2020年01月_K'illCode

原创 Github 标星 12.8K！这可能是最好的 Java 博客系统

来源：GitHubhttps://github.com/halo-dev/haloHalo 是一款现代化的个人独立博客系统，给习惯写博客的同学多一个选择。简介Halo [ˈheɪloʊ]，意为光环。当然，你也可以当成拼音读(哈喽)。轻快，简洁，功能强大，使用 Java 开发的博客系统。快速开始下载最新的 Halo 安装包curl-Lhttps://gith...

2020-01-31 11:25:37 570

原创渗透测试学习路线

首先是编程基础菜鸟教程；https://www.runoob.com/w3c;https://www.w3cschool.cn/慕课网；https://www.imooc.com/直播类网易云课堂；https://study.163.com/漏洞银行；https://www.bugbank.cn/这些自学前期对自己，是非常好的渗...

2020-01-31 11:23:55 7117 2

原创 WEB渗透测试中回显的一些技巧

在很多场景中，WEB是渗透测试的一个相对容易的入口。通常经过测试授权后，我们会先尝试拿到一个WEBSEHLL，然后再通过各种方法提权，来控制一台内网机器，然后利用这台内网机器控制整个内部网络。在进行WEB渗透的时候，我们通常会通过后台弱口令、SQL注入、XSS、任意文件上传等漏洞来进行攻击测试。在测试的时候我们会根据服务器返回信息来判断漏洞是否存在，也是根据服务器返回的信息来判断我们能否...

2020-01-31 11:17:19 1155

原创 SpringBoot使用AOP实现REST接口简易灵活的安全认证实践

本文将通过AOP的方式实现一个相对更加简易灵活的API安全认证服务。我们先看实现，然后介绍和分析AOP基本原理和常用术语。一、Authorized实现1、定义注解packagecom.power.demo.common;importjava.lang.annotation.*;/**安全认证**/@Target({ElementType.TYPE,El...

2020-01-31 11:16:42 555 1

原创 php5.5过狗

新年到了，送给大家一个PHP免杀的webshell吧。（仅限PHP5.5以下版本）测试环境 PHPstudy8.0.9.2，其中PHP版本为5.2 网站安全狗V4.0正式版原理preg_replace函数中使用/e修饰符，造成命令执行。在PHP5.5以后，/e修饰符被弃用，这种方法就不行了。<?php$a=$_GET['nb'];preg_rep...

2020-01-31 11:15:44 401

原创 Linux shell命令总结大全

前言Linux shell命令应该算是非常入门的东西，但是实际上在使用的时候，会遇到各种各样的问题，前几天我在我们的项目上需要做一个功能，根据进程名字杀死这个进程，下面是过程1、我们正常需要的操作是$ps |grep xxx$kill -9 xx2、kill命令是常用的，但是用killall命令会更快$killall -9 xxx...

2020-01-31 11:14:12 292

原创 MYSQL快速写入一句话拿权限技巧

必须条件：root权限GPC关闭（能使用单引号）有绝对路径（读文件可以不用，写文件必须）没有配置–secure-file-privid=2) union select 1,2,3,4,5,6,7,'<? phpinfo(); ?>’ into outfile ‘/home/wwwroot/lu4n.com/luan_phpinfo.php’#<? phpinfo()...

2020-01-31 11:13:40 779

在多数人眼中，黑客通常是一群无聊至极没有什么趣味的人，在他们的世界里仿佛只有计算机和那敲不完的代码。但事实真的如此吗？让我们回味一下看《黑客帝国》、《幽灵》等黑客题材电影时的场景。有木有种热血澎湃，瞬间变成小迷妹的冲动？其实在现实生活中，他们也有许多乐趣和鲜为人知的经历和故事。下面，是为大家精心整理的27部黑客题材纪录片，现在让我们一起走近他们的世界。1.微软英雄（Pirates of Sil...

2020-01-31 11:10:56 11720

原创 SpringBoot之Undertow

前言在SpringBoot框架中，我们使用最多的是Tomcat，这是SpringBoot默认的容器技术，而且是内嵌式的Tomcat。同时，SpringBoot也支持Undertow容器，我们可以很方便的用Undertow替换Tomcat，而Undertow的性能和内存使用方面都优于Tomcat，那我们如何使用Undertow技术呢？本文将为大家细细讲解。SpringB...

