第59天 中间件安全,环境搭建(网安学习)

已于 2024-09-26 10:35:19 修改
阅读量352 收藏 2
点赞数 8
文章标签: 学习
于 2024-09-24 00:39:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74741186/article/details/142471470
版权

错了轻点喷

参考文章https://www.cnblogs.com/haorancracker/articles/17699541.html

先搭建环境,之前的环境没了

先安装网络yum源,把之前的备份,因为用之前的yum装报错了

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all
yum makecache

出现进程错误,直接杀掉

docker环境的安装,参考Linux 使用 yum 安装 Docker Docker-CE 社区版本_linux yum install requires: docker-ce-cli-CSDN博客

yum install -y yum-utils device-mapper-persistent-data lvm2

yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

yum install docker-ce docker-ce-cli containerd.io

我没有指定选的默认安装

报错了,直接ai搜,记得先卸载之前的安装的,安装成功

把下载的vulhub环境导入centos7

忘了,还有个docker-compose没装,把下载的docker-compose放到/etc/bin我记得这个文件是可执行文件的目录,在给权限,参考地址Docker Compose - 安装和基本使用_docker-compose安装-CSDN博客

搞好之后直接在那个环境的目录启用这个命令 docker-compose up -p

但是这里报错了,我看的这篇文章,我用的第一种方法,我用的vi写进去,然后把代码段落整理好

sudo mkdir -p /etc/docker
sudo vi /etc/docker/daemon.json 

{
    "registry-mirrors": [
        "https://do.nark.eu.org",
        "https://dc.j8.work",
        "https://docker.m.daocloud.io",
        "https://dockerproxy.com",
        "https://docker.mirrors.ustc.edu.cn",
        "https://docker.nju.edu.cn"
    ]
}

sudo systemctl daemon-reload
sudo systemctl restart docker

从Docker拉取镜像一直失败超时?这些解决方案帮你解决烦恼_docker拉取镜像超时-CSDN博客

明天再搭建环境吧。哎这个环境搭建不起来,先了解下中间件原理吧

中间件和框架的区别

小迪原话

中间件是web应用支撑的服务,也称之为容器,搭建平台

框架,程序源码选用的开发语言,语言里有成品的套用的体系,我们可以直接去引用它,实现一些功能,类似在python里开发的,使用一些库,引用一些库来实现一些功能。

网上搜索

一般而言中间件和框架的区别是,中间件是独立运行的用于处理某项专门业务的CS程序,会有配套的客户端和服务端,框架虽然也是处理某个专门业务的但是它不是独立程序,是寄宿在宿主程序进程内的一套类库。

IIS中间件

1、短文件:信息收集(之前好像学了,忘记了)

2、文件解析:还有点用    //这些都没讲了,前面课程学过了,但是我还是不会

3、hhtp.sys没卵用

4、cve-2017-7269条件过多

中间件-nginx-文件解析&命令执行

我们安装好环境,直接进去这个环境目录,输入docker-compose up -d启动环境

这里我遇到了端口占用问题,解决情况,进入这个目录的.yml,修改端口即可成功,我的m啊,看视频才看到视频也遇到这个问题,我还去网上找大半天

最终解决办法好像是把

service nginx stop,

然后再输入命令docker-compose up -d        启动成功

我这里网页禁止访问了,搞了好久,...

第n天,解决了,在网上找了相关知识,我怀疑是360把我文件杀掉了,今天重新装了vulhub,就好了

总结一下,

进入目录,

systemctl stop nginx   (占用80端口)

docker-compose up -d 

1、文件还是放根目录/,我放的是/root目录,但是/root/目录好像是没权限的,可以是用

命令stat /root/查看目录的权限,也可以给他权限,chmod 777 /root。

2、文件缺失,就是我这种情况,重新下载就好了

上传了一张照片,然后在url后面加上/.php发现解析失败,而且爆出了php语法错误,那就是可以执行php代码,网上找到的内容,如果图片有后门,就可以直接解析

当遇到 "Parse error: syntax error" 这类错误时,通常表明 PHP 在解析脚本时遇到了语法错误。这类错误通常比较容易定位,因为错误提示会给出具体的文件名和行号。下面是一些详细的解决步骤:

好,现在上传一个带有后门的图片,这里对内容头做了验证,在开头加上GIF89a就可以了

用蚁剑直接连上

 参考地址https://developer.aliyun.com/article/650224

How to fix docker driver failed programming external connectivity on endpoint webserver? | Jhooq

