Posts

论文主题 使用RCFG+LSTM和对抗生成网络猜解密码。 摘要 英文 Password has become today’s dominant method of authentication in social network. While the brute-force attack methods, such as HashCat and John the Ripper, are unpractical, the research then switches to the password guess. The state-of-the-art approaches, such as Markov Model and probabilistic context-free grammars(PCFG), are all based on statistical probability. These approaches have a low matching rate. The methods on neural network have been proved more accurate and practical for password guessing than traditional methods. However, a raw neural network model is not qualified for cross-sites attack since each data set has its own features. This paper proposes a general deep learning model for password guessing, called GENPass. GENPass can learn features from several data sets and ensure the output wordlist high accuracy in different data sets by using adversarial generation. The password generator of GENPass is PCFG+LSTM(PL), where LSTM is a kind of Recurrent Neural Network. We combine neural network with PCFG because we found people were used to set their passwords with meaningful strings. Compared with LSTM, PL increased the matching rate by 16%-30% in the cross-sites tests when learning from a single dataset. GENPass uses several PL models to learn datasets and generate passwords. The result shows that the matching rate of GENPass is 20% higher than that of simply mixing those datasets in the cross-sites test. ...

论文主题 使用对抗神经网络的方式进行密码生成和密码猜解。 摘要 中文 最先进的密码猜测工具，例如HashCat和Ripper John，使用户能够每秒检查数十亿个密码以防密码哈希。除了执行简单的字典攻击外，这些工具还可以使用密码生成规则来扩展密码词典，例如单词的串联（例如“ password123456”）和轻声说话（例如“ password”变为“ p4s5w0rd”）。尽管这些规则在实践中效果很好，但是将其扩展以模拟更多密码是一项艰巨的任务，需要专业知识。为了解决这个问题，在本文中，我们介绍了PassGAN，这是一种新颖的方法，该方法以理论为基础的机器学习算法取代了人为生成的密码规则。 PassGAN不再依赖人工密码分析，而是使用Genversative Adversarial Network（GAN）来从实际密码泄漏中自动学习真实密码的分布，并生成高质量的密码猜测。我们的实验表明，这种方法非常有前途。当我们在两个大型密码数据集上评估PassGAN时，我们能够超越基于规则和最先进的机器学习密码猜测工具。但是，与其他工具相比，PassGAN在没有任何先验密码知识或通用密码结构的情况下获得了此结果。另外，当我们将PassGAN的输出与HashCat的输出组合在一起时，与仅使用HashCat的情况相比，我们能够匹配多51％-73％的密码。这是很了不起的，因为它表明PassGAN可以自主提取大量当前最新规则无法编码的密码属性。 英文 State-of-the-art password guessing tools, such as HashCat and John the Ripper, enable users to check billions of passwords per second against password hashes. In addition to performing straightforward dictionary attacks, these tools can expand password dictionaries using password generation rules, such as concatenation of words (e.g., “password123456”) and leet speak (e.g., “password” becomes “p4s5w0rd”). Although these rules work well in practice, expanding them to model further passwords is a laborious task that requires specialized expertise. To address this issue, in this paper we introduce PassGAN, a novel approach that replaces human-generated password rules with theory-grounded machine learning algorithms. Instead of relying on manual password analysis, PassGAN uses a Generative Adversarial Network (GAN) to autonomously learn the distribution of real passwords from actual password leaks, and to generate high-quality password guesses. Our experiments show that this approach is very promising. When we evaluated PassGAN on two large password datasets, we were able to surpass rule-based and state-of-the-art machine learning password guessing tools. However, in contrast with the other tools, PassGAN achieved this result without any a-priori knowledge on passwords or common password structures. Additionally, when we combined the output of PassGAN with the output of HashCat, we were able to match 51%-73% more passwords than with HashCat alone. This is remarkable, because it shows that PassGAN can autonomously extract a considerable number of password properties that current state-of-the art rules do not encode. ...

