^/sitemap.xml$ /sitemap.php last; ②、Apache 编辑网站根目录的 .htaccess ,加入如下规则: RewriteRule ^(sitemap)\.xml$...其实,张戈博客早就已经实现 sitemap.xml 静态化了,而且在后面的文章中也有提到=>【相关文章】 实现方法有多种,比如在 Nginx 的 fastcgi 缓存中取消 xml 文件的缓存屏蔽,或者使用张戈博客最早使用的...在这里,我就分享一个自己一直在用的最简单的实现方法:Linux 定时任务+wget 定时生成 sitemap.xml 具体实现:将 sitemap.php 放到某个不为人知的目录,然后定时使用 wget...如果实在搞不清楚什么是相对路径,那么就用简单粗暴的方法:将网站根目录的 sitemap.php 重命名为一个只有自己知道的 php 文件,比如 xml.php,然后如下添加任务: #每天在网站根目录生成一个...四、文章最后 ①、确认无误之后,已开通 sitemap 权限的就可以前往百度站长平台提交了,没开通权限的可以发送申请邮件到百度站长平台管理员邮箱申请,并且将 sitemap.xml 使用 a 标签链接在网站底部即可
代码保存为 sitemap.php 文件(UTF-8 编码),上传到网站根目录,然后访问这个文件的链接即可实时的生成站点地图(sitemap.xml) 但是,这样生成的站点地图(sitemap.xml)...在这里,我就分享一个自己一直在用的最简单的实现方法:Linux定时任务+wget定时生成sitemap.xml 具体实现:将sitemap.php放到某个不为人知的目录,然后定时使用wget去请求这个文件...null 2>&1 Ps:使用这个方法,注意sitemap.php里面的 require(‘....如果实在搞不清楚什么是相对路径,那么就用简单粗暴的方法:将网站根目录的sitemap.php重命名为一个只有自己知道的php文件,比如xml.php,然后如下添加任务: #每天在网站根目录生成一个sitemap.xml...文章最后 ①、确认无误之后,已开通sitemap权限的就可以前往百度站长平台提交了,没开通权限的可以发送申请邮件到百度站长平台管理员邮箱申请,并且将sitemap.xml使用a标签链接在网站底部即可
当时是对 sitemap.php 伪静态成 sitemap.xml 的,所以是动态数据的,而且就放在根目录,所以直接访问 sitemap.php 也是可以的,由于是全站数据,所以这个文件跑起来很慢!...后来,我用 linux 命令+crontab 就解决了这个需求:将 sitemap.php 放到某个不为人知的目录,然后定时使用 wget 去请求这个文件,并将数据保存为 sitemap.xml 存放到网站根目录就可以了...http://zhangge.net/diypath/sitemap.php >/dev/null 2>&1 Ps:使用这个方法,注意 sitemap.php 里面的 require('....我也懒得研究如何从数据库弄出所有页面,最后用了一招偷懒的办法:从 sitemap.xml 中获取页面地址!...第 1 个途径就没必要啰嗦了,简单分享第 2 种如何实现吧。 从第①步中可以看到,我们只请求页面,但是不保存数据,全部扔黑洞了。那如果我将数据保存为对应的 html 文件,并存放在网站对应的目录下呢?