如何解决"Parse error: syntax error" - 黄文Rex - 博客园 (cnblogs.com)

第59天:服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx - 解放者-cracer - 博客园 (cnblogs.com)

不灭锦鲤
关注
小迪-网络安全-笔记(01)
Y的博客
03-13 1776
网络安全——学习笔记(01)
【小迪安全2023】第61-服务攻防-中间件安全&CVE复现&K8s&Docker&uetty&Websphere
dzqxwzoe的博客
07-20 586
kubernetes简称k8s,是一个由google开源的,用于自动部署,扩展和管理容器化应用程序的开源系统。在B站内部,k8s在管理生产级容器和应用服务部署已经有较为广泛和成熟的应用。通过k8s,可跨多台主机进行容器编排、快速按需扩展容器化应用及其资源、对应用实施状况检查、服务发现和负载均衡等。
快速上手Spring Cloud四:微服务治理与安全
沛哥儿的专栏
03-24 1321
在微服务的浪潮中,Spring Cloud凭借其卓越的生态系统和丰富的功能集,已成为业界领先的微服务解决方案。微服务治理与安全作为这一框架的两大核心支柱,不仅关乎服务的稳定运行,更直接关系到企业的数据安全与业务连续性。本文旨在深入探讨服务注册中心的选型与最佳实践,全面分析微服务架构中的安全问题及其解决方案,并对微服务间通信的安全性进行详尽考量。如何在微服务架构中保障数据的安全和服务的稳定,是每一个开发者都需要面对的问题。
【小迪安全】第61-服务攻防-中间件安全&CVE复现&K8s&Docker&uetty&Websphere
ZL_1618的博客
08-07 1172
kubernetes简称k8s,是一个由google开源的,用于自动部署,扩展和管理容器化应用程序的开源系统。在B站内部,k8s在管理生产级容器和应用服务部署已经有较为广泛和成熟的应用。通过k8s,可跨多台主机进行容器编排、快速按需扩展容器化应用及其资源、对应用实施状况检查、服务发现和负载均衡等。
红蓝对抗-HW红蓝队基本知识(含网安学习的全部路线)
fly_enum的博客
06-08 6133
蓝队,一般是指网络实战攻防演习中的攻击一方。👉网安(黑客红蓝对抗)所有方向的学习路线👈蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。
10年网安经验分享:一般人别瞎入网络安全行业
2401_84618514的博客
08-13 856
蓝队,一般是指网络实战攻防演习中的攻击一方。蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。
网络安全保障体系有哪些?网络安全保障需要如何实施?_服务器网络安全技术体系(2)
2401_84254343的博客
05-02 582
四、确保网络服务器性能稳定、安全性好。可与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网络正常运行。五、网络服务器由技术人员负责管理及维护,每负责查看系统日志,随时解决可能出现的异常问题。六、管理系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能够及时替换主系统提供服务。七、关闭暂不使用的服务功能,定期消杀病毒。八、采用集中式权限管理,系统管理员统一设置访问权限并设置相应密码和口令。
100多道!网络安全岗位面试题合集(含答案)
qkh1234567的博客
05-24 461
随着国家对网络安全的重视度,促使这个职业也变得炙手可热,越来越多的年轻人为进入安全领域做准备。数以百计的面试,为何迟迟无法顺利入职?能力无疑是至关重要的,可却有不少能力不比已入职的同事差却应聘失败的人,那到底该如何做呢?为了帮助大家更快地拿到心仪Offer,给大家分享一份,一共有上百道面试真题,望它们能够帮助大家在面试中,少走一些弯路、更快拿到offer!①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍。
一文带你全面详细了解安全运维
2402_84205067的博客
07-12 1626
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
网络安全运维工程师(NISP-SO)需要掌握那些知识点
liuruo11000的博客
12-01 2391
3、着重掌握安全运维相关的常用数据库管理系统如MySQL/Oracle/SQLServer/Redis的数据安全配置、用户权限管理、数据库备份、基线检查和安全加固、漏洞检测、漏洞分析及漏洞利用等。2、掌握能对MySQL/SQLSever/Oracle/Redis数据库的创建、查看、修改、增加、查询、调整结构等基本数据库操作。8、掌握Linux文件及目录管理命令(pwd、cd、mkdir、ls、cp、mv、rm等等)10、掌握Linux权限管理方法(ugo、rwx、权限掩码、特殊权限、权限管理相关命令等等)