2020-01-31 11:08:02 4554

原创 MongoDB粗介绍

MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。MongoDB 是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。MongoDB 最大的特点就是无 Schema 限制，灵活度很高。数据格式是 BSON，BSON 是一种类似 JSON 的二进制形式的存储格式，简称 Bi...

2020-01-20 19:23:38 271

原创大文件上传和断点续传

# 前言这段时间面试官都挺忙的，频频出现在博客文章标题，虽然我不是特别想蹭热度，但是实在想不到好的标题了-。-，蹭蹭就蹭蹭 :)事实上我在面试的时候确实被问到了这个问题，而且是一道在线 coding 的编程题，当时虽然思路正确，可惜最终也并不算完全答对。结束后花了一段时间整理了下思路，那么究竟该如何实现一个大文件上传，以及在上传中如何实现断点续传的功能呢？本...

2020-01-20 19:21:05 507

原创 MYSQl任意文件读取

实现原理：攻击者搭建一个伪造的mysql服务器，当有用户去连接上这个伪造的服务器时。攻击者就可以任意读取受害者的文件内容。主要是因为LOAD DATA INFILE这个语法作用是读取一个文件的内容并且放到一个表中。 load datalocalinfile"/home/data.csv"intotableTestTable; 读取客户端文件，漏洞利用：漏...

2020-01-20 19:18:05 1226

原创 Java干掉恶心的 SQL 注入

简介文章主要内容包括： Java 持久层技术/框架简单介绍不同场景/框架下易导致 SQL 注入的写法如何避免和修复 SQL 注入 JDBC介绍全称 Java Database Connectivity 是 Java 访问数据库的 API，不依赖于特定数据库 ( database-independent ) 所有 Java...

2020-01-20 17:46:13 293

原创 HTTP客户端连接，选择HttpClient还是OkHttp

写在前面为什么会写这篇文章，起因于和朋友的聊天这又触及到我的知识盲区了，首先来一波面向百度学习，直接根据关键字httpclient和okhttp的区别、性能比较进行搜索，没有找到想要的答案，于是就去overstackflow上看看是不是有人问过这个问题，果然不会让你失望的所以从使用、性能、超时配置方面进行比较使用HttpClient和OkHttp一般用于调用其它服务，一...

2020-01-14 17:47:36 2560

原创实现一下类似百度网盘的预览功能：支持Word、Excel、Ppt

本人技术小白一枚，前些天老大让我写一个office在线预览的一个功能，跟百度网盘类似，各种找资料，总结一下我觉得比较好用的方法。网上大概有这几种office在线预览的方法。# 第一种利用office online实现在线预览，Office平台提供了通过url的指向达到预览效果。http://view.officeapps.live.com/op/view.a...

2020-01-13 21:20:24 3338

原创 Spring Boot + RabbitMQ发送邮件(保证消息 100% 投递成功并被消费)

一、先扔一张图说明:本文涵盖了关于RabbitMQ很多方面的知识点, 如: 消息发送确认机制消费确认机制消息的重新投递消费幂等性, 等等这些都是围绕上面那张整体流程图展开的, 所以有必要先贴出来, 见图知意二、实现思路简略介绍163邮箱授权码的获取编写发送邮件工具类编写RabbitMQ配置文件 ...

2020-01-13 18:09:54 914

原创 Git 从入门到精通

简介Git 是什么Git 是一个开源的分布式版本控制系统。什么是版本控制版本控制是一种记录一个或若干文件内容变化，以便将来查阅特定版本修订情况的系统。什么是分布式版本控制系统介绍分布式版本控制系统前，有必要先了解一下传统的集中式版本控制系统。集中化的版本控制系统，诸如 CVS，Subversion 等，都有一个单一的集中管理的服务器，保存所有文件的修订版本，而协同工作的...

2020-01-13 18:09:46 509

转载彻底理解分布式 Netty

一、Netty到底是什么1、从HTTP说起有了Netty，你可以实现自己的HTTP服务器，FTP服务器，UDP服务器，RPC服务器，WebSocket服务器，Redis的Proxy服务器，MySQL的Proxy服务器等等。我们回顾一下传统的HTTP服务器的原理：1、创建一个ServerSocket，监听并绑定一个端口2、一系列客户端来请求这个端口...

2020-01-12 19:14:04 262

原创彻底了解JS中难懂的闭包

闭包的定义闭包是指有权访问另一个函数作用域中的变量的函数。（JS高级程序设计）看到这红宝书上关于闭包的解释，起初一脸懵逼，读懂之后其实并不难。要彻底了解闭包，首先必须了解下面的几个概念：执行环境：每个函数都有自己的执行环境。当执行函数时，函数的环境就会被推入一个环境栈中。而在函数执行后，栈将其环境弹出，把控制权返回给之前的执行环境。变量对象：每个执...

