- 博客(38)
- 资源 (20)
- 收藏
- 关注
原创 Linux服务器安全加固
目录对未经过安全认证的RPM包进行安全检查Linux用户方面的加固设定密码策略对用户密码强度的设定对用户的登录次数进行限制禁止ROOT用户远程登录设置历史命令保存条数和账户超时时间设置只有指定用户组才能使用su命令切换到root用户对Linux账户进行管理对重要的文件进行锁定,即使ROOT用户也无法删除建立日志服务器对未经过安全认证的RPM包进行安...
2018-09-30 12:31:08 36919 13
原创 XSS(跨站脚本攻击)详解
目录XSS的原理和分类XSS的攻击载荷XSS可以插在哪里?XSS漏洞的挖掘XSS的攻击过程XSS漏洞的危害XSS漏洞的简单攻击测试反射型XSS:存储型XSS:DOM型XSS:XSS的简单过滤和绕过XSS的防御反射型XSS的利用姿势get型post型利用JS将用户信息发送给后台XSS的原理和分类跨站脚本攻击XSS(Cros...
2018-09-08 10:43:09 78357 46
原创 DVWA之File Upload (文件上传漏洞)
目录Low:Medium:方法一:抓包修改文件的type方法二:00截断High:Impossible :Low:源代码:<?phpif( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PA...
2018-09-30 09:11:24 21001 7
原创 文件上传漏洞
目录文件上传漏洞文件上传的过滤上传文件过滤的绕过上传html文件文件上传的防御upload-libs文件上传漏洞文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。文件上传漏洞条件:上传的文件能被Web服务器当做脚本来执行 我们能够访问到上传文件的路径服务器上传文件命名规则:第一...
2018-09-29 20:05:03 14808 6
原创 服务器集群
目录集群LVSLVS-NAT LVS-DR LVS-TUNLVS的调度算法集群计算机集群简称集群是一种计算机系统,它通过一组松散集成的计算机软件或硬件连接起来高度紧密地协作完成计算工作。在某种意义上,他们可以被看作是一台计算机。 集群系统中的单个计算机通常称为节点,通常通过局域网连接,但也有其它的可能连接方式。 集群计算机通常用来改进单个计算机的计算速度和可靠性。...
2018-09-29 16:57:30 18467
原创 Redhat中网络启动错误解决办法( Failed to start LSB: Bring up/down networking RTNETLINK answers: File exists)
关于Redhat系列中网络启动失败的解决办法报错: Failed to start LSB: Bring up/down networking. RTNETLINK answers: File exists方法一:错误原因:和 NetworkManager 服务有冲突 解决办法:关闭 NetworkManger 服务, systemct stop N...
2018-09-29 12:18:53 20207 3
原创 LNMP环境搭建Wordpress博客
目录LNMP架构工作原理yum源安装网站源包安装LNMP是Linux Nginx MySQL/MariaDB Php/perl/python 的简称,是近些年才逐渐发展起来的构架,发展非常迅速,服务器以其轻巧快速而得到许多站长的青睐。 Nginx特点在于其相当的稳定、功能丰富、安装配置简单、低系统资源。LNMP方式的优点:占用VPS资源较少,Nginx配置起来也比较简单,利用...
2018-09-29 09:06:32 6648 2
原创 LAMP环境搭建一个Discuz论坛
LAMP是Linux+Apache+Mysql/MariaDB+Perl/PHP/Python的简称。一组常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台。因为各个部分都是免费的,所以受到广大中小网站的青睐。apache主要实现如下功能:处理http的请求、构建响应报文等自身服务 配置...
2018-09-28 19:14:46 5504
原创 常见的SQL语句
目录基础SQL语句增删改查字符编码基础SQL语句注释符: # /**/查看所有的数据库:show databases;查看所有的表: show tables;查看user表中的所有列:show columns from user;创建数据库: create database test;创建数据库并...
2018-09-28 08:48:29 7461
原创 Linux系统中安装软件的几种方式
目录红帽派:源码包安装:rpm包安装:yum源安装:Debian派:Deb包安装:apt-get源安装:Linux有很多种发行版本,各种发行版本之间安装软件方式和命令不一样,同一个版本之间安装软件也有不同的方法。但是,大体来说,Linux有两大派系,一个是红帽派系,包含Redhat、Centos、Fedora等。还有一个是Debian派系,包含Kali、Ubuntu...