深度学习每周学习总结J1(ResNet-50算法实战与解析 - 鸟类识别)
最新发布
qq_33489955的博客
10-04 677
数据导入及处理部分:本次数据导入没有使用torchvision自带的数据集,需要将原始数据进行处理包括数据导入,查看数据分类情况,定义transforms,进行数据类型转换等操作。划分数据集:划定训练集测试集后,再使用torch.utils.data中的DataLoader()分别加载上一步处理好的训练及测试数据,查看批处理维度.模型构建部分:resnet-50。
Go基础学习08-并发安全型类型-通道(chan)深入研究
FLJS_T的博客
09-28 895
在前面学习中了解到对于单值变量,如:int、string;多值变量,如:map存在多协程对资源竞争的并发问题,为了解决并发性通常需要引入sync.Mutex解决。>对于通道的基本声明方式有三种:声明并初始化带缓冲的通道(ch1);声明并初始化一个不带缓冲的通道(ch2);仅仅声明一个通道(ch3) >什么是通道:==一个通道相当于一个先进先出(FIFO)的队列。也就是说,通道中的各个元素值都是严格地按照发送的顺序排列的,先被发送通道的元素值一定会先被接收。Select和for循环实现对channel的多次选
10.2学习
2401_87363162的博客
10-02 1108
​ Spring AOP就是基于动态代理的,如果要代理的对象,实现了某个接⼝,那么Spring AOP会使⽤JDKProxy,去创建代理对象,⽽对于没有实现接⼝的对象,就⽆法使⽤ JDK Proxy 去进⾏代理了,这时候Spring AOP会使⽤基于asm框架字节流的Cglib动态代理 ,这时候Spring AOP会使⽤ Cglib ⽣成⼀个被代理对象的⼦类来作为代理。每个线程中都有一个自己的ThreadLocalMap类对象,可以将线程自己的对象保持到其中,各管各的,线程可以正确的访问到自己的对象。
从0学习React(3)
qq_54432917的博客
09-29 702
在第一篇文章中,我们对index.tsx文件的每一行代码都做了简单的分析。通过第一篇文章的总结,我也大致知道了index.tsx里的很多语法。而第二篇文章,我对index.tsx文件的框架做了一个大致的分析,通过第二篇文章,我对index.tsx有了进一步的认识。按理来讲,第三篇文章我还是解析index.tsx文件,但是我发现,对于前两篇文章,其实我对语法的细节有很多不明白的点。因此这篇文章,我就把React的一些最基础的知识给梳理一下,帮助我更好的理解index.tsx的代码。
6.824 Lab 2C 学习记录
kingsill的博客
09-29 311
最后10s,开始的时候,恢复网络,插入一个数据,等待这个数据被提交,如果超过这10s就报错。2C的test中的unreliable figure8算是给博主的迎头一棒,需要根据raft论文的figure8进行解决,leader。根据前任及博主自己的经验,unreliable figure8的除了上述这一点以外,需要对。博主由于之前的不严谨,给自己留下了很大的改进困难,最后不得不重构代码。进行一定的设计,可以参考课程里老师提出的意见。一下为博主的github仓库,需要的可以参考。有一定的考验,那么就需要对。
【DirectX sdk 学习使用】
qq_41610493的博客
10-01 357
设置包含目录:打开你的项目属性,导航到VC++目录,然后在包含目录中添加DirectX SDK的Include文件夹路径。设置库目录:同样在VC++目录中,在库目录中添加DirectX SDK的Lib文件夹路径。运行安装程序:下载完成后,找到下载的安装程序(通常是一个.exe文件),双击运行。选择安装路径:选择你希望安装DirectX SDK的路径,或者使用默认路径。如果你有任何问题或需要进一步的指导,请随时告诉我。接受许可协议:在安装向导中,阅读并接受许可协议。完成安装:点击“安装”按钮,等待安装完成。
Elasticsearch学习笔记(2)
m0_74293254的博客
09-28 1213
创建索引: 使用 PUT 请求来定义索引及其映射。创建文档: 使用 POST 请求将数据添加到索引。读取文档: 使用 GET 请求获取特定文档。更新文档: 使用 POST 加上 _update 操作来修改现有文档。删除文档: 使用 DELETE 请求删除指定文档。删除索引: 使用 DELETE 请求删除整个索引。请求方式:POST请求格式:/{索引库名}/_doc/文档id示例:POST /my_index/_doc/1 { "field": "value" }
Java Web核心技术阶段的学习要点
2401_87352036的博客
09-27 557
JavaWeb核心技术阶段的学习要点涵盖了多个关键技术和概念,这些技术和概念对于开发动Web应用程序至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值