概览 摘要 Home-based IoT devices have a bleak reputation regarding their security practices. On the surface, the insecurities of IoT devices seem to be caused by integration problems that may be addressed by simple measures, but this work finds that to be a naive assumption. The truth is, IoT deployments, at their core, utilize traditional compute systems, such as embedded, mobile, and network. These components have many unexplored challenges such as the effect of over-privileged mobile applications on embedded devices. Our work proposes a methodology that researchers and practitioners could employ to analyze security properties for home-based IoT devices. We systematize the literature for home-based IoT using this methodology in order to understand attack techniques, mitigations, and stakeholders. Further, we evaluate 45 devices to augment the systematized literature in order to identify neglected research areas. To make this analysis transparent and easier to adapt by the community, we provide a public portal to share our evaluation data and invite the community to contribute their independent findings. ...

蔡高厅高等数学课程教材pdf 介绍 蔡高厅，任天津大学数学系教授。他在学生中具有很高的威望，在视频教学中，蔡老师细致的讲解以及认真负责的态度，很让同学们感动,网上可以下载到蔡高厅高等数学视频、教学软件等。蔡老师一丝不苟的板书让人很是钦佩。 适合基础薄弱的同学认认真真仔细的把高数学习一遍。 附件内容 附件中包括 高等数学上册.pdf 高等数学试题精选与解答.pdf 高等数学下册.pdf 下载地址 蔡高厅高等数学.zip 备用地址 视频观看地址 高等数学 蔡高厅 上册 高等数学 蔡高厅 下册 上册目录 下册目录 版权声明：本文为 m2kar 的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。 作者: m2kar 打赏链接: 欢迎打赏m2kar 邮箱: m2kar.cn#gmail.com 主页: m2kar.cn Github: github.com/m2kar CSDN: M2kar的专栏

介绍 今天给大家介绍的是一款名叫GitGot的半自动信息收集工具，在GitGot的帮助下，广大研究人员可以轻松从GitHub公开数据中搜索敏感信息。 # 安装运行 环境: Kali Linux + docker 安装 运行gitgot-docker.sh文件来构建GitGot Docker镜像，并执行Docker化的GitGot版本工具。运行之后，gitgot-docker.sh文件将会在主机当前的工作目录下创建并加载logs和states目录。如果gitgot-docker.sh文件是直接从GitGot项目目录下运行的话，它将会更新Docker容器： ./gitgot-docker.sh 设置token 由于GitHub会限制访问频率，因此我们还需要一个令牌，我们可以直接创建一个无权限/无范围的GitHub API令牌：【传送门】，这个令牌可以直接拿来访问公共GitHub库。Gitgot.py文件的顶部需要添加下列代码： ACCESS_TOKEN= "<NO-PERMISSION-GITHUB-TOKEN-HERE>" 工具使用 使用默认正则式列表和日志文件地址(/logs/.log)查询字符串”example.com” ./gitgot.py -q example.com 尝试了一下 iscas.ac.cn ./gitgot.py -q iscas.ac.cn 搜索到了一些手机号,邮箱,姓名这样的敏感信息 发现很多机器学习的恶意邮件分类数据集中竟然包含很多的较为敏感的邮箱和域名信息 可以使用交互命令设置是否显示内容。如果设置是否忽略相似内容，则会根据相似度判断是否忽略。 还有这种极度敏感的信息。 这是PHP的password_hash函数生成的密码。 https://moodle.org/mod/forum/discuss.php?d=315092&parent=1262609 https://www.php.net/password_hash 参考 [Github] GitGot https://github.com/BishopFox/GitGot GitGot：一款可从GitHub公开数据中搜索敏感信息的半自动化快速搜索工具 https://www.freebuf.com/sectool/212124.html 版权声明：本文为 m2kar 的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。 作者: m2kar 打赏链接: 欢迎打赏m2kar 邮箱: m2kar.cn#gmail.com 主页: m2kar.cn Github: github.com/m2kar CSDN: M2kar的专栏

