并将其传递给其他函数。尽管在某些情况下很有用,但如果未正确使用,则可能产生安全隐患,特别是远程代码执行(RCE)攻击。

        黑客经常会利用 create_function() 函数的漏洞实现远程代码执行。

例子:

$inputCode = 'var_dump(phpinfo());'; 
$func=create_function('', $inputCode); $func(); 

        变量 $inputCode 采用了用户输入,这就为黑客提供了可控制参数和生成自由形式的PHP代码的机会,而不是直接编写新函数来实现相同的功能。黑客使用可控制的 eval() 或 preg_replace() 等正则表达式函数等建立新的代码字符串,并通过 create_function() 来溢出shell执行上下文范畴,从而能够运行恶意代码。

        为了避免此类问题,最好在编写您的代码时完全避免使用create_function()函数。因为现有的PHP版本中已删除此功能,这可大大减少了黑客攻击的空间。如果确实需要动态地构造新的PHP代码,应该改用受信任的框架和库提供的支持工具,如lambda或闭包,以及过滤和验证所有用户输入,并堆栈溢出等漏洞进行正确管理。最大限度地降低压力,保证代码执行过程的安全性和可靠性,提高应用程序面对攻击的韧性。

6)远程代码执行- caLL_user_func函数

        call_user_func()函数是 PHP 中的一个内置函数,用于将函数作为参数传递并调用它。尽管其本身没有直接提供远程代码执行(RCE)攻击的风险,但如果未正确使用,则可能会产生安全隐患。

        黑客可以利用 call_user_func() 函数可接受用户控制参数的特性来实现 RCE 攻击。例如,黑客利用漏洞动态构建payload并在该函数中执行恶意代码

例子:

$inputCode = 'phpinfo();'; // 攻击者可能控制的输入参数
call_user_func($inputCode); // 调用 call_user_func() 执行 $inputCode 中的 PHP 代码

        变量 $inputCode 采用了用户输入,这就使得攻击者可以完全控制该参数,并向其中注入任意 PHP 代码,并最终使其被执行,从而令黑客可能获取服务器访问权限。

        为避免此类问题发生,建议在处理函数参数时采取严格的输入验证和过滤,并且不要允许调用任何用户定义或不受信任的数据集合,对于某些特殊情况,可以通过使用强类型声明、检查参数数量等技巧来限制启用基础类型第三方库等缺省PHP特性风险。

        另外,也可通过简化应用程序中的函数调用层次结构以及减少通过回调式编程方式使用 call_user_func() 来缓解这种风险,从而加强您的应用程序对远程执行攻击(RCE)的韧性。

这里推荐一个软件utools

 我们可以用这个软件下载一些插件或文档,如我这里下载一个php的文档遇到不认识的php代码就可以搜索一下,就不用上百度搜索。

7)远程代码执行- array_filter函数

        array_filter() 是 PHP 内置函数之一,用于从给定的数组中过滤出符合条件的元素并返回一个新的数组。它本身并不是远程代码执行(RCE)攻击的矢量,但是在处理回调函数参数时如果未正确使用,则可能会存在安全风险。

        例如,如果开发者将用户输入作为 array_filter() 函数中的回调函数参数,并且该输入未经过充分验证和过滤,则黑客可以通过注入恶意回调函数来实现远程执行代码攻击。

下面是一个具有潜在 RCE 风险的示例:

$userInput = ' ; phpinfo();'; // 接受用户输入的回调函数 
$myArray = ['apple', 'banana', 'cherry']; 
$result = array_filter($myArray, $userInput); // 将 $userInput 作为回调函数参数传递

        在这个例子中,由于 $userInput 字符串中包含了可执行的 PHP 代码,所以当它被传递给 array_filter() 函数时,恶意代码可以被执行,并可能导致服务器被黑客接管。

        要避免此类问题,请始终对从外部来源到应用程序中的所有数据进行严格的输入验证和过滤。您还应确保仅将可信任的回调函数传递到带有 array_filter() 的 PHP 函数中,并尽可能使用匿名函数或其他减少代码复杂度的方式来代替直接回调函数。

