Ocean and Star

Godzilla 是一种用于管理 WebShell 的工具，常见于网络安全领域，尤其是针对 Web 应用程序的渗透测试和安全评估。WebShell 是一种恶意脚本，攻击者通过它可以在受感染的服务器上执行命令、上传文件和获取敏感信息。

SQLi原理：当应用程序未对用户输入进行充分的验证和清理时，攻击者可以通过构造特定的输入来操控 SQL 查询。 LowUNION 是一个关键字，用于将多个 SELECT 查询的结果合并成一个结果集。它可以将两个或多个查询的结果横向合并，其中每个查询的结果需要有相同的列数，并且列的数据类型应该兼容。 1"SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 1234while( $row = mysqli_fetch_assoc( $result ) ) { // Get values $first = $row["first_name"]; $last = $row["last_name"];} mysqli_fetch_assoc 从结果集中获取一行数据，并以关联数组的形式返回，其中键是字段名，值是相应字段的值。 ! ...

这周把上周的dasctf复现一二。 DASCTF2024 暑期挑战赛Sanic’s revenge看了一下官方wp（https://www.cnblogs.com/gxngxngxn/p/18205235），一脸糊，什么叫污染file_or_directory到根目录 翻到了exp 12345678910111213141516import requests#开启列目录data = {"key":"__class__\\\\.__init__\\\\.__globals__\\\\.app.router.name_index.__mp_main__\\.static.handler.keywords.directory_handler.directory_view","value": True}#将目录设置在根目录下data = {"key":"__class__\\\\.__init__\\\\.__globals__\\\\.app.router.name_ind ...

压缩技术： 图像压缩：了解 JPEG 和 JPEG2000 等标准的工作原理，包括它们如何通过离散余弦变换（DCT）和量化等技术减少图像文件的大小。 跨模态压缩：理解什么是跨模态（从一种数据形式转变为另一种数据形式），例如将视觉数据转换为文本或图形的过程。 深度学习与神经网络： 深度神经网络（DNNs）：基础知识，了解其结构、工作原理以及在数据处理中的应用，特别是在图像生成和语义理解方面。 生成对抗网络（GANs）：了解 GANs 的基本原理，以及它们如何用于从文本生成图像。 语义理解： 语义保真度：理解在压缩过程中保持数据语义信息的重要性，以及如何评估语义保真度。 技术术语： 离散余弦变换（DCT）：要了解 DCT 的数学原理及其在图像压缩中的作用。 量化与霍夫曼编码：了解这些技术如何帮助进一步减少数据量。 图像生成： 从文本生成图像：理解这种技术的应用及其挑战。 是的，你没看错，我是一天开两个坑的勤奋作者（希望有全勤）（如果你关注了我的时间了的话，囧） 现在开始看论文，立字为记（论文 新东西 看起来很有挑战性） 本文提出了跨模态压缩（CMC）——一 ...

浅浅开个javaweb的坑啦。这几天没有更新是因为找了个实习，然后和师傅交流了一下就all in javaweb了。so断更了( ╯□╰ ) Java在客户端的应用有Java Applet， JavaWeb架构演变过程（xxx的技术加架构演变过程） 通过案例学习这些技术点

图片补上 Insecure-CAPTCHA原理：绕过条件，不进行CAPTCHA也能操作 Low思考：审计时要注意return、exit等函数。是需要通过的关卡 attack：step=2&password_new=1&password_conf=1&Change=Change AUTOCOMPLETE="off"：这个属性告诉浏览器不要自动填充或建议以前输入过的值。这对于密码输入框特别重要，以提高安全性。 1234$resp = recaptcha_check_answer( $_DVWA[ 'recaptcha_private_key'], $_POST['g-recaptcha-response']); **recaptcha_check_answer**：这是一个函数，通常来自Google reCAPTCHA库，用于验证reCAPTCHA响应。 **$_DVWA['recaptcha_private_key']**：这是从$_DVWA数组中获取的reCAPTCHA私 ...

