- 博客(51)
- 收藏
- 关注
RSS订阅原创 EXSI虚拟机新增磁盘并将空间扩充到已有分区
确定完后格式化新分区,命令为:mkfs.xfs /dev/sdb1 --sdb1是指新建分区时候创建的分区号。新增分区时,分区号写2的话此处为 /dev/sdb2。(2)将新增分区磁盘大小添加到需要扩容的文件系统中。命令为:lvextend -r -l +100%free /dev/mapper/rhel-root。确定想要扩充磁盘的地址的文件系统格式,例如要扩根目录空间,就确定根目录的文件格式为xfs。(1)将新建分区初始化为物理卷。(1)将新分区格式化为与系统相同的文件系统格式。
2024-05-31 17:36:51
934
原创 防火墙第三天——恶意软件、反病毒技术。。。
以多种途径感染合法用户计算机给予以加害的一种计算机程序。恶意软件能够以多种途径感染计算机和设备,并且会表现出多种形式,比如说病毒、蠕虫、木马等待。
2022-09-18 19:38:14
1210
1
原创 防火墙实验二——实现域间、域内双向NAT、双机热备实验
这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的。这里的目的端口转换填写的是80;然后备用防火墙(FW2)变成了主用装态。添加一个新的防火墙和一个hub。同样还是在刚刚的界面;它的撞他已经改位是备用状态。对于源转换地址池的配置。
2022-09-12 17:54:48
1141
原创 防火墙实验一
我在这里遇到一个问题就是client2和server1是连接没有问题的、配置也没有问题,但是它一直获取失败,但是当我调整了一下server访问的路径,就连接成功,所以这可能是因为权限不够造成的。这里所显示的优先级也可以理解为是他的安全信任度,优先级越高他越信任。同时也有一个说法就是,从高到低的流量就是outbound;然后就用上面方式将接口1/0/1划分到trust区域;这里可能会有疑问就是明明我发的是5个,并且都ping通了;新建策略的方法和刚刚的相同,只不过要多选一个服务。这样的话安全策略就新建成功。
2022-09-11 18:45:57
1854
原创 防火墙的基础知识——第一天
防火墙只要是借助硬件和软件的作用与内部和外部网络的环境间产生的一种保护的屏障,从而实现对计算机不安全网络因素的阻断。防火墙组织或隔离威胁计算机的东风西进入到内部,并由一个通过的路口对多进入的东西进行放行并且排查而隔离的就是非授权用户在区域间的;排查过滤的是对受保护网络有害的流量或者数据包的设备;并且防火墙向路由器一样具有基本的连通性。就好比古代的城墙一样,将我的国家领土围起来,只开一个门,并且我这个门还需要守卫进行把关。
2022-09-08 21:23:14
1282
原创 phpcms v9文件上传的四次绕过复现
跟上一个不同的就是,我将解压后的文件夹放进一个递归里面,如果你文件夹中还有并且里面包含php文件,我也进行一个删除,但是,在它的写法中存在了一个逻辑错误,它是先进行查找,查找到之后就进行删除,那么就可以在它查到但是没有删除的这一个时间里面,我在写入一个php文件,即便它删除了我上传的,但是我新写入的那个是没有删除的,这也就是要采取一个时间竞争的关系来写入文件。它发现又有人绕过了,它就又写出了一种方式,就是即便我解压失败了,我也要在进行一次递归查询,如果你这还有的话,我还是会给你删了。......
2022-08-15 16:19:41
1367
原创 order by注入与limit注入
在数据库中,order by的作用是对数据表中查询的数据进行排序的方式。正常情况下我们去查询一个数据库的时候,它显示的顺序可能是根据插入的数据来进行排序的,所以可以通过order by进行排序,方便查看select * from 表名 order by 列名(数字) asc;(升序的) select * from 表名 order by 列名(数字) desc;(降序的)举个例子:正常情况下,用户表的排名是这样的当我们使用命令。...