sitemap.xml对网站的优化是很有好处的很有必要整一个。...很多站长都是直接用插件生成一个sitemap.xml,没毛病,也是可以的,但是暖岛个人觉得能用代码实现的,就不会用插件,下面就分享纯代码实现WordPress自动生成sitemap.xml网站地图功能:...新建文件 首先新建一个“sitemap.php”文件,然后将下面代码复制到sitemap.php文件中。...> Click to copy 将编辑好的sitemap.php文件,放在网站的根目录。...首先将自己所使用的的sitemap.xml插件都禁止,然后看看网站的根目录是否会生成一个sitemap.xml文件,如果已经有了,你可以试一下你的域名/sitemap.xml,如果可以显示网站地图信息,
文章目录[隐藏] 创建sitemap.php 设置伪静态 首次使用wordpress默认不带xml网站地图,博客之前一直使用的是Google xml插件,今天帖一下纯代码生成xml网站地图,能少用一款插件就少用一款插件...创建sitemap.php 网站根目录下新建一个sitemap.php文件,内容如下: <?php require('....> 设置伪静态 nginx添加如下伪静态规则: rewrite ^/sitemap.xml$ /sitemap.php last; 访问:你的域名/sitemap.xml 完成!!...需要注意的是 5.5版本自带了地图文件 需要禁用才可以。...教程地址:如何WordPress5.5 自带默认 XML 站点地图 wp-sitemap.xml 移除教程 - 帝讯博客 (dixublog.cn) 声明:本站所有文章,如无特殊说明或标注,均为本站原创发布
处理器来解析所匹配到的文件 AddType 指令 将特定扩展名文件映射为php文件类型 例题 先看下源代码。...> 我们的PHP木马文件被网站黑名单拦截了,那我们就要考虑如何绕过。...编写.htaccess文件。这段代码的作用就是将所有包含shell的文件都当做php文件处理。... Sethandler application/x-httpd-php 将这个.htaccess文件上传,然后将我们的一句话木马文件扩展名改为...> 前台显示上传成功,然后使用蚁剑连接,拿下flag。
,burp suite抓包,修改content-type和文件扩展名即可如下,扩展名改为php,content-type改为application/octet-strea 放行请求,可以看到一个无效的图片...查看上传的文件,webshell执行成功 pass-3 解题思路:对文件名的扩展名进行判定,可以使用php文件的其他扩展名进行绕过。...但是PHP 文件并非只有php一种扩展名,php文件通常使用以下几种扩展名:1、php:这是最常见的 PHP 文件扩展名,建议使用它来保存 PHP 代码文件;2、phtml:这也是一种常见的 PHP 文件扩展名...文件包含如下内容 将shell.php去掉后缀名为shell即可上传成功 执行webshell成功 pass-6 解题思路:同第三关,还可以大写php扩展名来绕过 黑名单过滤了.htaccess,尝试使用...如下,在文件内容前面随便加8个字符 然后在Hex中编辑,将这八个字符修改为对应的文件头 // Png图片文件包括8字节 89 50 4E 47 0D 0A 1A 0A // Jpg图片文件包括2字节
另外需要用WordPress来搭建个人网站的可以参考文档 如何搭建网站(熟悉建站流程+建站程序) WordPress如何搭建个人网站(Linux版本) WordPress如何搭建个人网站(Windows...版本) 伪静态化后更容易被各大搜索引擎收录、增加权重,另外,拼音或英文的后缀还能增强网站访问体验。...minute% (分钟) %second% (秒) %postname% (页面别名) %post_id% (序列数字) %category% (分类别名) %author% (作者名) 2、相对来说,百度更喜欢...1、Linux服务器环境 请确保你的根目录开启了777权限,已开启的话,在修改自定义固定链接后的瞬间,会在主机根目录自动生成一个.htaccess的文件,打开查看是否已生成规则,生成的话,就OK了,就不需要往下看了...如果没有生成.htaccess,或者.htaccess里没有内容,那就需要手动创建一个txt文件,使用上传软件修改名为 .htaccess,粘贴Apache或Nginx规则代码,保存并上传到网站根目录就行了
例子: IIS扩展名解析漏洞 l 上传yijuhua.php,拦截数据包 l 在文件目录处uploadimg改为uploadimg/1.php; l Yijuhua.php后缀名改为yijuhua.jpg...例子:Apache扩展名解析漏洞 打开站点,将x.php后缀名修改为x.php.7z,上传x.php.7z, 上传成功,上传成功后使用中国菜刀进行连接 3、PHP CGI解析漏洞 Nginx上的漏洞 例子...,上传,上传成功后使用中国菜刀进行连接 8、黑名单绕过 例子:IIS黑名单绕过 l 将yijuhua.php后缀名改为yijuhua.PHP(文件重命名就可以),上传到站点,上传成功,用中国菜刀连接yijuhua.PHP...(大概在30行左右)后上传 l 修改完后可以看到UploadFiles/1.php .jpg变为 l 上传后使用中国菜刀进行连接 例子: 截断扩展名(IIS) l 将yijuhua.php后缀名修改为yijuhua.jpg...其他方法绕过 例子:利用.htaccess绕过 l 打开站点,上传.htaccess文件,上传成功 l 将dama.php后缀名修改为dama.jpg,上传,上传成功 l 打开dama.jpg所在链接