URL（Uniform Resource Locator，统一资源定位符）是用来指定互联网上某一资源的地址。URL 的语法结构包括多个部分，每个部分都具有特定的含义。 URL 语法结构1scheme://username:password@host:port/path?query#fragment 各部分解释 Scheme（方案） 用来指定访问资源所使用的协议类型，如 http, https, ftp, mailto 等。 示例：http://, https:// Username:Password（用户名和密码） 可选项，用于在需要身份验证时提供用户凭证。 示例：username:password@ 完整格式：https://username:password@example.com Host（主机） 指定资源所在的服务器地址，可以是域名或 IP 地址。 示例：example.com, 192.168.1.1 Port（端口） 可选项，指定用于连接服务器的端口号。 默认端口：http 的默认端口是 80，https 的默认端口是 443。 示例：:8080 完整 ...

CSRF(Cross Site Request Forgery)跨站请求伪造， Low $_GET 变量：预定义的 $_GET 变量用于收集来自 method=”get” 的表单中的值。$_GET 变量是一个数组，内容是由 HTTP GET 方法发送的变量名称和值。可在url中直接设置 "UPDATE users SET password = '$pass_new' WHERE user = '" . $current_user . "';"$current_user变量直接插入到查询语句中。 Attack：/?password_new=1&password_conf=1&Change=1 Medium stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false：检查 HTTP_REFERER 是否包含 SERVER_NAME。如果包含（即 stripos 返回的不是 ...

虚拟角色特化与生成的基础知识 1. 虚拟现实（VR）和增强现实（AR） 虚拟现实（VR）：用户进入完全虚拟的空间，通过VR头盔、手柄等设备与环境互动。用于模拟真实或虚构场景的沉浸体验。 增强现实（AR）：在现实环境中叠加虚拟元素，常见应用有手机上的AR效果、智能眼镜等。 区别： VR 是“现实 -> 虚拟”，让用户沉浸在虚拟世界。 AR 是“虚拟 -> 现实”，在现实中加入虚拟元素以增强体验。 2. 角色生成与“千人千面”问题 角色生成：创建具有个性化特征的虚拟角色，包括外观、行为和个性。 千人千面问题：在有限的存储和计算资源下，如何高效生成大量不同的角色，以满足个性化体验的需求。 3. 生成对抗网络（GANs） 原理：由生成器（Generator）和判别器（Discriminator）组成的网络。生成器生成数据，判别器判断数据真假，二者对抗训练。 应用：通过微调种子值生成不同的角色外貌，适用于生成角色的脸部、服装等多样化外观。 4. 种子+选择器：角色个性化存储的方案 种子（Seed）：随机数生成的初始值，可用于控制生成的随机序列一致。 选择器（Selec ...

椭圆模型肤色检测算法概览 椭圆模型肤色检测算法定位到人脸区域 5 基于人脸检测的 SHVC 感兴趣区域的加密方案的入手点是先对Kimono、ParkScene 和 BasketballDrive进行人脸检测是吧？ 映射至划分后的 Tile 单元中 5 Tile 单元如何划分。加密算法中 Tile 采用了均匀划分方式，为了实现动态标记 Tile 单元 对Tile单元执行加密处理 5 采用限制性的运动估计和运动预测处理防止 ROI 出现漂移， 当候选块未达到 5 个时，运动预测会采用零向量（0, 0）进行填充。AMVP 与 Merge 模式相类似，但仅包含了 2 个候选块。为了避免在加密处理的过程中帧间预测导致的错误扩散，算法对运动估计搜索后的运动矢量产生偏移获得的参考块进行判定，若参考块位于 ROI 内则将其率失真代价设为最高值，使得该运动矢量无法被选取为最优运动矢量，从而避免了漂移效应。同时，对运动预测进行限制性处理，根据 MVP 候选列表中的候选块信息，判定其是否属于 ROI 对应的待加密 Tile 单元，若是则同样将其设置为不可用。 最后将已加密的 Tile 单元索引信 ...