十年前,Redis在Hacker News上宣布,我将其作为项目的虚拟生日,仅仅因为它比公告第一行代码的实际日期更为重要(想想它的概念) VS实际出生的动物)。我会用十年的Redis作为借口来释放我前几天玩过的东西,想把它用在4月1日那个傻瓜身上:但是这个日期已经很远了我现在想和你谈谈这个项目......所以,Redis生日快乐!这是你现在的:Gopher协议实现。 [...这里Redis试图阻止眼泪,但情绪太强烈,地板上有点(我的意思是零和一些)...] WTF你在说什么?!应该是你的自动问题。Gopher在2019年听起来有点奇怪。然而,这不仅仅是一个笑话,而是一个笑话。毕竟,实现只有100行代码,不包括将页面呈现为Redis键的外部工具。但是......事实上,Gopher周围真的有一个活跃的社区,这是一个非常小的,但是在最近几年和几个月里都在增长。有些人认为互联网不再像过去那样。有太多的控制,公司跟踪,评论,喜欢,转推,以至于内容不再是王者。一个人写新东西让他们流行5个小时并消失。已经不再讨论可以存活超过几分钟而不会变成某种火焰,除非所有各方都自我审查每一种可能的感觉,不安的言辞和信念,以至于使讨论毫无用处。最后加载一个带有1k文本的愚蠢页面需要加载50个javascript文件,以便看到屏幕闪烁,因为客户端渲染很酷,等等。 另一方面,Gopher是一个纯文本协议,非常适合提供只有文字的文档,其中压力在于你所写的内容。但那就是胎教,对我而言,Gopher的银弹就是它是UNCOOL。足够冷静,它将是永远的,AFAIK,一个替代的现实,某些人可以决定与其他人分开,体验不同的做事方式,更类似于旧时代的BBS或互联网的头几年。一个大多数人不想只是在80列固定大小字体中阅读书呆子东西的地方。 你在Gopher中所做的就是创建你的Gopher洞,也就是你在Gopher宇宙中的空间,就像你在互联网上的网站一样。已经有不少工具可以做到这一点,但Redis非常好,原因如下:您可以更改Redis密钥以实时更改网站内容,这很方便。您可以使用复制来复制站点,甚至可以保存您的RDB文件,以便将整个Gopher漏洞的精确副本存档以备份或历史原因。 这个Redis Gopher概念是在Freaknet的合作下创建的,Freaknet是卡塔尼亚历史性的黑客实验室体验。https://it.wikipedia.org/wiki/FreakNet。 那些人做了很多有趣的事情,包括在Palazzolo Acreide的一个retrocomputing硬件博物馆项目:https://museo.freaknet.org/en/ 。 这个怎么运作? 好吧,它是微不足道的,我劫持了内联协议,特别是两种内联请求,无论如何都是非法的:空请求或任何以“/”开头的请求(没有Redis命令以这样的斜杠开头)。正常的RESP2 / RESP3请求完全不在Gopher协议实现的路径之内,并且通常也是如此。如果在启用Gopher时打开与Redis的连接并向其发送类似“/ foo”的字符串,如果有一个名为“/ foo”的键,则通过Gopher协议提供。整个实现是100行代码。最初我考虑过使用数据结构并对Gopher类型进行语义转换,但这只是复杂而无用的。 相反,我所做的是为Gopher提供Redis的创作工具,你可以在这里找到它: https://github.com/antirez/gopher2redis 要查看在Redis实例上运行的Gopher漏洞的示例,只需转到gopher://gopher.antirez.com,然后在我接下来的几天内构建一个Gopher漏洞的地址。PS我建议使用Lynx文本只有web / gopher浏览器访问Gopher。 默认情况下禁用gopher支持,以使其能够使用Redis unstable分支并使用“gopher-enabled”选项,将其设置为yes。但是,确保密码保护Redis:Gopher协议仍将提供内容,但同时无法访问正常的Redis命令。这种方式(假设您没有Gopher键以外的数据在实例中公开),您可以将实例设为公共,作为真正的Gopher服务器。 好吧,和Gopher玩得开心!我希望这个Gopher会继续前进,我真的相信我们中的一些人需要在现代互联网的混乱之外建立一个社区。不,不可能没有互动。例如,我没有计划停止写博客或使用互联网。但某些较慢质量较高的通信需要一个繁荣的地方。