示例:

www目录下创建一个文件,内容如下:

<?php
$cmd=$_POST['cmd'];  // 接收一个post参数
$array1=array($cmd);  // 把传入的post参数cmd转换为数组(array_filter接收的就是数组类型)
$func =$_GET['func']; // 接收要执行的操作函数
array_filter($array1,$func);
// 用回调函数过滤数组中的元素:array-filter(数组,函数)
// ?func=system 
//cmd=whoam
?>

访问:http://127.0.0.1/array-filter.php?func=system 

8)远程代码执行- 双引号

        在 PHP 中,双引号字符串是一种特殊的字符串类型,它允许将变量或表达式插入到字符串中,并解析为其对应的值。如果双引号字符串包含用户输入或其他不受信任的数据,则可能会存在远程代码执行(RCE)攻击的风险。

        例如,如果程序中使用了 eval() 函数对一个动态构建的包含双引号字符串进行求值,那么攻击者可以构造一个恶意字符串,其中包含可执行的PHP 代码,并成功获取服务器及其中相关敏感信息。

下面是一个具有潜在 RCE 风险的示例:

$userInput = '"; phpinfo(); //'; // 包含可执行代码的输入 
$myString = "Hello, $userInput"; 
eval("echo $myString;");

        在这个例子中,由于用户输入的 $userInput 字符串被放置在带双引号的字符串中,而 eval() 函数又能够执行传递给它的任意代码,因此当 $myString 被传递到 eval() 中并被解析时,其中的恶意代码也将得以执行,导致应用程序和服务器面临着被黑客接管的危险。

        为避免此类问题,请确保在处理应用程序与用户之间的数据交互时,要对所有从外部来源到应用程序中的数据都进行输入验证和过滤,尽可能避免使用 eval() 函数,减少在程序中直接插入带双引号的字符串的使用,以及限制用户可以输入的字符类型和长度等。

04 远程系统命令执行

        远程系统命令执行(Remote Code Execution,RCE)攻击是因为应用程序开发者在编写代码的过程中没有充分考虑安全性和防御措施,导致攻击者可以利用漏洞来执行任意命令,例如获取敏感信息、删除或篡改文件、控制服务器等。

        RCE攻击的一种常见的原因是未对用户输入进行充分的验证和过滤。当应用程序接受来自用户的数据,包括表单提交、Cookie、HTTP 请求参数等,在不经过严格验证和过滤时将它们插入到shell命令等语句中,攻击者可以通过构造特定的输入来注入恶意代码,并执行任意系统命令。

1)远程系统命令执行- exec函数

        在 PHP 中,exec() 函数是一个常用的执行系统命令的函数。攻击者可能利用 exec() 函数构造恶意输入来执行任意系统命令,实现远程系统命令执行(Remote Code Execution,RCE)攻击。

        当 exec() 函数中包含用户输入或其他不受信任的数据且未经过充分验证和过滤时,攻击者可以构造特定的输入来注入可执行的系统命令,并利用服务器上的权限,从而控制该服务器、窃取敏感信息或者破坏服务器上的数据。

例如,假设存在以下代码:

$userInput = 'some user input'; // 这是用户输入 
$cmd = 'ls -la ' . $userInput; 
$result = exec($cmd);

        在这个例子中,由于程序未对 $userInput 参数进行有效的过滤和验证,攻击者可以通过引入 shell 控制字符来注入可执行的系统命令, 并使 $cmd 变量直接从用户控制的输入字符串中构建而成。因此攻击者可以构造如下可以执行删除根目录下所有文件的命令:

$userInput = '; rm -rf /'; 
$cmd = 'ls -la ' . $userInput; 
$result = exec($cmd);

        为避免此类问题,请始终对从外部来源到应用程序中的所有数据进行严格的输入验证和过滤,并尽可能避免直接在应用程序中执行不可信的系统命令。相反,您应该考虑使用安全性更高的 API 函数来替换 exec(),例如 shell_exec、system、passthru 等,并始终在调用这些函数之前进行充分的数据验证和过滤,以确保用户输入仅包含预期的数据。