2022-08-08 21:26:27
1728
原创 Sql注入的基础
攻击者利用web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据系统下达指令,,进而实现对后台数据库乃至整个应用系统的入侵。简单解释由于代码的不完全或者是存在一些不安全的过滤,导致用户在输入的时候带入了不安全的数据(非法数据);比如说单引号、双引号、联合查询、盲注、闭合等等,然后在输入的时候就可以输入非法的数据。...
2022-08-06 15:54:35
1355
原创 DNS外带注入
选择高级,在高级中的服务器选项中有一个禁用递归,如果是勾上的一定要取消,因为服务器就是需要递归来进行转发的,如果勾上了也转发不了了。添加主机之后就创建完成了,然后把win11的虚拟机的dns服务修改为刚刚配置的服务器的ip地址。然后勾选DNS服务器,(因为我安装了一个,所以这个我选的别的进行的演示。然后跳出弹唱就直接选择下一步,就可以,然后默认它的选项选择主要区域,然后点击下一步。填写主机名称和IP,名称就写的是ns,IP地址为你sqlmap所在虚机的ip地址。然后建立一个区域名称,这里就随便写就可以了。.
2022-08-06 15:21:31
631
原创 DOM破坏及复现实验
这个也是,onerror替代了src排的第一个的位置,它就变成了第一个,但是我在刚刚循环的时候,已经把第一个给循环了,我要去循环下一个的时候它没有了,所以我就结束循环了。就是将src元素写道第2为,在删除第一位的时候它变成第一位就会保留了,然后将onerror保存到第四位,那样在删除第一位后,原来的第三位变成了第二位,第四位就变成了第三位,,第二位运行完后被删除,最开使的第四位就变成了第2位,但是我们已经执行完第二位了,所以后面就没有了,他就跳出了循环。可以看到它第一个返回的是area,另一个是a标签。..
2022-08-01 19:58:06
439
原创 线上靶机prompt.ml
然后对fromData做了循环,然后创建了一个i,并且让input.name=i,这个i就是fromdata对象里的key值,也就是name,然后给value赋值为fromData的值,也就是Matt。这一关将prompt过滤成了alert,并配还把单引号给注释掉了,这就给我们使用了一个方便,也就是我们可以使用单引号将prompt给分开,反正单引号也会被省略。,并且这个对每一个p标签都进行了一个字符限制,不可以超过12个字符,这样就可以使用注释的方式,将多余的内容给注释掉,剩下的就可以拼凑成想要的样子。..
2022-07-29 16:18:19
753
原创 xss内容总结集及xss-labs靶场
1.什么是XSSXSS叫做跨站脚本攻击,是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。2.产生层面他一一般情况下都是在前端产生的;JavaScript代码能干什么,执行之后就会达到相应的效果。3.危害影响4.常出现的场景。.........
2022-07-29 12:19:18
577
原创 xss.haozi.me练习通关
这里将auto或者on过滤成了_,并且是在input标签输出,所以这里可以将type的值改成imge的形式进行输出,并且使用换行的方式来停止以on开头=结尾变成_。这一关是将括号给过滤掉了,也就是说alert()的括号不可以直接打印出来,所以这里可以采用两种方式,一种是编码的形式,另一种就是使用反引号来代替括号。这一关限制了不可以对style标签进行闭合,一旦出现会转变为“坏人”,但是html中将标签换行也是可以识别的,所以可以换行处理标签。将src闭合,然后写弹窗,然后将后面注释。............
2022-07-27 17:12:56
569
原创 复现gallerycms字符长度限制短域名绕过
但是我找的那篇文张还让在更新一遍,也就是第2个内容,然后我就照着做了,紧接着我就一直等他下载,等他下载,等了好久,然后我也忘记了我时候给它暂停还是真的等到它结束了,然后我觉得可能下完就可以了,就不用更新那一下。然后将报错中有一条命令(insert开头的,具体的我也没记住),将这个命令复制粘贴到MySQL的命令里面,然后再重新进入到kali的浏览器当中,在重新进一下,我们就可以进入了。回到目录页面的时候他会出现弹窗,是因为他在创建的时候已经入库了,所以每一次进入的时候,他都是访问的。......