Gopher协议是什么?它是Internet上的一种信息查找协议,什么是信息查找协议?Http协议听过吧,http也是internet上的信息查找协议,但Gopher出现的时间比http协议更早。他们的关系就像爸爸和儿子的关系,只不过‘儿子’现在比爸爸更加流行,‘爸爸’也渐渐没人知道了而已。一般人基本都不会主动了解这个协议,想要了解这个协议的人,估计90%都是为了打CTF而来的。
近期看到了很多大佬的面经,都问到了gopher扩展攻击面的知识,之前使用gopher利用过ssrf漏洞,但也仅仅停留在会用,并不是很了解,(今天挂着网课来总结一下),也算是逃课专业户了。
定义:Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它;
说明struct,在调用方法的时候,值类型既可以调用值接收者的方法,也可以调用指针接收者的方法;指针类型既可以调用指针接收者的方法,也可以调用值接收者的方法
Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。
红客突击队于2019年由队长k龙牵头,联合国内多位顶尖高校研究生成立。其团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。团队现有三十多位正式成员及若干预备人员,下属联合分队数支。红客突击队始终秉承先做人后技术的宗旨,旨在打造国际顶尖网络安全团队。
定义:gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,gopher是Internet上最主要的信息检索工具,gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它;
近年来,国内外各大 AI 巨头的大规模语言模型(large language model,LLM)一波接着一波,如 OpenAI 的 GPT-3、智源研究院的悟道 2.0 等。大模型已然成为社区势不可挡的发展趋势。
大家好,我是猫头虎,热衷于分享Go语言的最新动态。今天我们将一起探讨一个激动人心的事件——全球首个Go语言黑客马拉松——Gopher Gala。这个活动不仅是Go社区的一次盛会,更是展示Go语言创新潜力的一个绝佳平台。让我们一起来了解一下吧!
参数量上看,已经超越了OpenAI 1750亿参数的GPT-3,但是要少于英伟达-微软5300亿参数的威震天-图灵。
SSRF(Server-Side Request Forgery):指目标应用存在一种漏洞,利用该漏洞攻击者可以控制目标web应用的后端程序向任意ip地址/语言发送http请求或者其他数据包
PHP的libcurl中存在的一些问题 看了近来的几场ctf题目,学习了一些关于php libcurl的一些知识,在这里总结一下。 0x1发送POST请求时造成任意文件读取 PHP manual上对C
看了近来的几场ctf题目,学习了一些关于php libcurl的一些知识,在这里总结一下。
独特的“非侵入式”接口设计是 Go 语言的一亮点。接口使得 Go 这种静态型语言有了动态型语言的特性,提供了非常大的灵活性。Go 语言的成功,接口功不可没。
之前一直想把openflow这样的分布式流程系统做起来,但是时间和应用场景的问题所以都是做了一个半拉子工程,而且之前想的也有点简单了,认为只要有同学愿意,在开发上应该没问题,但是最终还是出现了项目管理和开发能力的问题,最终搁浅了。但是我想做一个分布式流程调度系统的想法一直没有断,其实在公司内和另外一个同学做过一个flow系统,也在线上使用了,直到现在还在使用。前一段时间就想把这个系统再优化梳理一下,目标是做一个小巧的开源可用版本。经过一段时间的梳理目前已经初步完成了,后台+前端代码的重新梳理也已经完成了。
