- 博客(33)
- 收藏
- 关注
RSS订阅原创 【软件设计师】——面向对象设计原则
为了提高软件的可维护性、可复用性,增加软件的可扩展性和灵活性,在面向对象编程的过程中我们需要遵守以下六条原则。
2024-02-11 15:16:42
573
原创 【软件设计师】——计组原理
计算机系统是由构成的。硬件系统由五大部件组成。运算器、控制器等部件被集成在一起统称为。输入和输出设备合称为。存储器分为内部存储器和外部存储器,存放程序、数据及中间结果,速度慢、容量大,保存程序和数据。
2024-02-08 12:46:20
887
原创 神经网络(Nature Network)
最近接触目标检测较多,再此对最基本的神经网络知识进行补充,本博客适合想入门人工智能、其含有线性代数及高等数学基础的人群观看。
2024-02-07 16:26:33
2799
原创 计算机组成原理课后习题
计算机应用”与“应用计算机”在概念上等价嘛?用学科角度和计算机系统的层次结构来说明你的观点。现代计算机系统如何进行多级划分?这种分级观点对计算机设计会产生说明影响?为什么软件能够转化为硬件,硬件能够转化为软件?实现这种转化的媒介是什么?冯诺依曼型计算机的主要设计思想是什么?指令和数据存放在内存中,计算机如何分它们是指令还是数据?比较电子数字计算机和电子模拟计算机的特点。计算机的系统软件包括哪几类?数字计算机如何分类?CPU的性能指标有哪些?数字计算机有哪些主要应用?说明软件发展的演变过程。
2023-12-25 19:54:13
371
原创 常见的DHCP攻击防范
DHCP用来自动分配ip地址,每一个DHCP service(DHCP服务器)都有一个DHCP pool(分配池),每一个终端对DHCP service发送请求时,DHCP service会从池中给终端分配IP,分配的方式会因为OS不同而不同,从前往后,从后往前,或者随机分配。DHCP饿死攻击是利用修改discover报文中的CHADDR地址,不断的向DHCP service发送请求,以此来耗尽DHCP pool中的地址。当其他终端在此想使用DHCP服务时,收到的ip为空。
2023-06-06 21:50:48
1256
原创 nisp复习笔记
网卡(NIC):有一个独一无二的48位串行号,被写在网卡上的一块ROM中,称为物理地址MAC地址,工作在第二层,MAC地址全球唯一。结合入侵检测、防火墙等基础机制的安全产品,通过对网络设置进行分析入侵检测并产生响应中断入侵,但会产生误判拦截用户的正常操作行为。信息安全:为数据处理系统建立和采取技术管理的安全保护,保护计算机硬件、软件、数据不因偶然或者恶意的原因而受到破坏、更改、泄露。拓扑结构:总线型拓扑、星型拓扑(最常用的多节点转中央节点)、环形拓扑、树形拓扑、网状拓扑、混合型拓扑。
2023-06-03 22:32:03
471
原创 sql注入——时间盲注自动化注入脚本
因为最近在学习sql注入,在学到时间盲注这里,发现注入的时候要从asc码33到127都查询一遍,手动注入工作量是在太大,想寻求是否存在什么简便方法,通过查询一些相关的书籍以及资料,将结果汇总如下。但这段代码仍存在很多不足,希望各位师傅指正。
2023-05-14 14:06:54
605
原创 CVE-2020-14882 weblogic未授权远程命令执行漏洞
Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,未经身份验证)的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
2023-02-22 13:19:54
3745
4
原创 入门渗透:SQL注入登录页面——Appointment
它是最受欢迎的HTTP服务器之一,通常在标准HTTP端口上运行,例如端口 80 TCP、443 TCP 以及 HTTP 端口(如 8080 TCP 或 8000 TCP)上的端口。发现80端口http服务开启,Apache版本为2.4.38,通过搜索引擎查看该版本的漏洞,发现不含任何已知的可以利用的漏洞。/home /login /contact /login/forgot 均无所发现,尝试使用gobuster工具。#在其中表示注释语句,那么尝试利用用户名一栏注释掉密码需求,实现只用用户名就可以登入,
2023-02-16 10:41:47
602
原创 CVE-2022-25237 Bonitasoft Platform RCE漏洞复现
Bonita Platform订阅版:2022.1-u0(7.14.0)以下 2021.2-u4(7.13.4)以下。通过添加恶意构造的字符串到API URL,普通用户可以访问需特权的API端点。Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程序。使用cluster bomb模式,清除所有payload,将用户名和密码的位置改为payload。Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。通过浏览可以发现此处的添加用户。