2020-01-12 19:12:44 181

原创玩转Linux，介绍一个强大的Linux服务器管理面板，比宝塔更强

介绍之前大多数时候听到或者看到的Linux服务器的管理面板都是宝塔面板，确实宝塔面板非常方便而且好用，安装也简单，复制粘贴几句命令即可安装完成，且提供免费版，本文向大家介绍另一个Linux的服务器面板——AppNode，功能丰富，也提供免费版，且是永久免费！系统要求操作系统：CentOS 6.x 32/64位 CentOS 7.x 64位（暂不支持 Ubu...

2020-01-12 19:12:01 922

原创 JavaScript 类继承与原型继承的区别

在 ES6 之前，JavaScript 实现两个对象的继承一般有两种方法。一种方法是利用 this 与构造函数。functionParent(name,height){this.name=name;this.height=height;}functionChild(age){Parent.apply(this,['hahaha',...

2020-01-12 19:11:16 1093

原创从头进行RabbitMQ安装、集群搭建、镜像队列配置和代码验证

前言不知道说什么好，直接开始吧。本来想采用最新版本的，一想到生产和测试必须版本保持一致，不能随便升级，就只好去下载指定版本的rabbitmq的rpm。RabbitMQ概念Broker：消息中间件的服务节点，RabbitMQ的一个服务实例，也可以看做是RabbitMQ的一台服务器Queue 队列：用于存储消息。kafka不一样，它的消息存在在topic逻辑层面，而队列存储的只是to...

2020-01-12 19:10:39 266

原创实战：消息中间件，解耦、异步、削峰，到底该如何使用

消息队列中间件是分布式系统中重要的组件，主要解决应用解耦，异步消息，流量削锋等问题，实现高性能，高可用，可伸缩和最终一致性架构。目前使用较多的消息队列有ActiveMQ，RabbitMQ，ZeroMQ，Kafka，MetaMQ，RocketMQ。消息中间件到底该如何使用，何时使用这是一个问题，胡乱地使用消息中间件增加了系统的复杂度，如果用不好消息中间件还不如不用。消息队列通讯模...

2020-01-12 19:06:52 3198

原创 Mybatis是这样防止sql注入的

Mybatis这个框架在日常开发中用的很多，比如面试中经常有一个问题：$和#的区别，它们的区别是使用#可以防止SQL注入，今天就来看一下它是如何实现SQL注入的。什么是SQL注入在讨论怎么实现之前，首先了解一下什么是SQL注入，我们有一个简单的查询操作：根据id查询一个用户信息。它的sql语句应该是这样：select * from user where id =。...

2020-01-12 19:06:08 445

原创压缩20M文件从30秒到1秒的优化过程...

有一个需求需要将前端传过来的10张照片，然后后端进行处理以后压缩成一个压缩包通过网络流传输出去。之前没有接触过用Java压缩文件的，所以就直接上网找了一个例子改了一下用了，改完以后也能使用，但是随着前端所传图片的大小越来越大的时候，耗费的时间也在急剧增加，最后测了一下压缩20M的文件竟然需要30秒的时间。压缩文件的代码如下。 ...

2020-01-12 19:01:39 304

原创对HTTP与HTTPS学习的笔记

HTTP协议：Hypertext Transfer Protocol，超文本传输协议，现在普遍的版本为1.1版本HTTP是一个应用层协议，由请求和响应构成，是一个标准的客户端服务器模型。HTTP是一个无状态的协议。什么是无状态协议在HTTP最开始的设计时时无状态的，按照我查阅资料的理解为无法识别请求是第二次请求。两次请求之间没有联系，无上下文也就是说对请求是无记忆...

2020-01-12 19:00:32 320

原创 Tomcat 的单机多实例配置

有时候需要在一个服务器上部署多个Tomcat，通过不同的端口进行区分，比如，反向代理。但是不想简单的通过复制Tomcat来实现，这样既不方便以后的升级也不方便管理，那么这时候就需要配置Tomcat的单机多实例了。Tomcat 下载Tomcat 的下载可以直接到Tomcat官方网站下载自己需要的版本，我这里下载的Tomcat8.5.32。//解压tar-zxvfapache-t...

2020-01-12 18:59:42 170

KHOST的博客