服务器端请求伪造(Server-Side Request Forgery, SSRF)
Evoli是一款由Amethyst(紫水晶)制作的进化灵感模拟游戏,目前已经成功完成了2月份制定的MVP规范。
机器之心报道 编辑:杜伟、陈萍 给定固定的 FLOPs 预算,应该如何权衡模型大小和训练 token 的数量?DeepMind 得出了与先前不同的结论。 最近一系列大型语言模型 (LLM) 正在崛起,其中最大的语言模型已经拥有超过 5000 亿个参数。这些大型自回归 transformer 通过使用各种评估协议(例如零样本、少样本和微调),在许多任务中表现出令人印象深刻的性能。 然而训练大型语言模型需要消耗巨大的计算和能源,并且这种消耗随着模型的增加而增加。在实践中,研究者事先分配的训练计算预算通常是预先知
简介 渗透测试-地基篇 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。 一、前言 数据库作为业务平台信息技术的核心和基础,承载着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性
SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。利用一个可以发起网络请求的服务,当做跳板来攻击其他服务。这里简单总结一下ssrf,并来刷一些CTFshow上的题,还准备找一些案例。推荐一下ctfshow这个平台 可以对某个知识点有针对性的刷题题目质量也是很高的。
首先,ssrf漏洞是利用对方服务器执行,其漏洞的形成原因一般是因为web服务取引用了外部的文件或者url,服务器对于数据没有过滤或者检测是否合法性的话,这里黑客可以通过修改外部引用的东西实现ssrf攻击。
go 是一种静态语言,运行需要先编译。实际我们在使用过程中,有时候希望 go 能够像脚步语言一样执行一些动态的命令,这种功能至少有以下的好处:
第一次正式做三个白帽的题目,能做出来挺不容易,还踩了很多坑,研究一下gopher协议…
---- 新智元报道 编辑:LRS 【新智元导读】以往神经网络模型在问答场景经常会返回一些编造的答案,实在太不靠谱了!最近DeepMind发布了GopherCite模型,教语言模型用搜索引擎,拒绝胡编乱造! 随着语言模型的参数量不断增大,生成文本的效果也越来越好。 由于训练数据中包含了海量的人类知识,所以主流的问答模型对于事实类问题(factual questions)基本都能回答正确,并生成一个满意的答案。 但如果让语言模型自由发挥,那它可就放飞自我了,在没有任何事实约束和检查的情况下,语言模型
SSRF服务端请求伪造漏洞,也称为XSPA跨站端口攻击,是一种由攻击者构造一定的利用代码导致服务端发起漏洞利用请求的安全漏洞,一般情况下SSRF攻击的应用是无法通过外网访问的,所以需要借助目标服务端进行发起,目标服务器可以链接内网和外网,攻击者便可以通过目标主机攻击内网应用。
大家好,我是猫头虎,今天我们来探讨Go 1.4版本中引入的一个强大的新功能——代码生成。这个功能不仅展示了通用计算的强大之处,也为Go语言的软件工程实践带来了全新的可能性。让我们一起深入了解代码生成的魔力吧!
package main import ( "fmt" "strings" //"unicode/utf8" ) func main() { fmt.Println("查找子串是否在指定的字符串中") fmt.Println(" Contains 函数的用法") fmt.Println(strings.Contains("seafood", "foo")) //true fmt.Println(strings.Contains("seafood", "
🐯 摘要 🐯: 嗨,我是猫头虎博主!今天,我们将深入探索2020年Go开发者调查报告的精彩内容。如果你是一个热衷于Go语言的开发者或对Go生态感兴趣的朋友,这篇文章会提供你一些有趣的洞察。让我们一起探索Go的未来吧!