介绍 Emagnet是一款非常强大的工具，其主要目的是从pastebin上传的泄漏数据库中捕获电子邮件地址和密码。当密码在pastebin.com上不在列表中时，几乎不可能找到泄露的密码。他们已被pastebin的技术人员删除，或仅仅只有个别人上传。说实话，这比在大海中捞针要容易，然后使用我们想要收集的数据在pastebin上查找过时的上传内容。 # 安装运行 环境: Kali Linux git clone https://github.com/wuseman/emagnet cd emagnet chmod +x emagnet* ./emagnet --emagnet 运行失败,提示IP被锁 发现邮箱 ./emagnet -e 后台运行 docker 运行 FROM "ubuntu:18.04" MAINTAINER "M2kar<[email protected]>" ARG EMAGNET_VERSION=3.4 RUN apt update \ && apt-get install -y --no-install-recommends \ inetutils-ping \ wget \ curl \ screen \ ca-certificates \ && rm -rf /var/lib/apt/lists/* RUN curl https://codeload.github.com/wuseman/EMAGNET/tar.gz/${EMAGNET_VERSION} > /tmp/emagnet.tar.gz \ && tar -xzv -f /tmp/emagnet.tar.gz -C / \ && ln -s /EMAGNET-${EMAGNET_VERSION} /EMAGNET WORKDIR /EMAGNET CMD ["/EMAGNET/emagnet","--emagnet"] TODO 目前还没有出来的结果 参考 [Github] EMAGNET https://github.com/wuseman/EMAGNET EMAGNET：从Pastebin上传的泄漏数据库中捕获电子邮件地址和密码 https://www.freebuf.com/sectool/213048.html 版权声明：本文为 m2kar 的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。 作者: m2kar 打赏链接: 欢迎打赏m2kar 邮箱: m2kar.cn#gmail.com 主页: m2kar.cn Github: github.com/m2kar CSDN: M2kar的专栏

sci-hub：一个神奇的免费下载文献的网站（使用技巧） 转载自 https://zhuanlan.zhihu.com/p/24299207，侵删。 2019.9.14更新，请用下面2个网站： http://sci-hub.se/ http://www.sci-hub.tw http://sci-hub.wang/ 下面这个网站会更新sci-hub的最新网址：sci-hub官网下面这个网站会更新sci-hub的最新网址： SCI-Hub科研论文全文下载站可用网址链接（自动检测，实时更新） - YoviSun应用小工具tool.yovisun.com -—————————————————————————- 2017.12.16更新，抱歉下面三个网址用不了了。请用以下几个： http://www.sci-hub.tw/ http://www.sci-hub.tv/ http://www.sci-hub.la/ http://www.sci-hub.mm/ http://www.sci-hub.is/ http://www.sci-hub.ws/ http://www.sci-hub.hk/ http://www.sci-hub.cn/ http://www.sci-hub.sci-hub.tw/ http://www.sci-hub.sci-hub.mn/ http://www.sci-hub.sci-hub.hk/ http://www.sci-hub.org.cn/ 下面在网址上加http://sci-hub.cc的方法，目前可以改成加http://sci-hub.tw，这样还是可以用的。 如果你使用www.sci-hub.org.cn这个网站，sci-hub和谷歌联合起来的搜索引擎，检索的结果点击全文下载，会出现意想不到的结果。 出现的结果会给出影响因子和中科院JCR分区，右侧几个按钮尝试一下，很多是可以一键下载的。 -—————————————————————————————– 对于科研民工们，肯定很多人接触过sci-hub这个网站，一个很神奇的免费下载文献的网站。目前的网址是这几个。 http://www.sci-hub.tw/ http://www.sci-hub.se/ http://www.sci-hub.shop/ sci-hub的主页长这样 sci-hub的宗旨是移除科研道路上的所有障碍。 而对于很多出入科研深坑的民工来说，最大的阻碍是，我下不到我想看的文献，因为我们学校没买数据库，没有权限。文献传递呀，太慢，也很贵，还很费时间。那直接购买这个数据库啊，或者买你需要的单篇文献啊。 真是买不起啊！ 这些文献常常一篇文献几十美元几十欧啊，等你毕业引用的几百篇文献里面那么些不能下载的买下来可能上千欧啊。更何况有些文献你要注册一个账号才行。谁没事儿下篇文献去注册个账号啊！ 而，sci-hub可以解决这个问题。这些下载不了的文献sci-hub基本可以解决90%。假设我平时文献有20%下载不了。现在sci-hub能解决其中的90%，那就只剩下20%*10%=2%的我需要的文献无法下载了。是不是很开心。 sci-hub的创始人是哈萨克斯坦的一个女研究生，苦于自己太穷下不起论文，一言不合自己写了一个网站，供全球科研工作者下载论文。到现在有800万的用户，3700万的访问，7000多万次的下载。按照10美元一次下载计算，他为科研工作者节省了7亿美元。 使用sci-hub有两种途径三个方法。 第一种途径是上述三个网址进入hub这个网站，方法一是找到你要下载的文献的pdf下载页面网址，复制并粘贴到hub的搜索框中，即可下载；方法二是复制该文献的doi粘贴到hub搜索框中，即可下载； 第二种途径是，不进入hub这个网站。使用Google学术或者百度学术等检索文献利器找到文献下载页面，在页面的网址里进行修改。修改方法是，该文献网址的主网站后面加上.http://sci-hub.tw .sci-hub.se 2个中任意一个。然后回车，你会发现，没有权限的文献马上就会出来pdf界面变成可以下载。 例如下面这个例子: Lake Qinghai, China: closed-basin like levels and the oxygen isotope record for ostracoda since the latest Pleistocene这个网址，这篇论文是需要purchase的。但是在.com后面加上.sci-hub.tw(Science, health and medical journals, full text articles and books..sci-hub.tw/science/article/pii/003101829190041O)立刻就变成了可下载状态。 ...