2018-09-27 21:58:59 52523 4
原创 数据库的读写分离(Amoeba)
目录AmoebaAmoeba读写分离的配置AmoebaAmoeba(变形虫) 项目,该开源框架于2008年开始发布一款 Amoeba for Mysql软件。 这个软件基于Java致力于MySQL的分布式数据库前端代理层,处于在应用和数据库之间,对客户端透明,它主要在应用层访问MySQL的时候充当SQL路由功能,解析应用传递过来的SQL语句,专注于分布式数据库代理层(Databas...
2018-09-27 21:41:29 1275 1
原创 Linux中配置java环境
本文所需的jdk1.8版本rpm包:链接: https://pan.baidu.com/s/146rZKd0hP0851MBT68PnEw 提取码: uqif很多应用的运行需要有Java环境,如 tomcat 、amoeba 等。首先查看自己的系统有没有安装java环境,查看命令: java -version这里显示我们的 java 版本是1.7.0。有时候,我们的应用需要...
2018-09-27 19:19:10 18051 3
原创 数据库日志、主从复制、备份和还原
目录数据库的日志日志类型:各种日志的主要功能数据库的主从复制主从复制的类型主从复制的原理主从复制的步骤数据库的备份和还原因为 MySQL 和 MariaDB 两者在日志、SQL语句上基本一致,所以下面用Mysql举例。数据库的日志在Mysql中,默认只开启了错误日志。如果想开启其他的日志,需要手动在 /etc/my.cnf 配置文件中开启。日志类型:...
2018-09-27 12:20:28 5197
原创 Linux中数据库的安装和配置(MySQL与Maria DB)
目录MySQL和Maria DB的介绍MySQL和Maria DB的安装yum源安装MySQL(Centos6.5+Mysql5.1)源码包安装MySQLyum源安装Maria DB源码包安装Maria DB数据库的配置文件数据库的配置数据库的初始化配置数据库的用户管理数据库的用户权限配置phpMyAdmin管理数据库MySQL数据库的安全加固...
2018-09-25 21:05:28 2617
原创 文件解析漏洞
目录文件解析漏洞IIS解析漏洞目录解析漏洞(/test.asp/1.jpg)文件名解析漏洞(test.asp;.jpg)畸形解析漏洞(test.jpg/*.php)其他解析漏洞Ngnix解析漏洞畸形解析漏洞(test.jpg/*.php)%00空字节代码解析漏洞CVE-2013-4547(%20%00)Apache解析漏洞文件名解析漏洞.htac...
2018-09-25 08:40:27 11489 1
原创 文件包含漏洞
目录文件包含漏洞成因为什么要包含文件?如何利用这个漏洞?本地包含远程包含文件包含漏洞的防御文件包含漏洞成因文件包含漏洞是代码注入的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行,代码注入的典型代表就是文件包含File inclusion。文件包含可能会出现在jsp、php、asp等语言中。服务器通过函数去包含任意文件时,由于要包含的这个文件来源过滤...
2018-09-23 18:53:31 15473
原创 CSRF(跨站请求伪造)
目录CSRF分类GET型:POST型:CSRF攻击原理及过程:CSRF攻击实例:CSRF攻击的防御:(1)验证 HTTP Referer 字段 (2)在请求地址中添加 token 并验证(Anti-CSRFtoken) (3)在 HTTP 头中自定义属性并验证 CSRF漏洞的挖掘使用BurpSuite快速生成C...
2018-09-23 15:59:29 22875 2
原创 Linux配置NTP时间服务器(date、hwclock、NTP服务器的配置)
目录date命令hwclock命令NTP服务的部署服务端客户端date命令date 命令的作用是查看和设置Linux中的系统日期时间date 显示当前系统的时间 date +%参数 以指定格式控制输出日期和时间...
2018-09-22 16:36:42 16628
原创 Linux中Tomcat和Jboss的安装和部署
目录JDK环境yum源安装JDK源码包安装JDKTomcat的安装yum源安装目录结构:源码包安装目录结构:目录中主要的文件:JBoss的安装目录结构: Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。因为T...
