深度学习笔记-长期学习更新

一些概念

  • 全连接层

    • 输入和输出通过一种运算直接连接的层
    • 全连接层忽略了空间结构特性,因此不适合用于在方位上找Pattern的任务
    • 理解:https://zhuanlan.zhihu.com/p/33841176
  • 多层感知机

    • 在输出层与输入层之间加入了一个或多个全连接隐藏层。即:含有至少一个隐藏层的由全连接层组成的神经网络
    • 常用的激活函数包括ReLU函数、sigmoid函数和tanh函数

高级软工课程-微服务上云实践

前言

学校课程课设是写一个商城,要求微服务+上云。整体架构是前端vue打到nginx,nginx做负载均衡打到gateway,gateway根据token鉴权+redis缓存权限和路径的映射,后端服务注册到nacos实现服务发现,消息中间件采用rabbitmq。最后使用阿里云k8s部署,并使用hpa实现动态扩容,hrey进行压力测试,并加了skywalking进行监控。
设计图如下:

Hybrid fuzzing学习笔记

前言

Hybrid fuzzing(混合模糊测试)说白了就是fuzzing+符号执行。fuzzing产生的输入质量低难以触发复杂路径,符号执行能产生高质量输入但是overhead高。因此就产生了将这两种方式结合的技术–Hybrid fuzzing。注意这里的符号执行不是symbolic execution,而是concolic symbolic,或者说动态符号执行。

AFL & Angr 学习笔记

前言

最近因为实验室要看的论文有fuzz相关的,同时自己也想看一下angr、afl这些,就学了一段时间afl和angr,记录一下学到的东西,算是入个门(

容器安全 & 容器渗透学习笔记

基础概念

docker基础就不写了,k8s需要学习一些概念,比如pod、namespace、deployment、service,最常用的就是pod了。

还有一些概念要懂比如kubeconfig、k8s apiserver、k8s master,比如kutectl如何与apiserver通信、apiserver如何通过kubelet控制pod,这些对于理解云渗透都很重要,这里就不介绍了。

通常来说,对于云渗透,拿到kubeconfig或者能访问apiserver的serviceaccount token,或者是拿到了apiserver所在的master node的权限,就代表着控下了整个云环境。

XCTF Final Dubbo WP -- SSRF -> Dubbo Consumer RCE

前言

之前dubbo爆过一些provider的rce洞,比如@Ruilin的CVE-2020-1948,还有一些其他写法导致的不同协议反序列化。分析这些漏洞我们可以看出,dubbo的consumer和provider通信的过程中,对rpc时传递的dubbo协议数据解析后直接进行了反序列化操作。

既然可以通过反序列化攻击provider,那能不能用类似的方法去攻击consumer呢?这里通过SSRF攻击Zookeeper结合@threedream曾经发过的Rogue-Dubbo实现RCE

ByteCTF WP-无需mail bypass disable_functions

前言

首发:https://xz.aliyun.com/t/8669

在刚结束的ByteCTF的中,@f1sh师傅出了一道bypass php disable_functions的题目,预期解是通过web的方式,在有putenv的情况下,无需mail/imagemagick等组件,用一种新的方式实现bypass。
最终在和@Yan表哥讨论后,我们找到了题目的预期解法–iconv,这篇文章记录一下在解题过程中我们尝试过的各种思路,比如线上赛的exception类非预期、利用php bugs中的一些uaf(向Kirin爷爷学习)、直接写/proc/self/mem、其他pwn/web的姿势。这里膜一下@Sndav师傅,通过一个pwn的洞实现php5-8通杀,降维打击非预期,orz

Proudly powered by Hexo and Theme by Hacker
© 2021 LFY