2022-07-26 16:27:14
482
原创 从XSS Playload 学习浏览器解码
通过网上的编码解析器可以查到“%6a%61%76%61%73%63%72%69%70%74%61%6c%65%72%74%28%31%29”这里采用URL编码的方式将javascriptalert(1)转成了上面的样子。js能识别的是Unicode编码,也能识别16进制编码,但是在js中不可以编码符号,所以这个也是不可以识别的,也就是说,咱们点击button按钮的时候是不会跳出弹窗的。这里采用的是js编码,使用的js的Unicode,并且他没有编码符号,所以是可以进行弹窗的。...
2022-07-25 18:10:11
1295
1
原创 复现一句话木马
发现了2的值是直接输入的的一些PHP获取文件的函数的字符串,但是assert()函数的参数不可以使用字符串。首先右键添加一个新的数据,将刚刚编写的文件名输入到URL地址中,然后连接密码设置的是2。这样的话同时满足了assert()的参数必须是函数和表达式中的一种,和eval语句中有可以传递的参数,所以连接成功。解决的方式就是修改了一下我的php版本,一开始我用实验的版本是7.3.4的,后面改成了5.3.29的版本扣可以了、但是刚刚直接使用eval进行连接的时候是可以连接的,为什么这样替换就不可以了?....
2022-07-23 14:00:18
380
原创 Python语言整理
python是一种解释型,面向对象,动态数据类型的高级程序设计语言,像Perl语言一样,Python源代码同样遵循GPL协议。Python优雅的语法和动态类型,在结合它的解释性,使其在大多数平台的许多领域成为编写脚本或开发应用程序的理想语言。...
2022-07-22 22:41:47
5825
原创 利用正则表达式绕过
这里匹配的时候,以select开头,匹配到了select后,\b匹配的就是边界,\s\S两个在一起使用的话就可以相当于匹配所有字符,“*”匹配0次或者多次;是科学计数法,mysql识别并且单独列出来一列,而且“1e1”可以和from连接在一起使用,系统会认为这是两个命令,所以这样既没有报错,同时也绕过了正则。但是也样并没有完全解决。可以看的出来,第二列存储的是登录密码,第三列是密码。由于上面出现的问题,我们想要绕过的话,就不让出现边界,也就是改变from的值(但是要保证是个单词,并且需要延长,还不能报错).
2022-07-19 18:41:20
508
原创 正则表达式
一般情况下,我们在注册一个新账户的时候,会设置密码,在设置密码的时候会有一个字符限制的情况,有的会要求简单就数字+字母就可以了,有的肯会稍微严格一点,格式要求就是数字+字母+特殊符号。可以看到即便输入的含有字母或者数字,但是输入中含有没有设置的内容,也是不可行的。4.所以,在上述情况下,我们需要对字符串的长度输入进行一些限制,比如说最少输入8位,最多输入16位。这样的情况下我们会发现一个问题,就是不论我们输入多少的字符长度,但是他都是可以实现的。3.在严格要求的情况下,一般要求输入的都是。.........
2022-07-19 16:03:59
332
原创 shell的基础
只有前面那条命令执行成功才会执行后面一个任务,而使用分号的时候是不论前面指令的执行是否成功,都会执行后面那条指令。argN是传递给命令的参数,他们是可选的。foo和bar中间有个空格,所以bash认为这是两个参数,但是当有多个空格的时候,bash会自动忽略空格。当在命令行中想要先清屏在查询当期目录下的文档,使用命令**clear;函数体内可以使用参数变量,获取函数参数变量,与脚本参数变量是一致的。举例这里输入的word就作为$1的值传给hell0()函数。))会自动省略空格,所以怎样写都可以。......
2022-07-18 14:33:10
273
原创 iptables防止nmap扫描
IP信息包过滤系统是一部分,用来设置、维护和检查Linux内核的IP数据包过滤规则。他是基于内核的防火墙,并且它内置了filter,nat和mangle三张表;并且在规则配置完成后,立即生效,不需要重启服务。iptables是Linux防火墙工作在用户空间的管理工具,是。...