2018-09-22 12:50:25 3411
原创 Linux中Nginx服务器的部署和配置
目录Nginx安装方式:yum源安装目录结构:源码包安装目录结构:Nginx中支持PHPNginx中配置php对mysql数据库的支持Nginx配置反向代理服务器正常代理根据不同端口进行转发负载均衡本地转发代理(基于不同后缀)Nginx是一个高性能的HTTP和反向代理服务器,该程序由俄罗斯Rambler.ru站点开发,Nginx因为性能稳...
2018-09-20 17:56:38 24320 2
原创 Linux下Apache服务的部署和配置
目录Apache服务的安装yum源安装:目录文件源码包安装:目录文件:Apache中添加对php的支持Apache中添加php对mysql数据库的支持Apache服务的高级配置1:配置基于ip的虚拟主机2. 配置基于端口的虚拟主机3.配置基于域名的虚拟主机HTTP服务的访问控制基于ip的用户访问控制的配置:基于用户身份认证授权的配置:Ap...
2018-09-19 11:42:59 33226 3
原创 Linux中搭建DNS服务器
目录DNS域传送漏洞域名空间结构DNS解析过程各种解析记录DNS服务器的安装与部署主从DNS服务器的搭建:转发DNS服务器的配置DNSDNS(Domain Name Service)域名解析服务,就是将域名和 ip 之间做相应的转换,利用 TCP 和 UDP 的53号端口DNS系统作用:正向解析:根据域名查找对应的ip地址 反向解析:根据ip地址查...
2018-09-18 11:04:32 59550 10
原创 Linux文件共享服务之Vsftp
目录FTPVsftp服务的搭建ftp、sftp、vsftp、vsftpd的区别FTPFTP的工作原理:FTP会话时包含了两个通道,一个叫控制通道,一个叫数据通道。控制通道是和FTP服务器进行沟通的通道,连接FTP、发送FTP指定都是通过控制通道来完成的。数据通道是和FTP服务器进行文件传输或者列表的通道。FTP协议中,控制连接都是由客户端发起的,而数据连接有两种工作方式:PO...
2018-09-17 21:45:13 1855
原创 Linux文件共享服务之NFS
NFS(Network File System) 网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。NFS主要用于LInux与Linux之间进行文件系统共享。简单的来说:它就是是可以透过网络,让不同的主机、不同的操作系统可以共享存储...
2018-09-17 19:57:20 9108
原创 Linux文件共享服务之Samba
目录SambaSamba的配置SambaSamba是一个能让Linux系统应用Microsoft网络通讯协议的软件,而SMB是Server Message Block的缩写,即为服务器消息块 ,SMB主要是作为Microsoft的网络通讯协议,后来Samba将SMB通信协议应用到了Linux系统上,就形成了现在的Samba软件。而CIFS(Common Internet File...
2018-09-17 17:57:44 5322
原创 BeEF的使用
目录BeEFBeEF-XSS的使用获取用户Cookie网页重定向社工弹窗钓鱼网站(结合DNS欺骗)BeEFBEEF (The Browser Exploitation Framework):一款浏览器攻击框架,用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。BeEF主要是往网页中插入一段名为hook.js的JS脚本代...
2018-09-17 08:13:15 17487 11
原创 Linux中的DHCP服务
目录DHCPDHCP的报文类型DHCP的部署DHCP中继(DHCP代理)DHCPDHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP(67、68)端口工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段客户端使用 UD...
2018-09-15 12:52:46 1337
原创 Linux中的SSH服务
目录SSH使用scp在两台Linux间传数据:基于SSH做远程访问,可以使用ftp服务的相关指令sftp root@192.168.10.10Openssh公私钥验证:SSHSSH(Secure Shell)安全外壳协议,SSH是用来替代常见的不安全的网络应用的协议。比如Telnet、FTP,他们都是基于明文传输的协议,所以很不安全。Openssh 提供基于用户的身份验...
2018-09-15 09:49:56 2894
原创 Iptables防火墙实验
先说明一下环境,这里有四台主机,中间的Centos充当防火墙。右上角的win XP和右下角的Rhel7充当服务器,最左边的win7充当主机。四者之间的网卡都已经配置好。而且我们已经在Centos6.5上开启了端口转发功能。echo1 > /proc/sys/net/ipv4/ip_forward(临时开启) sysctl-wnet.ipv4.ip_forward=1...