利用示例:

在php的www目录下创建一个exec.php文件,内容如下:

<?php $cmd=$_POST['cmd'];@exec($cmd,$return);  // 执行$cmd,并把结果给数组$returnvar_dump($return)       // 输出$return
?>

​ 访问:http://127.0.0.1/exec.php

执行的结果和在命令行中运行时一样的 

2)远程系统命令执行- system函数

        在 PHP 中,system() 函数是一个常用的执行系统命令的函数。攻击者可能利用 system() 函数构造恶意输入来执行任意系统命令,实现远程系统命令执行(Remote Code Execution,RCE)攻击。

        当 system() 函数中包含用户输入或其他不受信任的数据且未经过充分验证和过滤时,攻击者可以构造特定的输入来注入可执行的系统命令,并利用服务器上的权限,从而控制该服务器、窃取敏感信息或者破坏服务器上的数据。

例如,假设存在以下代码:

$userInput = 'some user input'; // 这是用户输入 
$cmd = 'ls -la ' . $userInput; 
$result = system($cmd);

        在这个例子中,由于程序未对 $userInput 参数进行有效的过滤和验证,攻击者可以通过引入 shell 控制字符来注入可执行的系统命令, 并使 $cmd 变量直接从用户控制的输入字符串中构建而成。因此攻击者可以构造如下可以执行删除根目录下所有文件的命令:

$userInput = '; rm -rf /'; 
$cmd = 'ls -la ' . $userInput; 
$result = system($cmd);

        为避免此类问题,请始终对从外部来源到应用程序中的所有数据进行严格的输入验证和过滤,并尽可能避免直接在应用程序中执行不可信的系统命令。相反,您应该考虑使用安全性更高的 API 函数来替换 system(),例如 shell_exec、exec、passthru 等,并始终在调用这些函数之前进行充分的数据验证和过滤,以确保用户输入仅包含预期的数据。

3)远程系统命令执行- passthru函数

        在 PHP 中,passthru() 函数是一个常用的执行系统命令的函数。攻击者可能利用 passthru() 函数构造恶意输入来执行任意系统命令,实现远程系统命令执行(Remote Code Execution,RCE)攻击。

        当 passthru() 函数中包含用户输入或其他不受信任的数据且未经过充分验证和过滤时,攻击者可以构造特定的输入来注入可执行的系统命令,并利用服务器上的权限,从而控制该服务器、窃取敏感信息或者破坏服务器上的数据。

例如,假设存在以下代码:

$userInput = 'some user input'; // 这是用户输入 
$cmd = 'ls -la ' . $userInput; 
passthru($cmd);

        在这个例子中,由于程序未对 $userInput 参数进行有效的过滤和验证,攻击者可以通过引入 shell 控制字符来注入可执行的系统命令,并使 $cmd 变量直接从用户控制的输入字符串中构建而成。因此攻击者可以构造如下可以执行删除根目录下所有文件的命令:

$userInput = '; rm -rf /'; 
$cmd = 'ls -la ' . $userInput; 
passthru($cmd);

        为避免此类问题,请始终对从外部来源到应用程序中的所有数据进行严格的输入验证和过滤,并尽可能避免直接在应用程序中执行不可信的系统命令。相反,您应该考虑使用安全性更高的 API 函数来替换 passthru(),例如 shell_exec、exec、system 等,并始终在调用这些函数之前进行充分的数据验证和过滤,以确保用户输入仅包含预期的数据。

示例:

在php的www目录下创建一个passthru.php文件,内容如下:

<?php$output = passthru("ipconfig");  // ipconfig是windows的系统命令,意思是查看ip地址。echo "<pre>$output</pre>";
?>

访问:http://127.0.0.1/passthru.php

4)远程系统命令执行- shell_exec函数

        在 PHP 中,shell_exec() 函数是一个常用的执行系统命令的函数。攻击者可能利用 shell_exec() 函数构造恶意输入来执行任意系统命令,实现远程系统命令执行(Remote Code Execution,RCE)攻击。