2022-07-17 17:17:10
1189
原创 Mysql的redolog和binlog
redlog是重做日志,是Innodb存储引擎独有的,他让MySQL在崩溃的时候具有了恢复数据的能力,即在数据库发生意外的时候,可以进行数据恢复;redlog日志会备份的是事务执行过程中的修改数据,是事务过程中最新的数据位置。binlog是一个二进制格式的文件,用于记录用户对数据库更新的SQL语句信息,默认情况下,binlog是二进制格式的,不能使用文本工具的命令进行查看,而是使用mysqlbinlog解析查看。...
2022-07-16 17:13:03
2790
原创 MySQL的GRANT语句
grant语句:用户授权--为某个用户赋予某些权限 可以对普通用户增加查询,删除,插入,修改数据库中表数据的权利 对开发人员可以增加创建表、索引、视图等权限。grant执行语句: 查看mysql的用户权限: 命令语句是:show grants for 【用户名】; 先对用户lml授予所有数据库的权限,然后突出,重新用lml的用户登录到mysql中; 进入lml用户后尝试创建一个数据库d
2022-07-14 11:51:13
6663
原创 作业:page大小以及严格模式怎样修改
mysql在使用innodb引擎的时候,默认页的大小是16kb,如果说超出了16kb,的话可以在配置文件中修改首先查看当前page的大小:命令语句是:show global status like 'innodb_page_size'; 如果要修改page的大小的话,需要在配置文件中找到参数:UNIV_PAGE_SIZE_SHIFT,对后面的数值进行修改。且需要注意的是,修改的数值代表的是2的多少次方,并且要注意page页面的大小只能是2的多少次方,比如8k,16k,32k等等。修改成功保存退出后,重新编译
2022-07-14 10:32:44
768
原创 mysql的触发器和存储过程
mysql触发器是与表关联的数据库存储程序,用于响应关联表中发生的事件(例如插入,更新或删除)而自动调用。即当触发器所在表上出现指定事件时,将调用该对象,也就是表的操作事件触发表上的触发器的执行。trigger_name:触发器的名字,可以自己设置trigger_time:触发时机,也就是在多长时间内会发生这件事情,一般取值为befor和aftertrigger_event:触发事件,当到这里的时候希望他会发生一件什么事情,一般取值为insert(增加)、update(修改)、delete(删除)。t
2022-07-13 20:52:35
2120
2
原创 substr()和substring()的区别:
mysql中,substr()函数的作用是:截取字符串1.函数语法:substr(str,pos):截取从pos位置开始到最后的所有str字符串substr(str,pos,len) str:列名、字符串名 pos:开始位置(从哪个位置开始截取),mysql中pos的截止开始位置是从1开始的,不是从0开始的。如果pos的值为正数,则截取的方向是从正序方向查数(如果字符串是4561133,pos=2,则开始截取数就是5,)如果pos的值为负数,则截取的方向是倒序开始数(如果字符串是
2022-07-13 18:53:59
3741
3
原创 B+树的介绍及查询过程:
B+树:是一种自平衡树数据结构,他保持数据排序;在进行搜索、顺序访问、插入和删除的复杂度是O(log n)且B+树只在叶子节点中存放数据,所以消除了一些B树的缺陷B+树是一个M路搜索树,具有一下特征;叶子节点的两个方案: Record Ids:指向索引条目对应的元组位置的指针 Tuple data: 1)元组的实际内容存储在叶节点中 2)二级索引必须将记录ID存储为他们的值单个元素:设置访问元素为591)第一次访问时候访
2022-07-13 17:33:51
2396
原创 安全课第一次作页
https是通过非对称密钥加密传递对称加密的密钥,然后通过对称加密进 1)客户端向服务端发送了http请求 2)服务器收到请求并将数字签名和非对称加密的公钥等以数字证书的形式返回给客户端 3)客户端会验证服务器发送过来的数字证书的合法性 4)如果客户端验证的证书有问题,则会断开连接并提示连接不安全,如果证书没有问题,则客户端会随机产生对称密钥并且利用服务端的公钥进项加密 5)服务端使用自己的私钥进行解密得到了客户端随机产生的对称密钥