快手考试遇到了几个笔试题目，先记一下，有些题得重新做 句子逆序 字符串距离 质数分解 数独正确性检测 版权声明：本文为 m2kar 的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。 作者: m2kar 打赏链接: 欢迎打赏m2kar 邮箱: m2kar.cn#gmail.com 主页: m2kar.cn Github: github.com/m2kar CSDN: M2kar的专栏

美团考试遇到了几个笔试题目，先记一下，有些题得重新做 黑客入侵点定位 题目描述 实现 分为两段执行： 分别将模块1-12，模块1-24，模块1-48，… 模块1-144，模块1-150输入到第一款检测程序中，当检测程序输出为True时，进行下一步检测。假设此时输入的程序为$1-12*(x)$ 将模块 $$1-12*(x-1),1-[12*(x-1)+1],1-[12*(x-1)+2],…,1-[12*(x-1)+11],1-12*(x)$$ 分别输入到检测程序，检测出则为被入侵的程序 但是这种实现方式存在问题，这里是假设平均分割，但可以不平均分割，这时候的方程如何列？ 重复子序列 题目描述： 输入两个 输入整数序列A和B,输出同时在A，B中出现的最长子序列的长度。注意，子序列由原序列中的连续元素构成。 输入 第一行一个数n，表示序列A的长度 第二行n个数，表示序列A 第三行一个数m，表示序列B的长度 第四行m个数，表示序列B （1<=n,m<=1000) 输出 输出结果 样例输入 5 1 2 3 2 1 5 3 2 1 4 7 样例输出 3 提示 即最长重复子序列为[3,2,1] 给了示例代码，包括输入部分 实现 def findMaxSubListLen( A, B): n1 = len(A) n2 = len(B) dp = [[0 for _ in range(n2+1)] for _ in range(n1+1)] for i in range(1,n1+1): for j in range(1,n2+1): if A[i-1] == B[j-1]: dp[i][j] = dp[i-1][j-1] + 1 return max([max(row) for row in dp]) 美团送餐分箱问题 棋手拿出装有货物的保温箱 ...