        当 shell_exec() 函数中包含用户输入或其他不受信任的数据且未经过充分验证和过滤时,攻击者可以构造特定的输入来注入可执行的系统命令,并利用服务器上的权限,从而控制该服务器、窃取敏感信息或者破坏服务器上的数据。

例如,假设存在以下代码:

$userInput = 'some user input'; // 这是用户输入 
$cmd = 'ls -la ' . $userInput; 
$result = shell_exec($cmd);

        在这个例子中,由于程序未对 $userInput 参数进行有效的过滤和验证,攻击者可以通过引入 shell 控制字符来注入可执行的系统命令,并使 $cmd 变量直接从用户控制的输入字符串中构建而成。因此攻击者可以构造如下可以执行删除根目录下所有文件的命令:

$userInput = '; rm -rf /'; 
$cmd = 'ls -la ' . $userInput; 
$result = shell_exec($cmd);

        为避免此类问题,请始终对从外部来源到应用程序中的所有数据进行严格的输入验证和过滤,并尽可能避免直接在应用程序中执行不可信的系统命令。相反,您应该考虑使用安全性更高的 API 函数来替换 shell_exec(),例如 exec、system、passthru 等,并始终在调用这些函数之前进行充分的数据验证和过滤,以确保用户输入仅包含预期的数据。

命令执行常用特殊字符

在命令执行中,攻击者可能会使用特殊字符来注入可执行的系统命令,进而实现远程系统命令执行(Remote Code Execution,RCE)攻击。

以下是一些常用的特殊字符:

  1. ; (分号):在 Linux 中,分号分隔符用于将多个命令组合在一起执行;在 Windows 中,分号被用于分隔环境变量。
  2. & (与号):在 Linux 中,可以使用 “&” 运算符将一个程序置于后台运行;在 Windows 中,“&” 被用于连接不同的命令。
  3. | (管道符):管道符将第一个命令的输出作为第二个命令的输入,可以在命令行中进行高级数据处理。
  4. $ (美元符):美元符是 shell 脚本中的变量前缀,将被替换为相应的变量值。
  5. ( 和 ) (括号):用于控制命令的执行顺序,类似于数学表达式中的括号。
  6. * (星号)和 ? (问号):用于匹配文件名或路径名中的通配符。

因此,在处理用户输入时,请始终对特殊字符进行严格的过滤和验证,并尽可能限制对系统命令的访问权限以减少攻击面。

攻击者是如何利用的?

        攻击者利用特殊字符来构造恶意输入,注入可执行的系统命令,从而实现远程系统命令执行(Remote Code Execution,RCE)攻击。

        例如,在 PHP 中,如果程序在处理用户输入时没有进行充分的过滤和验证,攻击者就可能向程序输入以下恶意字符串:

; rm -rf /

        在这种情况下,攻击者在原来的命令之后添加了一个分号,然后紧接着加上了一个用于删除文件的危险命令。当 PHP 程序执行这个命令时,攻击者的恶意代码也会一并被执行,导致服务器上的文件和目录被彻底删除,并可能造成不可估量的损失。

        因此,在处理用户输入时,请始终对特殊字符进行严格的过滤和验证,并使用安全性更高的 API 函数来替换原始的命令执行函数,以避免因用户输入的恶意数据而给应用程序带来风险。

示例:(windows + R 输入cmd 打开命令行)

        1)“|”  :cmd1|cmd2    无论cmd1是否执行成功cmd2都会被执行

ping 127.0.0.1|ipconfig

        2)“&&” 与

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/35594.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

技术,并不值钱——阿里员工失业记

上一篇&#xff1a;Java危矣&#xff01; 看到网友分享自己被阿里裁员的经历&#xff0c;挺有感触的&#xff0c;转发给大家—— 01谈话 我的顶头上司已经走了&#xff0c;我坐着&#xff0c;看着对面空空的椅子&#xff0c;有点没缓过神来 离职 只剩下这两个字在我脑袋里不断徘…

20230411笔记-MTK天玑开发者日(北京站)

1. 天玑开发者日“追光 行动”主题 来源&#xff1a;近期搜索Unity比较多&#xff0c;csdn给我发了短信邀请&#xff0c;参加 天玑开发者日-北京站 活动。 消息&#xff1a;百家号 MediaTeK 联发科官宣天玑开发者日&#xff0c;4 月 11 日起召开 2.活动议程 天玑开发者日-追光…

“智能”创造未来:PDU智能化全面提升IDC数据中心用电能效!