2023-02-13 21:48:40
145
原创 入门漏洞:CVE-2022-28346 Django SQL注入
在 2.2.28 之前的 Django 2.2、3.2.13 之前的 3.2 和 4.0.4 之前的 4.0 中发现了一个问题。QuerySet.annotate()、aggregate() 和 extra() 方法会通过精心制作的字典(带有字典扩展)作为传递的 **kwargs 在列别名中进行 SQL 注入。许多成功的网站和APP都基于Django,Django 是一个开放源代码的 Web 应用框架,由 Python 写成。在vulfocus靶场中拉取CVE-2022-28346漏洞镜像,将其打开。
2023-02-11 18:39:29
508
原创 centos7 搭载vulfocus靶场
拉取镜像:docker pull vulfocus/vulfocus:latest。mount /dev/cdrom /mnt/cdrom 挂载。systemctl start docker 开启docker。rm -rf /var/lib/docker删除镜像等。查看库:docker images (取得IMAGE ID)mkdir /mnt/cdrom 创建挂载点。启动:systemctl start docker。找到对应的ID后,docker start id。用浏览器访问地址的映射端口。
2023-02-08 15:33:03
303
原创 入门漏洞:CVE-2022-29464 WSO2文件上传
WSO2文件上传漏洞是Orange Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。WSO2 Identity Server as Key Manager(身份服务器作为密钥管理器) 5.3.0 及更高版本至 5.10.0。由于vulfocus的flag存放于tmp目录下,我们直接使用指令 ls /tmp 查看flag。至此成功取得flag,本次漏洞成功复现。可以在内输入指令ls查看目录结构。
2023-02-08 15:31:32
664
原创 入门渗透:SMB入侵——Dancing
SMB(全称是Server Message Block),被用于Web连接和客户端与服务器之间的信息沟通一般运行服务于445号端口,用于在计算机间共享文件、打印机、串口等SMB工作过程:版本协商 会话请求凭据 文件路径凭据 对共享资源进行操作在下文使用的是hackthebox的Dancing靶机。
2023-02-01 15:39:51
558
原创 入门渗透:FTP入侵——Fawn
入门渗透:FTP入侵——Fawn,使用的是hackthebox靶机。小技巧:可以通过搜索引擎查找csftpd 3.0.3出现的CVE漏洞等,一般最新的服务漏洞不会曝光,但是如果不是最新版本,可以查找相关的漏洞,使用msf的模块进行渗透。遇到没有进行加密的ftp一般运行于21端口,此处靶机为简单的ftp服务。使用的是hackthebox的Fawn靶机。
2023-01-31 19:25:19
1621
原创 入门渗透:telnet远程登入——Meow
本文为入门级渗透测试,在hackthebox平台使用相关靶机,以kali作为攻击机进行演示。在登入telnet时可以发现该靶机的系统为linux,所以接下来使用的指令都是linux相关的。telnet需要用户和密码登入,但是有时候会因为程序员的失误没有设置登入密码(如此靶机)由于一般未知目标开放了哪些端口运行了哪些协议扫描时要扫描所有端口。因为用的是kali的攻击机所以在此使用nmap脚本进行扫描。如图可以发现目标机器的23端口上运行着telnet。
2023-01-30 15:02:07
678
原创 入门漏洞——命令执行漏洞、目录浏览漏洞
目录浏览漏洞属于目录遍历漏洞的一种,由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,该漏洞可能由于开发者没有配置正确的默认首页文件,导致整个目录结构被罗列出来,暴露网站结构。命令执行(Command Execution)漏洞即可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限,服务器没有对执行的命令进行过滤。用户可以随意执行系统命令,属于高危漏洞。可以执行cmd后的命令。
2023-01-29 17:29:56
1609