通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。...笼统地说,.htaccess可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index...例如,需要使用.config ,则可以在服务器配置文件中按以下方法配置:AccessFileName .config 。 如何让自己的本地Apache服务器支持".htaccess"呢?...将AllowOverride设置为none可以完全禁止使用.htaccess文件: AllowOverride None 虚拟主机环境中,因为管理员不能让所有用户修改服务器配置文件,所以通过.htaccess...; 使用重命名命令ren 1.txt .htaccess ,这是最常规的方法了,在windows窗口下不能执行的命令,在cmd下却如履平地; 使用重定向命令 echo. >.htaccess,这里将一个回车符输入到
绕过方式 使用Burp截取上传数据包,修改Content-Type的值,改为image/gif即可成功绕过上传webshell。 服务端文件扩展名检测 扩展验证测试代码 ?...解析漏洞) 4 借助系统特性突破扩展名验证,如:test.php_(在windows下下划线是空格,保存文件时下划线被吃掉剩下test.php) 5 双扩展名之间使用00截断,绕过验证上传恶意代码如:test.php...%00.jpg 6 借助.htaccess文件上传恶意代码并解析。...如:上传一个.htaccess文件,内容为AddTypeapplication/x-httpd-php .jpg,上传的jpg文件就可以当作php来解析 7 使用00截断,绕过后缀验证获取webshell...安全建议 1 使用白名单限制可以上传的文件扩展 2 验证文件内容,使用正则匹配恶意代码限制上传 3 对上传后的文件统一随机命名,不允许用户控制扩展名 4 修复服务器可能存在的解析漏洞 5 严格限制可以修改服务器配置的文件上传如
原因在于,Nginx拿到文件路径(更专业的说法是URI)/test.jpg/test.php 后,一看后缀是.php,便认为该文件是php文件,于是转交给php去处理。...因为Nginx只要一看URL中路径名以.php结尾,便不管该文件是否存在,直接交给php处理。而如Apache等,会先看该文件是否存在,若存在则再决定该如何处理。...使用Burp Suite抓取浏览器发出的请求包,修改为我们想要的样子,原本的URL是:http://192.168.56.101/test.htmlAAAjpg ,将第一个“A”改成“20”(空格符号的...> 用Burp Suite抓包并修改,原本的URL是:http://192.168.56.101/test.jpg…php ,将jpg后的第一个“.”改为20,第二个“.”改为00,如下图所示: 修改完毕后...通过 .htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启
原因在于,Nginx拿到文件路径(更专业的说法是URI)/test.jpg/test.php 后,一看后缀是.php,便认为该文件是php文件,于是转交给php去处理。...因为Nginx只要一看URL中路径名以.php结尾,便不管该文件是否存在,直接交给php处理。而如Apache等,会先看该文件是否存在,若存在则再决定该如何处理。...使用Burp Suite抓取浏览器发出的请求包,修改为我们想要的样子,原本的URL是:http://192.168.56.101/test.htmlAAAjpg ,将第一个“A”改成“20”(空格符号的...> 用Burp Suite抓包并修改,原本的URL是:http://192.168.56.101/test.jpg…php ,将jpg后的第一个“.”改为20,第二个“.”改为00,如下图所示: ?...通过 .htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启
> ``` 绕过方法: 抓包将 content-type 改为图片形式(即 image/png 等),即可成功上传 ### 2.1.2 检测文件头判断文件类型 后端代码大致为: ``` ``` 众所周知使用黑名单是非常不安全的,很多网站会使用扩展名黑名单来限制上传文件类型,有些甚至在判断时都不用 strtolower () 来处理,因此造成漏洞 **绕过方法:** 使用一些特殊扩展名来绕过...(如 PHP 可以使用 php3、php4、php5 等来代替) 在后端比较没有转换大小写处理时,使用大小写混淆(如将 PHP 改为 PHP 等)来绕过 ### 2.2.2 白名单检测 大致代码如下...但最终 move_uploaded_file()的目标目录是我们可控的,我们可以将 POST 传入的 save_path 改为.....htaccess 的条件:Apache 中配置 AllowOverride All .htaccess 文件可以配置将特定的文件按规定的文件类型进行解析,可以用以下两种方式来配置: ``` <FilesMatch
攻击者在受影响系统放置或者插入WebShell后,可通过该WebShell更轻松,更隐蔽的在服务中为所欲为。...如何判断当前页面使用前端is的验证方式: 前端验证通过以后,表单成功提交后会通过浏览器发出─条网络请求,但是如果前端验证不成功,则不会发出这项网络请求;可以在浏览器的网络元素中查看是否发出了网络请求...是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。 绕过上传限制-服务端绕过MIME检测: 2. ...MIME绕过的原理: 部分Web应用系统判定文件类型是通过content-type字段,黑客可以通过抓包,将content-type字段改为常见的图片类型,如image/gif,从而绕过校验。...1.4 .htaccess文件内容: .htaccess文件解析规则的增加,是可以按照组合的方式去做的,不过具体得自己多测试。