摘要:Go提供了对正则表达式的强大支持,本文将为你详解如何在Go中进行正则表达式的匹配、替换以及使用模式修饰符进行多行匹配等操作。
日常我们开发时,我们会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。
非常有幸,有机会能够参加Gopher China2021大会,首先要感谢下公司的领导和同事帮忙弄到了今年的门票,第一天下来收获满满,这里就发挥我中小学写记叙文的水准做下观感总结(感觉比写代码难多了),第一天的日程安排如下:
这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各大公众号千篇一律的复现、验证漏洞文章,会加入自己的思考和心得。鉴于文章会存在一些敏感内容,笔者会本着在删除敏感内容的前提下,尽量让大家都能看懂的标准去和大家一起探讨这方面的知识。
Go 作为一种编译型语言,经常用于实现后台服务的开发。由于 Go 初始的开发大佬都是 C 的老牌使用者,因此 Go 中保留了不少 C 的编程习惯和思想,这对 C/C++ 和 PHP 开发者来说非常有吸引力。作为编译型语言的特性,也让 Go 在多协程环境下的性能有不俗的表现。
🐯 猫头虎博主在此!今天,我们要聊聊Go社区的行为准则最新更新。作为技术热爱者,了解和尊重行为准则是我们共同的责任。让我们一起探索Go社区如何致力于创造一个更加包容、友好的环境!搜索关键词:“Go社区”,“行为准则”,“社区更新”。
在存在ssrf处访问http://10.1.1.200(本机服务地址) 查看kali机器服务器日志信息:
博客原文地址: https://hack-for.fun/posts/20200120/
Web上可用的每种资源 - HTML文档、图像、视频片段、程序等 - 由一个通过通用资源标志符(Universal Resource Identifier, 简称"URI")进行定位。 1.URI一般由三部分组成: 2.访问资源的命名机制。 3.存放资源的主机名。 4.资源自身的名称,由路径表示。 考虑下面的URI,它表示了当前的HTML 4.0规范: http://www.webmonkey.com.cn/html/html40/ 这个URI是这样的:这是一个可通过HTTP协议访问
一个协程启动后,一般是代码执行完毕,自动退出,但是如果需要提前终止怎么办呢? 一个办法是定义一个全局变量,协程中通过检查这个变量的变化来决定是否退出。这种办法须要加锁来保证并发安全,说到这里,有没有想的什么解决方案? 「select + channel」 来实现:
DeepMind 正在质疑这个理由,并表示给 AI 一个记忆可以帮助与它 25倍大小的模型竞争。
本文根据我 2023 年 11 月 10 日在悉尼 GopherConAU 大会上的闭幕演讲(视频)整理而成。Go 语言作为开源项目推出已整整 14 年。文中图片来自我演讲时使用的幻灯片。
论文 1:Scaling Language Models: Methods, Analysis & Insights from Training Gopher
在 Go 1.21.0 版本中,引入了 切片泛型库,它提供了很多有用的函数,特别是在搜索、查找和排序等方面,为我们开发者提供了诸多便利之处。而本文将会对 slices 库提供的函数进行介绍,准备好了吗,准备一杯你喜欢的咖啡或茶,随着本文一探究竟吧。
下载他的heapdump文件,使用heapdump_tool工具查找里面的敏感数据
明敏 发自 凹非寺 量子位 | 公众号 QbitAI 语言模型总是给出“驴唇不对马嘴”的答案,已经成为它最饱受诟病的问题之一。 现在,DeepMind想到了一个解决办法—— 让模型像人类一样,学会“谷歌一下”,回答问题同时还能给出论据。 这个模型名叫GopherCite,当你问它: GopherCite是如何找到论据来源的? 它会回答: 通过谷歌搜索检索相关文档。 同时还给出了答案的依据,援引自DeepMind发布这项研究的页面。 而且遇到实在不懂的问题,它还会说“I don’t know.”,不会强行
Go 语言,又称 Golang,是一门由 Google 开发的开源编程语言。Go 语言自 2009 年推出后,因为其简单易学、性能强劲的特点,深受开发者的青睐,使用人数持续增长,还在 2016 年被评为「TIOBE 最佳语言」。 在中国谈到 Go 语言,总有一个名字绕不开:Asta 谢孟军,他是 Go 语言中国首席布道师,Go 基金会主席,Gopher China 社区创始人,参与了各种 Go 开源项目的开发,文档等工作,著有开源框架 Beego 和《Go Web 编程》。 除此之外,谢孟军还有另外一个身份
在设计并发程序时,反复出现的一个决定是将程序状态表示为控制流还是表示为数据。这篇文章是关于这个决定意味着什么以及如何接近它。如果做得好,将存储在数据中的程序状态存储在控制流中,可以使程序比其他方式更清晰、更易于维护。
平常在做渗透测试工作的过程中哪些地方容易产生SSRF漏洞,可以看到大部分相关资料都会显示,容易产生SSRF的地方在社交分享、图片加载、邮件系统、数据库等。为什么这些地方会出现呢,社交分享可能会分享到其他网址对吧,如果我们替换其网址为我们的本地地址呢,会出现什么样得情况?同一个地址更换不同的端口又会有什么不同,加载图片请求的服务器可能和你所访问的网站不是同一个服务器,这样是不是能探测内网的同一局域网段的情况呢,邮件系统也是同一道理,这些都是探测SSRF漏洞的手段。
领取专属 10元无门槛券
手把手带您无忧上云