原创 简单漏洞:CVE-2022-0543 Redis Lua 沙盒绕过
CVE-2022-0543 Redis Lua 沙盒绕过漏,在Lua沙箱中遗留了一个对象package,攻击者可以利用package对象提供的加载动态链接库liblua里的函数逃逸。redis在用户连接后可以通过eval命令执行Lua脚本,但是脚本跑在沙箱中,正常情况下无法执行命令读取文件,所以这个漏洞的本质是沙箱绕过。一般情况下,redis运行在6379(默认端口),而在此镜像中映射于36770端口,可以使用nmap扫描端口发现相应服务。影响范围:Debian系得linux发行版本+Ubuntu。
2023-01-29 16:47:19
920
原创 7-43 Shuffling Machine(洗牌机)
其中“S”代表“黑桃”,“H”代表“Heart”,“C”代表“Club”,“D”代表“Diamond”,“J”代表“Joke”。给定的顺序是[1,54]中不同整数的排列。给定洗牌顺序{4、2、5、3、1},结果将是:J2、H3、D13、S3、C1。如果我们再次重复洗牌,结果将为:C1、H5,S3、J2、D13。由于标准洗牌技术被视为薄弱,为了避免“内部工作”,即员工通过不充分的洗牌与赌徒合作,许多赌场采用自动洗牌机。机器根据给定的随机顺序洗牌一副54张牌,并重复给定的次数。一行中的所有数字都用空格隔开。
2022-11-14 12:23:20
341
原创 7-42 整除光棍
7-42 整除光棍这里所谓的“光棍”,并不是指单身汪啦~ 说的是全部由1组成的数字,比如1、11、111、1111等。传说任何一个光棍都能被一个不以5结尾的奇数整除。比如,111111就可以被13整除。现在,你的程序要读入一个整数x,这个整数一定是奇数并且不以5结尾。然后,经过计算,输出两个数字:第一个数字s,表示x乘以s是一个光棍,第二个数字n是这个光棍的位数。这样的解当然不是唯一的,题目要求你输出最小的解。提示:一个显然的办法是逐渐增加光棍的位数,直到可以整除x为止。但难点在于,s。
2022-11-11 19:12:29
195
原创 7-39 龟兔赛跑
7-39 龟兔赛跑乌龟与兔子进行赛跑,跑场是一个矩型跑道,跑道边可以随地进行休息。乌龟每分钟可以前进3米,兔子每分钟前进9米;兔子嫌乌龟跑得慢,觉得肯定能跑赢乌龟,于是,每跑10分钟回头看一下乌龟,若发现自己超过乌龟,就在路边休息,每次休息30分钟,否则继续跑10分钟;而乌龟非常努力,一直跑,不休息。假定乌龟与兔子在同一起点同一时刻开始起跑,请问T分钟后乌龟和兔子谁跑得快?
2022-11-08 00:15:00
163
原创 7-38支票面额(15分)
一个采购员去银行兑换一张y元f分的支票,结果出纳员错给了f元y分。采购员用去了n分之后才发觉有错,于是清点了余额尚有2y元2f分,问该支票面额是多少?
2022-11-07 00:15:00
119
原创 7-40 到底是不是太胖了
7-40 到底是不是太胖了据说一个人的标准体重应该是其身高(单位:厘米)减去100、再乘以0.9所得到的公斤数。真实体重与标准体重误差在10%以内都是完美身材(即 | 真实体重 − 标准体重 | < 标准体重×10%)。已知市斤是公斤的两倍。现给定一群人的身高和实际体重,请你告诉他们是否太胖或太瘦了。
2022-11-06 19:23:56
318
原创 7-36 韩信点兵(10分)
7-36 韩信点兵在中国数学史上,广泛流传着一个“韩信点兵”的故事:韩信是汉高祖刘邦手下的大将,他英勇善战,智谋超群,为汉朝建立了卓越的功劳。请编写程序计算韩信至少有多少兵。
2022-11-06 03:00:00
395
原创 7-34 求分数序列前N项和(15分)
7-34 求分数序列前N项和(15分)本题要求编写程序,计算序列 2/1+3/2+5/3+8/5+... 的前N项之和。注意该序列从第2项起,每一项的分子是前一项分子与分母的和,分母是前一项的分子。
2022-11-05 03:00:00
220
原创 7-35 猴子吃桃问题(15分)
7-35 猴子吃桃问题一只猴子第一天摘下若干个桃子,当即吃了一半,还不过瘾,又多吃了一个;第二天早上又将剩下的桃子吃掉一半,又多吃了一个。以后每天早上都吃了前一天剩下的一半加一个。到第N天早上想再吃时,见只剩下一个桃子了。问:第一天共摘了多少个桃子?
2022-11-04 16:57:39
239
原创 7-33 统计素数并求和(20分)
PTA 中M22秋C、Java入门练习 7-33 素数求和并计数本题要求统计给定整数M和N区间内素数的个数并对它们求和。
2022-11-04 15:43:17
218
vgg卷积神经网络代码(tensorflow)
2024-02-08
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人