一个月前&#xff0c;万众期盼的《流浪地球2》如期上映&#xff0c;无论是剧情还是特效&#xff0c;让广大观众享受到一次久违的来自中国科幻的震撼&#xff0c;时至今日仍是大家茶余饭后津津乐道的热点谈资。说起这部片子里&#xff0c;最让人紧张的部分&#xff0c;还得数为了…

【Zigbee】解密Zigbee地址分配——你需要知道的一切

&#x1f496; 作者简介&#xff1a;大家好&#xff0c;我是Zeeland&#xff0c;全栈领域优质创作者。&#x1f4dd; CSDN主页&#xff1a;Zeeland&#x1f525;&#x1f4e3; 我的博客&#xff1a;Zeeland&#x1f4da; Github主页: Undertone0809 (Zeeland) (github.com)&…

涵子来信——AI的无限未来——谈谈想法

大家好&#xff1a; 这一次&#xff0c;我想要跟大家讲一讲我对AI的看法和未来的展望&#xff0c;谈谈我的想法。 AI&#xff08;Artificial Intelligence&#xff0c;中文人工智能&#xff09;&#xff0c;是我们生活中处处都可以见到的&#xff0c;小到一个语音助手&#x…

ChatGPT带火的提示工程师,构造自己的提示语

ChatGPT是一个大语言模型&#xff0c;学过全球几乎公开的大部分有效知识库&#xff0c;它什么都懂。 ChatGPT的风靡&#xff0c;爆火了一个年薪百万的提示工程师这个新就业岗位。 提示工程师&#xff0c;也就是AI训练师&#xff0c;即通过与AI交互写出相关提示&#xff0c;以帮…

收到**公司的律师函,我慌了

关注星标公众号&#xff0c;不错过精彩内容 作者 | strongerHuang 微信公众号 | 嵌入式专栏 在我的技术交流群&#xff0c;经常看到有朋友说&#xff1a;“收到了**软件公司的律师函”。其中AD的最多&#xff0c;其次&#xff0c;这两年Keil的律师函也出现了。 有的人收到律师函…

整理部分因软件版权发律师函的公司

软件名称 英文软件名称 厂商 厂商网站 国内代理商 代理商网站 维权历史状况 WinRAR WinRAR win.rar GmbH. http://www.rarlab.com/ 上海软众信息 http://www.winrar.com.cn/ 硕思闪客精灵 无 思杰马克丁 http://www.shankejingling.com/ 给下载站个人站…

手把手教你突破 GPT-4.0 3小时25次的限速!

很多人很郁闷 &#xff0c;ChatGPT Plus账号在浏览器上使用GPT4.0模型的时候&#xff0c;会受到官方的限制&#xff0c;每3小时只能对话25次&#xff0c;是真的不够用。 但是在手机上使用GPT4.0模型则不会有限制&#xff0c;既然这样&#xff0c;那我们是否也可以在浏览器上无限…

我的同事胃癌去世了,从检查到死亡不到半年……

作者&#xff1a;iamlaosong 听到远方同事朱震环去世的消息&#xff0c;我是无比震惊的&#xff0c;虽然不在一个城市&#xff0c;因为专业的关系还是经常联系的。她年轻美丽的容颜和率真的性格&#xff0c;让同事们如沐春风。可叹的是她音容仿佛犹在&#xff0c;人却离我们而…