2022-07-10 20:17:10
1042
原创 小迪安全第一天:基础入门——基础概念
域名:1.什么是域名?域名又称网域,是由一串用点分隔的名字组成;2.域名在哪里注册?域名可以在专门的网站里面去购买注册,例如阿里云或者腾讯云。3.什么是二级域名、多级域名?例如www.dns0755.net是dns0755.net的子域名,而dns0755.net又是net的子域名。处于顶级域名之下的域就是二级域名,二级域名是域名的倒数第二个部分,且他的级别小于一级域名。同时可以通过【.】的数量来判断是几级域名,【.】的数量越多,级别就越小。4.域名发现对于安全测试的意义?在
2022-03-09 14:37:38
454
原创 VLAN 实验
一:实验要求二:实验拓扑图pc1和pc3在同一个网段,IP配置为:192.168.1.0pc2/4/5/6在同一个网段,IP配置为:192.168.2.0三:创建VLAN
2022-02-17 00:28:43
4621
1
原创 IPV6实验
一:实验要求:二:拓扑图:三:配置ip和环回然后在在2,4上配置缺省路由,R2:ip route-static 0.0.0.0 0 14.0.0.2R4:ip route-static 0.0.0.0 0 15.0.0.1测试结果:用R2去pingR4的环回四:在R1和R2上启动rip和ripng rip:R1:rip 1ver 2network 1.0.0.0betwork 2.0.0....
2022-02-14 00:17:07
299
原创 MPLS实验
目录一:实验要求二:拓扑图三:配置IP和环回地址三:对公网区域使用ospf连通四: 使用MPLS搭建环境五:使用vpn连接a1,b1.a2.b2R2:R4:六:在R2和R4上使用BGP建立MPLS的邻居七:配置客户的IP与环回八:对a1使用RIP,a2使用OSPF九:双向重发布十:静态和直连结果:一:实验要求二:拓扑图三:配置IP和环回地址R2:R3:R4:三:对公网区...
2022-02-12 01:26:26
1729
原创 BGP实验2
一:实验题目:二:画出拓扑图三:配置IP和回环R2:R9:R3:R4:R5:R6:R7:R8:三:在AS2中进行配置IGP使用ospf协议将R3,R4,R5,R6,R7,R8连通R3:ospf 1 router-id 3.3.3.3area 0network 172.16.0.1 0.0.0.0network 172.16.6.1 0.0.0.0network 172.16.6...
2022-02-08 13:33:47
2038
原创 BGP实验1
一:实验题目:二:拓扑图三:配置环回和IPR1:R2R3:R4:R5:四:对R2/R3/R4进行OSPF的配置五:启动BGP并进行宣告,且对R2/R3/R4是指下一跳
2022-01-22 10:25:41
780
原创 重发布实验
目录一:实验题目:二:拓扑图:三:配置IP和环回地址四:配置rip和OSPF五:对R2/R3/R7配置重发布六:路由策略七:检查配置是否成功一:实验题目:1.两个协议间进行多点双向重发布2.R7的环回没有宣告在OSPF协议中,而是后期重发布进入的3.解决环路,所有路径选择最优,且存在备份二:拓扑图:三:配置IP和环回地址四:配置rip和OSPF...
2022-01-20 12:31:33
1549
原创 OSPF协议总结
一:开放式最短路径优先协议开放式最短路劲优先协议(OSPF)是广泛使用的一种动态路由协议,它属于链路状态路由协议,具有路由变化收敛速度快、无路由环路、支持变长子网掩码(VLSM)和汇总、层次区域划分等优点。二:OSPF的数据包OSPF具有5种数据包:分别是:hello包、DBD、LSR、LSU、和LSack。hello包:采用组播收发的方式,用于邻居,邻接关系的发现,建立,周期保活 DBD(数据库描述包 Database Description):本地的链路状态数据库...
2022-01-18 18:43:24
2507
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人