grt1st's blog | 但行好事,莫问前程。

grt1st个人博客

typecho install.php漏洞分析

0x00.前言 对2017.10的typecho前台GETSHELL漏洞的分析。 0x01.介绍 漏洞版本对应于Typecho 1.1(15.5.12),各个版本typecho下载链接。 严格来说,这并不是一个反序列漏洞,而是一个任意代码执行漏洞。因为虽然它使用了反序列化函数,但是利用点却在对象的实例化以及其后续的一系列的魔术方法中。 0x02.漏洞分析 1.漏洞入口 代码入口在instal......

说一说基于机器学习算法的webshell检测

只针对最近看到的两篇文章《Engineers at Work: Automatic Static Detection of Malicious JavaScript》与《lcatro/WebShell-Detect-By-Machine-Learning:使用机器学习识别WebShell》。 0x00.前言 笔者并没有针对性的研究机器学习在webshell上的检测,只是对两篇文章的总结与反思......

变分自编码器(VAE)基本结构的tensorflw实现

0x01.前言 代码参考自Variational Autoencoders Explained和Variational Autoencoder in TensorFlow,修修补补emmmmmmmm。 0x02.基本结构 变分自编码器(VAE)结构与自编码器(AE)结构类似,都有编码与解码部分。但是,VAE的中间变量与自编码器不同,并且由于损失函数的定义,使结果趋近概率分布。VAE的基本结构......

github敏感信息泄露及简单利用脚本

0x01.前言 github作为一个代码托管平台,有着海量的开源代码和许多开发者。在代码上传时,有些开发者缺乏安全意识,会在不经意间泄露自己的密码或者密钥。本文以这里为切入点,介绍一个检索代码敏感信息的小爬虫。 0x02.github信息泄露 正如前言所述,缺乏安全意识的开发者会造成这个问题。不止web路径下的.git目录会泄露信息,在托管的开源代码中也会产生信息泄露。例子很多,比如php连......

爬虫的小tricks

0x00.前言 最近写了一个小爬虫,结果遇到了一些问题,经过一番风雨解决了。并且开发出了新姿势,这里介绍一下。 0x01.优雅的会话机制 emmm是这样的,提交表单到登录页面,结果只返回没有登录。因为登录后会重定向到主页,所以我怀疑过程中重定向是不是发生了什么。 123imoprt requestsr = requests.post("https://github.com/session",......

机器学习之生成模型(GAN&VAE)综述

0x00.前言 一次偶然的机会(上课没事做),在知乎上刷到了一个dalao写的关于生成模型的一些小思考。 首先说,我只了解GAN的简单基本结构,知道它可以拿来做什么,也跑过一个失败的小例子。而对于变分自编码器(VAE),我也只停留在听过的水平。并且因为研究过自编码器,但是我却对变分自编码器一点都不了解。(这篇文章之后,经过主动了解,原来他俩不一样!) 从文章中我们了解到GAN与VAE两类主要......

暑期信工所工作总结

0x00.前言 假期有幸在信工所实习,跟着师兄使用tensorflow构造了模型,这里拿着终稿做一个总结。 代码在 https://gist.github.com/grt1st/3f503c701ba89b5242632e2be997fa91 , 回想了一下,使用了seq2seq模型、lstm、注意力机制、词向量。继续学习,继续前进。 0x01.深入代码 1.function model_i......

由协会改革说一说我心中的团队建设

0x00.前言 1.协会旧制 在我大一的时候,协会每年都会招很多人,但是往往半年、一年后,都会有很多人离开,只有少部分人坚持留在协会。协会下设各个方向,比如web、二进制、密码等等。每周这些方向都会开组会,通常是组长负责,讲一些基础的东西给大一刚入会的新生。 2.人才状况 刚入学的时候,我对于电脑,了解的东西很少。万幸协会招了很多人,我才有幸成为协会的一员。12级、13级在我看来真的是dal......

tensorflow系列(5)tensorboard可视化

tensorboard可视化使用 0x00.前言 看书的笔记,水一篇。 0x01.tensorboard 1.限定命名空间 with tf.name_scope('') 1234with tf.name_scope('input'): # 设置输入 X = tf.placeholder(tf.float32, shape=[None, 6]) y = tf.placehol......

打脸《人工智能造出自己语言,Facebook紧急关闭AI系统》

0x00.前言 最近开到一个新闻,标题很是吸睛:《人工智能造出自己语言,Facebook紧急关闭AI系统》,甚至还有媒体起这样的标题《震惊!人类失去对AI的控制!!》。 看完内容我很愤怒,媒体真的是不要碧莲。不了解这方面的知识,凭空捏造出一个吸引人的标题,给这个行业带来了普通人的误解。 就像一个脚本小子被媒体鼓吹为黑客一样,我真的对媒体没有一丝好感,本文就是打脸媒体的。 0x02.正文 首先......