下面我详细说说它的使用方法!对初学者很有用的哦!...”,将前面的”#”号删除即可。...APACHE目录的CONF目录里面),用文本编辑器打开后,查找 Options FollowSymLinks AllowOverride None 改为 Options FollowSymLinks...3.建立.htaccess 文件 如 果是在windows平台下,刚开始还真不知道怎么建立”.htaccess”文件,因为这个文件实际上没有文件名,仅仅只有扩展名,通过普通方式是无法 建立这个文件的...(2)进入cmd命令 窗口,通过cd切换当刚建立htaccess.txt文件的文件夹,然后输入命令:rename htaccess.txt .htaccess ,然后点击键盘Enter键即可。
文件中,这将使服务器不执行图像上传目录上的 PHP 文件 php_flag 引擎关闭 如果您不知道什么是 .htaccess 文件 .htaccess笔记: .htaccess 文件是分布式配置文件,提供了一种基于每个目录进行服务器配置更改的方法...,并且已经在我的目录sub-dir-1 / sub-dir-2 / sub-dir-3 /.htaccess 上上传了 .htaccess 文件,在这种情况下,我将通过上传文件名重写 .htaccess...-3/32-random-characters.htaccess 哪个对服务器配置没有影响 第二种情况: 2.0 在第二种情况下,我们将测试它以防第一种情况失败,方法是对文件名参数进行路径遍历,以从包含...edu/32-random-chars.pHp 开发人员从文件名中获取扩展名并将其放入端点扩展名中,因此开发人员可能使用弱正则表达式,将点后面的任何内容放入端点扩展名中,这样我们就可以通过添加点 (.)...Content-Type: image/jpeg 所以我们无法以这种方式实现 XSS 第二种情况:在https://edu.target.com/teacher/profile-id 正如我之前告诉你的那样,服务器端将扩展名放在图像名称中
> 绕过方法: 抓包将content-type改为图片形式(即'image/png'等),即可成功上传。 2.1.2 检测文件头判断文件类型 后端代码大致为: 众所周知使用黑名单是非常不安全的,很多网站会使用扩展名黑名单来限制上传文件类型,有些甚至在判断时都不用strtolower()来处理,因此造成漏洞 绕过方法: 使用一些特殊扩展名来绕过(如php可以使用...php3、php4、php5等来代替) 在后端比较没有转换大小写处理时,使用大小写混淆(如将php改为pHp等)来绕过 2.2.2 白名单检测 大致代码如下,与黑名单检测没有太大差别: <?...利用.htaccess的条件:Apache中配置AllowOverride All .htaccess文件可以配置将特定的文件按规定的文件类型进行解析,可以用以下两种方式来配置: <FilesMatch...如果是黑名单的话,就要尝试各种特殊文件名(php、Php、PHP、pht、php5、phtml),或者在扩展名后添加空格、::$DATA、.等字符,再或者是尝试上传.htaccess 如果是白名单,就要看是否可以使用
image-20220115000355619 审计源代码,其中一段使用in_array函数判断所上传文件的扩展名是否存在指定的扩展名黑名单中。...: 1.使用正则表达式过滤了包含ph与htaccess扩展名的文件2.过滤了文件内容包含<?...所以Windows系统可以解析.Php、.PHp、.PHP、.pHp、.pHP、.phP扩展名的文件。若网站后端过滤并未统一大小写(将文件扩展名转为小写表示),则会造成绕过。...,即可绕过: image-20220118135403024 利用扩展名双写绕过 PHP后端使用str_ireplace这个函数将php,php5,php4等后缀变成空格,且只执行了一次,所以可以尝试构造文件后缀为...,所以这里需要结合Apache的解析漏洞: 将后缀改为php.7z,并进行爆破: image-20220120133712042 成功上传,并且可以解析为php文件。
.htaccess文件的使用 image-20210425145932191 也可以通过 AccessFileName 将 .htaccess 修改为其他名: AccessFileName .config...# 将.htaccess修改为.config .htaccess 常见指令 .htaccess 可以实现网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问...此时,常用的的两个 .htaccess 指令如下: •SetHandler 指令 我们可以使用 SetHandler 指令强制将所有匹配的文件被 PHP 处理器处理并解析: # 将images.png...(3)指定目录写文件(error_log) 前面我们已经了解了,error_log 可以将 PHP 运行报错的记录写到指定文件中,利用这一点我们可以写Webshell。但是如何触发报错呢?...为了时我们写入的 .htaccess 文件生效,我们要采用 # 对脏字符进行注释,或使用反斜杠 \ 将换行符转义成普通字符。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