2018-09-14 17:19:47 3459
原创 Linux中的防火墙(Netfilter、Iptables、Firewalld)
目录NetfilterIptablesiptables做本地端口转发FirewalldNetfilterNetfilter是Linux 2.4内核引入的全新的包过滤引擎,位于Linux内核中的包过滤功能体系,基于内核控制,实现防火墙的相关策略。Netfilter 由一些数据包过滤表组成,这些表包含内核用来控制信息包过滤的规则集。Netfilter在数据包必须经过且可以读取规...
2018-09-12 20:01:32 2756
原创 SELinux入门
目录SELinuxSElinux的前世今生SELinux的模式安全属性SELinuxSELinux(Security-Enhanced Linux)是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源...
2018-09-12 11:07:53 1630
原创 Linux日志分析和管理
目录日志的作用、分类、管理、轮转和级别rsyslog服务Journal守护进程/var/log下相关的日志文件日志服务器的建立日志的作用、分类、管理、轮转和级别日志的作用:用于记录系统、程序运行中发生的各种事件 通过阅读日志,有助于诊断,解决系统故障日志文件的分类:内核及系统日志:由系统服务rsyslog 统一管理,日志格式相似 用户日志:记录系统用户登...
2018-09-11 23:08:33 2780
原创 Linux中的网络配置
目录网卡的配置NetworkManager的使用Team网卡绑定Centos6.5、Redhat7、Kali网卡配置的不同Kali桥接模式配置静态ip网卡的配置网卡命名的不同:Rhel6 及其之前命名都是以eth 开头,第一块网卡就叫 eth0 ,第二块网卡就叫 eth1 Rhel7 开始命名规则变了,eno1代表由主板BIOS内建的网卡 ;ens1代表由主板B...
2018-09-11 14:26:17 12843
原创 Linux内核升级、GRUB2引导故障处理与密码破解
目录内核升级GRUB2内核启动设置GRUB2引导菜单加密GRUB2引导故障及修复救援模式管理Rhel7破解root密码内核升级查看当前内核版本: uname -r查看可升级内核: yum list kernel升级 kernel:yum update kernel rpm -ivh kernel-3.10.0-123.1.2.el7....
2018-09-05 20:57:49 3891
原创 Linux启动流程和服务管理(init和systemd)
目录一:Linux启动流程 init和Systemd的区别二:Linux服务管理(service,systemctl)一:Linux启动流程Rhel6启动过程:Rhel7启动过程:GRUB2相较于GRUB一代的提升:更健壮、可移植、更强大。支持BIOS、EFI和OpenFirmware,支持GPT和MBR分区表。支持非Linux系统,如苹果HFS文件...
2018-09-05 10:11:28 14812
原创 Linux下逻辑卷LVM的管理和RAID磁盘阵列
目录LVM一:LVM的创建二:LVM的拉伸三:LVM的缩小四:LVM的删除五:RAID磁盘阵列的添加LVMLVM(Logical Volume Manager) 逻辑卷管理器,可以动态调整磁盘容量,提高磁盘管理灵活性。绝大多数分区可以基于LVM创建,但是 /boot 挂载分区不能基于LVM创建。LVM底层文件系统ID 为 8e 。LVM的创建步骤:在创建...
2018-09-04 11:46:45 2497
原创 Linux下磁盘分区、卸载和磁盘配额
目录一:查看磁盘信息二:Linux磁盘分区三:Linux分区的卸载四:Linux磁盘配额一:查看磁盘信息 fdisk : 这个命令是磁盘分区表操作工具,fdisk能将磁盘分区,同时也能为每个分区指定分区类型,总的来说,fdisk就是磁盘工具fdisk -l : 查看硬盘分区表。 从这里我们可以看出,此系统中挂载了一块硬盘 sda。这块硬盘有三个分区,分别为 sda1,s...
2018-09-03 16:54:35 10348 3
原创 DVWA之SQL注入考点小结
SQL InjectionSQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。近期很火的大使馆接连被黑事件,据说黑客依靠的就是常见的SQL注入漏洞。low:这个等级主要考的是字符型注入。最...
2018-09-02 15:34:09 2988
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人