预测脑中风

中风是危害人们健康的重大疾病之一&#xff0c;根据医学杂志《柳叶刀》发表的一篇文章中的数据&#xff0c;中风在我国居民死亡原因中高居第一位&#xff0c;而且我国居民的中风的比例也是世界上最高的之一。因此&#xff0c;了解居民的身体状况与出现中风的联系&#xff0c;进…

makepie暂停服务

贴吧大佬&#xff1a; 由于MakeAPie 将于 2 月 15 号开始暂停服务&#xff0c;有大佬爬去了网站上公开的数据&#xff0c;方便大家下载&#xff0c;也算是一种备份吧。 如果有需要会考虑做成excel。 再次感谢makeapie各位大佬无私分享。 链接: https://pan.baidu.com/s/1B9MR…

MakeApie 将于 2月15号开始暂停服务

Make A Pie 是由社区贡献者维护的用于 Apache ECharts 作品分享的第三方非官方社区。 一直以来MakeApie 给我们带来了太多的工作中的灵感&#xff0c;echarts复制粘贴党必备&#xff0c;导致没有好好学echarts。今日登录看到这个消息&#xff0c;感到难过和些许思考。 Make A …

微信官方:微信圈子将停止运营

本文转载自IT之家 IT之家 5 月 28 日消息 2019 年 12 月&#xff0c;微信官方宣布&#xff0c;微信搜索正式升级为“微信搜一搜”。与此同时&#xff0c;微信搜一搜出现了“圈子”。今天微信官方宣布&#xff0c;微信圈子将于 2021 年 12 月 28 日正式停运。 微信称&#xff0…

靠知识搞副业,知识内容创作者的春天来了

现在&#xff0c;周围越来越多年轻人热衷于买基金、炒股票、抢茅台、炒比特币……而对上班摸鱼则有一种普遍的认同&#xff0c;对自愿996的“奋斗X”更是同仇敌忾。这背后有一个社会现实——这一代年轻人普遍认为&#xff1a;打工累、打工卷、打工难赚钱&#xff0c;心里都盘算…

[实体关系抽取|顶刊论文]QIDN:Query-based Instance Discrimination Network for Relational Tri

Query-based Instance Discrimination Network for Relational Triple Extraction Zhejiang University, Tsinghua University&#xff5c;EMNLP 2022&#xff5c;2022.11.3&#xff5c;原文连接 想法简述 过去的方法都可以用上图来表述&#xff1a; H c o n t e x t H_{con…

ChatGPT 目前到底能帮助我们程序员做什么?

&#x1f680; 个人主页 极客小俊 ✍&#x1f3fb; 作者简介&#xff1a;web开发者、设计师、技术分享博主 &#x1f40b; 希望大家多多支持一下, 我们一起进步&#xff01;&#x1f604; &#x1f3c5; 如果文章对你有帮助的话&#xff0c;欢迎评论 &#x1f4ac;点赞&#x1…

程序员写博客如何赚钱「5大盈利方向」

很高兴又和大家见面了&#xff0c;今天我们来聊一聊程序员写博客如何赚钱「5大盈利方向」&#xff0c;还有程序员等等等各种相关干货内容&#xff0c;其实这篇文章主要还是为新手朋友整理的&#xff0c;总的来说思路还是很重要&#xff01; 互联网时代发展太快&#xff0c;很多…

input 在 IOS 中输入内容不可见问题

第一次做移动端页面&#xff0c;就发现很多兼容性问题了。 本人一般是在Chrome浏览器控制台调试移动端样式尺寸&#xff0c;但是大家都知道&#xff0c;真机和浏览器是有一些差距的。 然后这个问题卡了很久&#xff0c;各种百度&#xff0c;也没有找到想要的。如图 问题描述&…

苹果手机IOS中div contenteditable=true 仿文本域无法输入编辑

原文出处&#xff1a;https://www.cnblogs.com/xiangsj/p/6084844.html 延伸阅读&#xff1a;iOS下div contenteditabletrue无法输入解决办法 问题&#xff1a; 在苹果手机IOS中 contenteditable"true" 做文本域输入&#xff0c;点击可以弹出键盘但是无法输入&#x…